Каждому оператору предстоит реализовать комплекс мер по защите прав субъектов персональных данных.
Об этом сообщил заместитель начальника управления — начальник отдела конституционного права Национального центра законодательства и правовых исследований Беларуси Николай Саванович на круглом столе в пресс-центре БЕЛТА.
«В целом закон «О защите персональных данных» реализовал достаточно нетипичный для нас риск-ориентированный подход, когда конкретные меры по защите прав субъектов персональных данных и достаточность этих мер определяет сам оператор исходя из целей обработки персональных данных. Этот подход не совсем характерен для нашей правовой системы, но в условиях развития информационных технологий, учитывая, что количество операторов у нас исчисляется сотнями тысяч, определить для каждого из них исчерпывающий перечень мер на уровне законодательства не представляется возможным. Тем не менее законодатель создал определенный ориентир — целый ряд мер, которые должна реализовать каждая организация», — сказал Николай Саванович.
Он отметил, что фактически любая организация, имея работников, выступает оператором по отношению к обработке персональных данных хотя бы этих работников. Среди мер, которые необходимо реализовать, — назначение специалиста, работника, который будет заниматься вопросами внутреннего контроля соблюдения законодательства о защите персональных данных, консультировать руководителя и иных работников, которые их обрабатывают, рассматривать обращения граждан.
«Достаточно важной мерой является издание каждым оператором политики по обработке персональных данных, она более известна как политика конфиденциальности. В рамках этой политики каждый оператор раскрывает, какие персональные данные, для каких целей, на каком правовом основании он обрабатывает. Эта мера служит обеспечению прозрачности обработки персональных данных, чтобы для гражданина эта обработка не стала неожиданной», — отметил Николай Саванович.
Кроме того, обязанность всех операторов — проводить обучение работников, которые уполномочены на осуществление внутреннего контроля, а также тех, кто непосредственно обрабатывает персональные данные. «Эта мера направлена на то, чтобы в последующем работники, обработчики не могли сказать, что они по тем или иным причинам нарушили закон, не зная, что такой закон существует. Законодатель, формируя такую норму, исходил из того, что предупредить правонарушение гораздо проще, чем потом восстановить статус-кво, потому что личную информацию, которая может появиться в интернете, удалить, вернуть назад очень сложно», — обратил внимание заместитель начальника управления.
Продолжая тему нововведений, Николай Саванович указал на комплекс прав, которыми наделяются субъекты персональных данных — граждане. «Таких прав у нас в законодательстве до сих пор не было. Четкий механизм реализации этих прав, с одной стороны, обеспечивает возможность гражданину контролировать обработку персональных данных о нем, а с другой — возлагает на организации определенные обязанности, что вынуждает их внимательно относиться к обработке, учету персональных данных, определять, кому они могут, а кому нет передавать эти персональные данные», — отметил Николай Саванович.
Также четко определены случаи, когда обработка персональных данных возможна с согласия человека, а когда этого не требуется. Важным является положение об обработке персональных данных в рамках договорных отношений.
Говоря о роли Национального центра защиты персональных данных, заместитель начальника управления отметил, что этот орган будет заниматься контролем за обработкой персональных данных, выполнять функцию разъяснения законодательства. «Еще раз хочу подчеркнуть: этот орган как в силу численного состава, так и функционала не может заниматься юридическим консультированием организаций», — сказал он, уточнив, что вопросы методологического характера, пробелы в законодательстве являются предметом деятельности этой организации.
В целом закон «О защите персональных данных» призван создать комплексное консолидированное регулирование в этой сфере. По словам Николая Савановича, на момент подготовки законопроекта к нему было неоднозначное отношение, потому что многие организации воспринимали и воспринимают до сих пор положения этого закона как бремя для себя, необходимость усложнения своей деятельности. «В определенной степени это действительно так», — согласился он.
Вместе с тем заместитель начальника управления пояснил, почему закон так важен и в целом зачем регулировать обработку персональных данных. По его словам, еще не так давно основной массив информации был на бумажном носителе, и тот, кто физически контролировал бумажный носитель, контролировал и информацию. Но сегодня однажды веденная в информационную систему информация одновременно может отражаться в различных точках мира и человек перестает ее контролировать, не зная, кто, как и для каких целей будет использовать эти данные. Именно развитие информационных технологий, средств информатизации вызвало необходимость совершенствовать законодательство о персональных данных.
В Беларуси вопросы работы с персональными данными регулировались различными актами, но базовым был закон «Об информации, информатизации и защите информации». На сегодня его положения устарели. В этой связи Николай Саванович привел несколько примеров. «Достаточно сказать, что персональные данные охватывали только ту информацию, которая прямо идентифицировала субъекта, то есть информацию, где была его фамилия, имя и отчество. То есть если мой номер карточки и пароль не содержат фамилию, имя и отчество, то это уже не персональные данные. Это не соответствует реалиям сегодняшнего дня. Как не соответствует реалиям и то, что вся обработка осуществлялась с письменного согласия, если иное не предусмотрено законодательными актами. Очевидно, что в век информационного общества, в век развития информационных технологий требование получения письменного согласия излишне обременительно и более того — оно невыполнимо и может стать неоправданным барьером на пути развития информационных технологий», — сказал он.
Заместитель начальника управления подчеркнул: закон направлен на минимизацию тех издержек и недостатков, которые могут возникнуть в связи с автоматизированной обработкой персональных данных.