Кто и как теперь будет защищать наши персональные данные

Под щитом

В мае 2021 года был принят Закон «О защите персональных данных», который направлен на обеспечение и защиту прав граждан при обработке их персональных данных. 15 ноября документ вступил в силу, одновременно с этим был создан Национальный центр защиты персональных данных (НЦЗПД), который призван обеспечить выполнение этого закона. Разбираемся, чем будет заниматься национальный центр, в чем плюс закона для физических лиц и как обезопасить данные своих работников в компаниях и организациях.

Важным инструментом закона является комплекс прав, которыми наделяются физические лица: они получают возможность самостоятельно контролировать обработку персональных данных о себе. Такого в законодательстве раньше не было.


Что будет делать ­НЦЗПД

Национальный центр будет выполнять две основные задачи: организация защиты персональных данных и координирование образовательного процесса. 
Что касается первого положения, то это не значит, что в центре будут сконцентрированы все информационные ресурсы, например, базы данных. Они останутся у собственников и владельцев этих систем. Однако центр готов отвечать на возникшие вопросы, рассматривать жалобы граждан, а также реагировать на вопросы, связанные с обеспечением методологического сопровождения компаний. 

Андрей Гаев, директор ­НЦЗПД, на встрече с журналистами отметил: 

— При возникновении инцидентов, если это в компетенции центра, он обязан на них реагировать. Однако работу юридических и иных служб организаций орган подменять не будет. 

Организация образовательного процесса — вторая важнейшая задача центра. Он должен обеспечивать повышение квалификации специалистов, отвечающих за защиту персональных данных. Кроме того, от Национального центра обмена трафиком к нему переходят функции, которые связаны с технической и криптографической защитой информации.

Директор Национального центра защиты персональных данных также отметил, что первое время упор он будет делать на необходимость осуществить все возможное для реализации требований данного законодательного акта. Конечно же, некоторые новые моменты требуют времени, поэтому центр намерен с пониманием относиться к тем процессам, которые еще предстоит пройти компаниям. Кроме того, центр будет уделять внимание реализации Закона «О персональных данных» на практике.
— Ссылаться сегодня на то, что кому-то в глобальном аспекте чего-то не хватает, категорически неверно. Мы понимаем, что ряд вопросов должен был регулировать центр, который юридически создан только неделю назад. 
Идет формирование команды, нет пока сайта. Поэтому в ближайшее время мы будем размещать документы, касающиеся работы центра, на Национальном правовом интернет-портале. Определенные моменты требуют времени, поэтому с пониманием будем относиться к процессам, требующим решения, — рассказал директор Национального центра защиты персональных данных. 

Закон определяет целый перечень мер, которые каждая организация (или оператор) должна реализовать. Вот некоторые из них: 

— назначение специалиста, который будет заниматься вопросами внутреннего контроля за соблюдением законодательства по защите персональных данных, консультировать руководителя, рассматривать обращения граждан по этим вопросам;

— создание операторами политики по обработке данных (иначе говоря, политики конфиденциальности). В документе раскрывается, какие персональные данные нужны для определенных целей. Такая мера служит для обеспечения безопасности принципом прозрачности обработки персональных данных. Делаться это будет для того, чтобы для гражданина не стало неожиданностью, что его данные обрабатываются;

— кроме того, в законе появилась норма, у которой нет аналогов в других странах. Речь идет об обязанности всех операторов проводить обучение лиц, уполномоченных на контроль за персональными данными.

О новом законе 

Николай Саванович, начальник отдела конституционного права Национального центра законодательства и правовых исследований, отметил, что до этого Закон «Об информации, информатизации и защите информации» имел некоторые упущения и недочеты. Новый закон консолидировал до этого разрозненные нормы, которые регулировали оборот персональных данных. 

— Для чего нужен новый закон? Ведь был закон, по которому защищались персональные данные. Основной массив информации находился на бумажном носителе. И тот, кто физически контролировал бумажный носитель, физически контролировал информацию о себе. Однако по мере появления информационных систем одни введенные данные в такую систему могли отражаться сразу в нескольких точках мира. 
Человек переставал контролировать информацию о себе и не знал, кто, как и для каких целей будет ее использовать. Вот это основная причина, которая вызвала к жизни развитие законодательного акта о персональных данных, — говорит Николай Саванович.
Еще один нюанс, который спровоцировал изменения, — требование получения письменного согласия. По словам Савановича, в цифровой век это излишне обременительно и невыполнимо и может стать неоправданным барьером для развития технологий.

Важным инструментом закона является комплекс прав, которыми наделяются физические лица, то есть граждане. Такого в законодательстве раньше не было. 

