Для начала профилактика
— Андрей Анатольевич, прошло становление центра, он активно включился в работу, какие результаты за первый год деятельности?
Но были обращения граждан, жалобы. На них реагировали. Если видели нарушения — выдавали рекомендации субъектам хозяйствования, ставили выполнение предписаний на жесткий контроль. Санкции не применяли, если речь не шла о незаконном распространении персональных данных. Если выявлялась не просто халатность, а недобросовестное использование персональных данных, тем более в коммерческих целях, то материалы о таких нарушениях передавали в органы внутренних дел для привлечения нарушителей к административной ответственности. Таких случаев уже было 11.
— Изначально в центре выстраивали четкую работу с жалобами и обращениями граждан. Часто ли белорусы пользовались этой возможностью и по каким вопросам?
— За год работы получили более 700 обращений граждан. Много это или мало? Сложно сказать. Опыт других государств показывает, что интерес общества к защите персональных данных появляется вместе с продвижением в жизнь соответствующего законодательства. Было много вопросов, связанных с банковской сферой, ретейлом и страхованием. Люди интересовались, какие данные могут потребовать компании из этих отраслей для оказания им соответствующей услуги. Вначале было много вопросов, связанных с правом работодателей требовать большой пакет информации о соискателях. Центр при взаимодействии с Министерством труда и социальной защиты обобщил эти вопросы, были выработаны рекомендации. Их разместили на нашем сайте и Министерства труда, разослали в органы государственного управления. Сегодня по этой теме обращений практически нет. По такому алгоритму работаем и с банковским и страховым секторами, сферами образования, жилищно-коммунального хозяйства, торговли, ряду иных направлений, формируем отраслевые рекомендации.
Также люди интересовались, какие могут быть основания для обработки персональных данных без их согласия. Кому можно предоставлять свои персональные данные. Как проверить благонадежность организаций, которые эти данные получают.
Непосредственно жалоб было около 100. И приблизительно половина из них оказались обоснованными. Тогда проводили проверки: либо внеплановые, либо камеральные. Во втором случае изучаем информацию, которая находится в открытом доступе, на сайте соответствующей компании или структуры и делаем выводы, выдаем рекомендации, если выявлены нарушения. При необходимости сотрудники центра выезжают к юридическому лицу и на месте вникают в сложившуюся ситуацию, делают выводы.
Найти и стереть
— Но если база данных попадает в интернет по тем или иным причинам, то она начинает «гулять» в виртуальном пространстве…— Удаление персональных данных, которые незаконно попали на иностранные платформы, — одна из функций центра. Используем полный спектр доступных нам методов и инструментов. Прежде всего взаимодействуем с владельцами ресурсов, на которых размещаются базы данных. Их реакция зависит от специфики их бизнеса. Серьезные ресурсы, которые заботятся о своем имидже и благопристойности, воспринимают наши обращения с требованием удалить информацию совершенно адекватно. Причем независимо от страны «прописки» компании и регистрации ресурсов. За год работали по широкой географии, со всеми континентами. Группа наших сотрудников занимается мониторингом и выявляет ресурсы, на которых появляются «уплывшие» базы персональных данных наших граждан. Иногда их приходится удалять многократно: исчезают с одного ресурса, но появляются на другом. Пока база не потеряла актуальность, ее стараются монетизировать и прилагают для этого усилия. Со стороны может показаться, что это сизифов труд. Виртуальное пространство безгранично, есть множество каналов коммуникации, различных площадок. Вроде бы процесс «публикация — удаление» может протекать бесконечно. На самом деле все обстоит несколько иначе. Со временем персональные данные теряют свою актуальность: люди меняют место жительства, номера телефонов, аккаунты… Спустя относительно небольшой промежуток времени коммерческая ценность такой информации снижается. Кроме того, очень важно продемонстрировать жесткую и принципиальную национальную позицию по соблюдению чистоты распространения персональных данных. И если существует противодействие, то значительно снижается маржинальность реализации такой информации. Соответственно, не полностью, но в значительной степени пропадает интерес у теневого рынка к похищению и распространению баз белорусского происхождения. Слишком хлопотно и затратно с ними работать. За год мы удалили с различных ресурсов более полутора миллионов записей. Поэтому торговля информацией о белорусах не является бесхлопотным занятием.
