Отношение к защите персональных данных в последнее время все чаще обсуждают в СМИ, на уровне частных и государственных компаний. На фоне всеобщей информатизации о защите личной информации задумываются и обычные белорусы. Для многих становится важным, насколько хорошо защищены их «имя-отчество» и домашний адрес после попадания в онлайн-формы на сайтах или в базу данных медучреждений. Однако в целом к этой теме граждане относятся без должного внимания.

За рубежом о защите информации пекутся больше, что в первую очередь заметно по частоте изменений в законодательстве. Например, с 25 мая 2018 года в Европейском союзе действует Генеральный регламент о защите персональных данных (GDPR). Документ заменил Директиву о защите данных, которая была принята еще в 1995 году. Причем требования GDPR распространяются на всех операторов, которые имеют дело с личной информацией субъектов с гражданством ЕС.

Периодически изменения, касающиеся персданных (ПДн), происходят и в правовом поле России. Там, к слову, закон о сборе, обработке и хранении ПДн был принят еще в 2006 году.

Аналогичный документ – проект закона о персональных данных – государственные органы Беларуси все еще разрабатывают. А это указывает на то, что наведение порядка в этом вопросе для правительства пока не является первостепенной задачей.

Действующие законы Республики Беларусь более или менее конкретно отвечают только на следующие вопросы:

1. Что такое ПДн?
2. Нужно ли получать согласие на сбор, обработку, хранение и использование ПДн?
3. Должны ли операторы ПДн сообщать субъектам о том, какие данные об их частной жизни собираются и в каком объеме?
4. Есть ли необходимость в организации защиты ПДн?

Какие данные считать персональными?

Поскольку «тематического» нормативного акта в стране еще нет, этот вопрос регламентирован в нескольких примыкающих к теме документах.

К примеру, закон № 455-З «Об информации, информатизации и защите информации», относит к ПДн основные и дополнительные данные физического лица, которые внесены в регистр населения, а также иные данные, которые позволяют идентифицировать такое лицо. При этом ПДн являются информацией, предоставление и распространение которой ограничено.

Примечательно, что в законе об информации есть расширенная формулировка «и иные данные, позволяющие идентифицировать такое лицо». Это значит, что белорусское законодательство распространяется на любые сведения, с помощью которых можно идентифицировать личность человека. При этом не уточняется, прямая или косвенная идентификация имеется в виду. Между тем, этот момент четко прописан в западных нормативных актах. Там зачастую под защиту подпадают и прямые, и косвенные характеристики личности. Например, IP-адреса.

В законе № 418-З «О регистре населения» понятие уточнено. Так, к ПДн относятся:

• фамилия, собственное имя, отчество;
• личный номер;
• пол;
• дата и место рождения, сведения о регистрации по месту жительства и (или) месту пребывания;
• цифровой фотопортрет;
• данные о гражданстве (подданстве);
• данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным.

Закон о регистре населения вводит еще одно понятие – «дополнительные ПДн». Это информация о родителях физического лица, а также об опекунах, попечителях, семейном положении, супруге, ребенке (детях), образовании, ученой степени/звании, роде занятий, налоговых обязательствах.

Как получить право сбора и обработки данных?

Закон об информации сообщает, что в случае сбора, обработки, хранении ПДн необходимо письменное согласие физлица, которому они принадлежат. Хотя законодательными актами республики не регламентируется, каким должно быть «согласие в письменной форме». Небольшое уточнение этого понятия приводится в Гражданском кодексе, где сделкой в письменной форме, среди прочего, называется обмен подписями (факсимиле и аналоги).

Такой подход можно применить и к согласию на сбор, обработку, хранение и использование ПДн. В итоге из-за размытого в этой части законодательства Республики Беларусь многие операторы ПДн собирают подписи физлиц «вручную». Например, визовые центры делают это с помощью печатной формы-согласия, в которой заявителю нужно расписаться чернилами.

Юридические лица, которые ведут деятельность в Интернете, прописывают в публичных договорах пункт о согласии на сбор ПДн. Так делают многие онлайн-магазины. При этом считается, что согласие физлица получено по факту совершения им покупки. Хотя одного клика «принимаю соглашение/согласен» на веб-странице информационного ресурса формально может быть недостаточно.  