Граждане получают возможность самостоятельно контролировать обработку персональных данных о них. Благодаря новому закону люди могут выбирать, обрабатывать их личные данные или нет. 
Человек имеет право знать, где обрабатываются его данные. Кроме этого, согласно новому закону у физического лица есть право потребовать удалить его данные из информационных систем. Законом эти вопросы регулируются.
С другой стороны, закон возлагает на организации определенные обязанности, что вынуждает их внимательно относиться к обработке и учету персональных данных. Определять, кому они могут давать данные, когда возможна обработка данных с согласием или без согласия. 
Например, обработка персональных данных без согласия возможна при административном процессе, уголовном процессе или при административных процедурах.
О ЧЕМ ­РЕЧЬ 

Персональные данные — это объемное определение. В него входят, к примеру, паспортные данные, место регистрации, проживания, семейный статус, телефон, информация о близких родственниках, наличие транспортного средства, недвижимого имущества. Все это будет считаться и являться персональными данными гражданина.

Оператор — это государственный орган, юридическое лицо, иная организация, физическое лицо, в том числе ИП, самостоятельно или совместно с иными из этих лиц организующие и (или) осуществляющие обработку персональных данных. По договору оператор может поручить обработку персональных данных уполномоченному лицу.

Что интересовало в новом законе предприятия и организации, которые хранят данные своих сотрудников?

Глава группы технологий, медиа, телекоммуникаций юридической фирмы «Сорайнен и партнеры» Кирилл Лаптев рассказал о моментах, которые больше всего интересовали в новом законе предприятия, чьи сотрудники предоставляют различным службам этих организаций свои личные данные. В первую очередь шла речь об обработке персональных данных. Например, нужно ли выполнять какие-либо дополнительные требования в отношении тех данных, которые были собраны ранее и до сих пор продолжают обрабатываться. Представителей предприятий интересовали и внутренние процессы: как организовать доступ к персональным данным, как и где они должны храниться, как, допустим, кадровый отдел и бухгалтерия будут между собой общаться и получать доступ к личным данным.

— Организации столкнулись с вопросами обработки данных своих работников. Чтобы обрабатывать данные, нужно получать согласие от работника. Вопрос этим и сложен. Работник и наниматель не всегда находятся в равных отношениях, и нужно смотреть, чтобы не было нарушения прав работника, ущемления его интересов, когда получается такое согласие. Работник может опасаться замедления продвижения по службе или изменения финансовых условий, если он откажется дать согласие, — отметил Кирилл Лаптев.

Какая ответственность ожидает за нарушение закона? 

С 1 марта 2021 года вступили в силу изменения в административном регулировании. Появилась новая отдельная статья 23.7 КоАП, которая налагает административную ответственность за нарушение законодательства о защите персональных данных. Наказание может применяться как к физическим лицам, так и к юридическим в некоторых случаях, в том числе из-за невыполнения требований нового закона. Максимальный штраф по этой статье достигает 200 базовых величин.
С 19 июня 2021 года предусмотрена уголовная ответственность за нарушение законодательства о персональных данных по статье 203—1 «Незаконные действия в отношении информации о частной жизни и персональных данных» и 203—2 «Несоблюдение мер обеспечения защиты персональных данных». 
­ИСТОРИЯ ­ВОПРОСА

Разработка закона началась еще в 2016 году с подготовкой одноименной концепции законопроекта. В последующем в план был включен проект закона. Подготовка законодательного акта заняла почти пять лет. Изначально к этому документу было неоднозначное отношение — некоторые организации воспринимают и воспринимали его как определенное бремя и усложнение их деятельности.

Как безопасно хранить персональные данные?

Сергей Пашковский, специалист по кибербезопасности «БелВЭБ-IT», рассказал, как защитить личную информацию: 

— В первую очередь должно быть грамотное и четкое разграничение прав доступа. Операторы это делают в рамках своей политики, определяя, какие подразделения и какие работники имеют доступ. Далее эти требования политики реализуются уже на техническом уровне. К данным получают доступ только те люди, которые должны осуществлять его в рамках своих функциональных обязанностей.
Кроме того, в информационной системе необходимо организовать адекватную антивирусную защиту. Операторы обязаны реализовать требования по технической защите информации. 
Сергей Пашковский рассказал, что сделать это можно самостоятельно, если есть человек в компании, который разбирается в вопросах IT. Если в настоящее время такого человека нет, можно воспользоваться услугами компаний, у которых есть лицензия на осуществление деятельности по технической и криптографической защите информации. Он пояснил, что во втором случае клиент получает систему под ключ, причем компании могут предложить различные варианты реализации требований. Он также уверен, что данная услуга будет особенно популярна для среднего и мелкого бизнеса, у которого нет возможности уделить много времени техническим аспектам, поскольку это требует познаний.

КСТАТИ

Персональные данные раньше охватывали только ту информацию, которая прямо идентифицировала субъекта. То есть там, где не было ваших настоящих данных, а, например, вымышленная фамилия, по старому закону это не являлось вашими личными данными.
Полная перепечатка текста и фотографий запрещена. Частичное цитирование разрешено при наличии гиперссылки.
Заметили ошибку? Пожалуйста, выделите её и нажмите Ctrl+Enter