Информационная чистоплотность
— Один из дискуссионных вопросов во многих странах — усиление ответственности за утечку или кражу персональных данных. Тем более что их ценность постоянно повышается. А современные технологии, снижение стоимости обработки больших объемов информации позволяют широко использовать персональные данные в преступных целях: мошенничество, шантаж, коммерческий шпионаж.— Законодательство в Беларуси свежее. И, несомненно, будет еще оттачиваться и совершенствоваться. Надо признать, что штрафы за несоблюдение юридическими лицами законодательства в области сохранности персональных данных являются весьма щадящими: максимальная планка — 50 базовых величин. По большому счету эта сумма несопоставима с расходами на те же технические мероприятия по защите информации. Специализированное ПО стоит достаточно дорого, и его цена повышается экспоненциально, так как количество хакерских атак и инструментарий по несанкционированному доступу к информации расширяются и становятся более доступными киберзлоумышленникам. Не все компании спешат инвестировать в защиту персональных данных. Особенно крупные фирмы, те же маркетплейсы. Для их огромных оборотов штраф в 50 базовых величин не является существенным. Несомненно, будем выходить с инициативой, чтобы ответственность была более весомой. В некоторых странах используются так называемые оборотные штрафы — до 4—5 процентов от выручки. Это уже весьма болезненно для бизнеса и мотивирует его к защите информации. Жизнь показывает: нередко утечка информации происходит в результате не взлома, а умышленных действий сотрудников. Но за кражу и распространение персональных данных грозит уже уголовная ответственность. Наказание — до пяти лет.
Всю информацию доводим до субъектов хозяйствования. Не чтобы напугать, а дабы стимулировать к соблюдению законодательства. В том числе и объясняем: если из-за несоблюдения правил хранения персональных данных будет расти количество утечек по той или иной причине, то законодательно придется вводить более жесткие санкции. Поэтому участники рынка на самом деле заинтересованы в сохранности информации.
Но в то же время одной из наших задач, нацеленных на профилактику правонарушений, является просвещение граждан. Они тоже должны соблюдать цифровую гигиену, не разбрасываться своими персональными данными направо и налево. На своем сайте создали специальный раздел, на котором изложили основные принципы соблюдения персональной конфиденциальности. Создали учебную программу для желающих повысить уровень знаний в этом вопросе. Планируем плотно работать со школами и вузами. Молодежь наиболее восприимчива к современным технологиям. И практика показывает, что просвещение школьников и студентов в области IT — один из эффективных каналов коммуникации с обществом в целом. Полученную информацию молодые люди в доступном виде доносят до своих родителей: в семьях именно молодежь обычно является экспертами в виртуальных технологиях. Готовим социальные рекламные кампании и практический комментарий к закону.
Также в ближайших планах центра — четко сформулировать правила сбора и иной обработки персональных данных при осуществлении видеосъемки и видеонаблюдения, размещения изображений человека на сайтах и других информационных ресурсах со сбором копий паспортов и иных документов при выполнении различных процедур.
Актуальной сейчас является и тема сбора специальных, в том числе биометрических, персональных данных. Например, использование по сложившейся практике без надлежащих оснований информации о привлечении человека к административной или уголовной ответственности для приема его на работу либо идентификация личности по отпечаткам пальцев, радужной оболочке глаза при входе в офис или на учебу. Такие подходы являются в большинстве случаев избыточными и нарушают законодательство. Особенно чувствительны подобные вопросы для подрастающего поколения. Утрата такой информации может повлечь потерю идентичности человека.
Перспективные направления деятельности центра помогут сформировать результаты проводимого в настоящее время с Институтом социологии Национальной академии наук социологического опроса.
volchkov@sb.by