Помимо сбора, под регламент подпадает процесс обработки ПДн. В том числе, ознакомление с личными сведениями и их передача третьим лицам. Порядок юридического оформления этих операций похож на запрос письменного согласия на сбор персональной информации у субъекта.

Под ознакомлением понимается право субъекта, которому принадлежат собираемые данные, на то, чтобы знать, какие из характеристик его личности собирает оператор и в каком объеме они содержатся в информационных системах или у определенных лиц.

Что касается передачи ПДн, то эту операцию нужно согласовать с субъектом заранее, и тоже в письменной форме. Как правило, такой пункт включает большинство публичных соглашений и договоров. Однако опять-таки появляется вопрос с формой получения согласия. Ведь большинство ПДн сегодня собирают в электронном виде.

Как защищать данные о белорусах?

В законе об информации указано, что любое лицо, которое собирает ПДн, должно принять меры по надлежащей защите полученных сведений. Причем гарантировать защиту оператор обязан в четких временных промежутках:

• до момента, когда субъект ПДн разрешает их разглашение;
• до момента обезличивания ПДн.

Если с этими вводными все более или менее ясно, то с толкованием мер защиты возникают сложности. Законодательными актами Республики Беларусь не определяется, как именно должна выглядеть полноценная защита данных. На практике, с опорой на подзаконные акты, операторам ПДн следует продумать защитные меры двух типов:

• организационные (разработка и принятие внутренних документов, регламентирующих работу с ПДн);
• технические (защита информационных систем от утечек персональной информации с помощью программных решений).

Обращаясь к тексту законопроекта о ПДн, можно узнать о планируемых мерах защиты подробнее. Так, операционной мерой станет включение в штатное расписание новой должности – ответственного за защиту ПДн. Если подойти к этой задаче серьезно, то речь о специалисте по информационной безопасности. Причем крупным компаниям, которые оперируют большим массивом сведений, скорее всего, придется создавать целый отдел таких специалистов.

Технический аспект защиты заключается в том, что хранить сведения о белорусах можно будет только на отечественном хостинге.

Защиту прав субъектов ПДн законопроект возлагает и на регулятора. Его функции будет выполнять отдельный государственный орган. Регулятора также наделят следующими полномочиями:

• рассмотрение заявлений от граждан по вопросам ПДн;
• наблюдение за тем, как операторы выполняют требования закона.

Чем грозит нарушение законодательства в области ПДн?

Так как «тематический» закон в стране все еще не принят, четко определенной ответственности за нарушение правовых норм нет. Предполагается, что в КоАП РБ вскоре внесут изменения, в соответствии с которыми нарушителей в области ПДн будут наказывать штрафом до 20 базовых величин.

Статью 179 УК РБ, в которой прописано наказание за незаконный сбор или распространение информации о частной жизни, на практике для ситуаций с разглашением ПДн не применяют.

Если принимать во внимание текст законопроекта о ПДн, то там так же пока не содержится конкретных предложений по санкциям. Предполагается, что после его подписания в административном и уголовном кодексах появятся новые статьи.

Однако уже сейчас законопроект регламентирует действия оператора ПДн в случае их утечки (выхода в публичное пространство или попадание в третьи руки). Первым делом, в течение трех дней после обнаружения утечки оператор должен сообщить об этом правоохранителям. Информация о случившемся должна быть направлена и в орган по защите прав субъектов ПДн (регулятору). Примечательно, что, если утечка незначительна и не будет иметь негативных последствий для субъекта, извещать о ней органы правопорядка не придется.

Однако по итогам общественного обсуждения законопроекта, которое завершилось в августе 2018 года, специалисты сошлись во мнении, что он требует доработок. В том числе в вопросах безопасности данных. Так, эксперты посчитали, что текст содержит противоречие в пункте об организации защиты данных. В частности, пункт 3 статьи 17 возлагает эту функцию на Оперативно-аналитический центр при президенте РБ, а пункт 5 той же статьи наделяет этой компетенцией другой госорган.

Как бы то ни было, предполагается, что закон о защите персданных в Беларуси примут в первой половине 2019 года. Причем он должен вступить в силу через месяц после официального опубликования. Пока же этого не случилось, сложно говорить о наличии полноценной защиты ПДн, равно как и о наличии строгой ответственности для нарушителей.