Закон о персональных данных: что на практике это значит для бизнеса и интернет-пользователей

Вступивший в силу в ноябре Закон «О защите персональных данных» наделал довольно много шума. В основном юридического. Но ни большинство представителей бизнеса (особенно мелкого и среднего), ни интернет-пользователи не получили однозначного ответа, что Закон изменит на практике. Александр Янковский, инженер по информационной безопасности hoster.by, рассказывает, что нужно делать для защиты персональных данных.

Как бизнесу понять, соблюдает ли он Закон о персональных данных?

— Сначала нужно разобраться, какие данные пользователей вы собираете, обрабатываете или храните. Обезличенная телефонная база, к примеру, не будет подпадать под определение персональных данных. А вот если рядом с номерами телефонов есть ФИО и адреса доставки товаров, то это уже совсем другая история. Персональными данными является любая информация, с помощью которой можно идентифицировать физическое лицо, либо которая относится к уже идентифицированному человеку.

Если вы определили, что все же работаете с персональными данными, проанализируйте, нужен ли вам именно такой объем данных, сколько их целесообразно хранить, как именно они собираются и хранятся в настоящий момент. Возможно, вы поймете, что от каких-то данных можно отказаться, и это может освободить вас от необходимости соблюдать требования Закона.

Если же без персональных данных не обойтись, то назначьте ответственного. Это и упростит вашу дальнейшую работу, и сразу закроет одно из требований, необходимых для выстраивания новых процессов. Обычно эту функцию возлагают на юриста компании.

Текущая версия Закона не дает однозначного ответа о том, являются ли персональными данными IP-адрес или, например, рекламный идентификатор пользователя. Прямого указания на это нет, хотя по международным стандартам эта информация должна быть также защищена.

Да, мы работаем с персональными данными, каков наш следующий шаг?

— Согласно законодательству вы обязаны принимать правовые, организационные и технические меры по обеспечению их защиты. Юридические требования регламентируются непосредственно новым Законом о персональных данных. А вот технические и организационные описаны в приказе Оперативно-аналитического центра при Президенте Республики Беларусь №66. Основное требование здесь — аттестация информационной системы, которая задействована в сборе, обработке и хранении данных, по определенному классу защиты.

Чтобы начать работу по аттестации, у вас есть 2 варианта — разобраться в требованиях к информационной системе и реализовать их самостоятельно либо обратиться к поставщику соответствующих услуг. В hoster.by уже есть сервис «Инфраструктура для персональных данных», который включает все этапы — от аудита и консультаций до проектирования, внедрения и обслуживания защищенных информационных систем. При выборе подрядчиков важно смотреть на наличие у них соответствующей лицензии Оперативно-аналитического центра.

В общем виде порядок технических и организационных действий такой:

• назначить ответственного за работу с персональными данными;
• описать регламенты работы с ними, в том числе определить порядок доступа к данным;
• провести ряд мероприятий для аттестации информационной системы;
• обучить персонал;
• для тех компаний, у которых есть сайт - добавить ссылки на политику обработки персональных данных и предусмотреть получение согласия на их обработку в точках, где пользователи вносят свои данные (например в формах обратной связи на сайте).

Также рекомендуем:

• побеспокоиться о специализированном хостинге;
• регулярно проводить аудит безопасности в компании;
• отказаться от популярных бесплатных сервисов электронной почты, совместной работы над документами и хранения данных.

Разумеется, аттестацию невозможно получить, обрабатывая данные клиентов в некоммерческой версии Google Docs или используя незащищенные облачные хранилища.

На что обращать внимание интернет-пользователям

— Среди белорусских интернет-пользователей пока очень низкий «порог чувствительности» к безопасности их персональных данных. Как правило, даже за громкими утечками не следует череды судебных исков. Но с изменением правового поля ситуация неизбежно будет меняться.

Какие права появляются у пользователей в связи с появлением Закона:

• Отзыв согласия на обработку персональных данных. При этом компания, получившая такой отзыв, обязана удалить или прекратить обработку персональных данных в течение 15 дней.
• Получение информации, касающейся обработки ваших персональных данных. Вы можете узнать, какие именно персональные данные обрабатываются, основания и цели обработки, а также срок действия вашего согласия.
• Внесение изменений в персональные данные в случае, если данные устарели, являются неполными или неточными.
• Получение информации о предоставлении данных третьим лицам.
• Удаление данных или прекращение их обработки по требованию, если это не противоречит другим законодательным актам.

Обратите внимание — если вы оставляете свои данные на каком-либо сайте через форму обратной связи, в ней должны быть предусмотрены ссылка на политику обработки персональных данных и опция согласия с этой политикой. Если такой информации в форме нет, это должно вас насторожить.

Персональные данные могут собираться и на бумажных носителях (картотеки, журналы). При этом способ хранения ваших данных не меняет требований нового закона к их обработке.

И хоть это не совсем относится к закону о персональных данных, обращайте внимание на то, чтобы на сайте был установлен SSL-сертификат (адрес сайта в таком случае начинается с https://, а не с http://). Таким образом вы минимизируете возможное участие третьих лиц в обмене информацией между вами и сайтом. Это основы цифровой гигиены, которые необходимо соблюдать.

Нюансы: сбор персональных данных без согласия пользователя

— Как обычно, в любом правиле есть исключения. Новый Закон предусматривает довольно объемный перечень случаев, когда персональные данные могут собираться и обрабатываться без какого-либо дополнительного разрешения от их владельца.

В основном это касается таких целей как ведение административных и уголовных процессов, исполнение судебных постановлений, осуществление контроля в соответствии с законодательными актами, социальное страхование и т.д.

Разрешение на сбор персональных данных не потребуется при оформлении трудовых отношений, а также при наличии договора, заключенного между пользователем и компанией. В Законе прописана и возможность в некоторых случаях использовать персональные данные без дополнительного разрешения в целях осуществления законной профессиональной деятельности журналиста и СМИ.

Стоит отметить, что разрешение также не потребуется для использования персональных данных «в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных».

Что говорят создатели Закона

Сергей Пашковский, специалист по информационной безопасности (БелВЭБ-Айти), участник группы разработки Закона «О защите персональных данных»

О Законе: «Закрывается “серая зона” в работе с персональными данными»

— На первый взгляд новый закон создает много трудностей для бизнеса. Действительно, вопросов пока немало. Однако при этом закон закрывает ту «серую зону», которая существовала раньше в вопросе работы с персональными данными, и помогает бизнесу в регулировании этих вопросов. Например, партнерское сотрудничество между компаниями, в процессе которого данные клиентов передаются от одной компании другой. Допустим, на сайте банка можно заключить договор страхования и фактически все клиенты банка становятся потенциальными клиентами страховой компании. В данной ситуации, в каком объеме нужно и можно делиться данными пользователей? Нужно ли уведомлять клиентов о том, что их данные переданы? Закон как раз разъясняет, что это возможно, но при соблюдении необходимых технических и юридических норм.

О персональных данных: «Просто лежит — это уже действие»

— На что стоит обратить внимание в новом законе — это на слово «обработка». Многие бизнесы сейчас говорят: «Моя клиентская база просто лежит, я с ней ничего не делаю». Под обработкой понимаются любые действия с персональными данными пользователей. Поэтому даже «просто лежит» — это уже действие, связанное с хранением персональных данных. А значит информационная система, в которой эти данные находятся, должна соответствовать новому законодательству.

Бизнесу: «Нужно принять те правила, которые являются стандартом информационной безопасности»

— Для начала бизнесу нужно принять те правила, которые не требуют какой-то невероятной подготовки, а являются по сути негласным стандартом информационной безопасности: разграничение прав доступа для сотрудников, наличие персонифицированных учетных записей, хранение тех данных, которые действительно нужны.

Что касается технической стороны вопроса — вам помогут хостинг-провайдеры. Именно они знают, как правильно подготовить вашу систему, какие требования необходимо реализовать именно для вашего бизнеса.

Пользователям: «Может возникнуть впечатление, что компании обязаны удалить ваши данные»

— Ознакомившись с Законом у вас может возникнуть впечатление, что компании обязаны удалить ваши данные по требованию. Однако чаще всего персональные данные будут оставаться у компании в том или ином виде, поскольку она обязана выполнять требования иных актов законодательства. Так, банки обрабатывают ваши данные в рамках договора по оказанию услуг комплексного банковского обслуживания. Но после расторжения договора банк вынужден хранить многие из этих данных в обезличенном или заблокированном виде еще многие годы (например, для выполнения обязательств по противодействию отмыванию денежных средств). Главное, чтобы вам могли назвать и объяснить причины хранения.

Обращайте внимание на тот объем данных, который у вас запрашивают. Например, зачем вам вводить серию и номер паспорта при регистрации на сайте интернет-магазина.

Посмотрите, просят у вас согласие на обработку персональных данных или нет. Если нет, понимаете ли вы, на каком основании эти данные обрабатываются.