Директор центра защиты персональных данных назвал основные ошибки операторов

27 января 2022
491 просмотров

Директор Национального центра защиты персональных данных Андрей Гаев во время пресс-конференции по случаю Международного дня защиты персональных данных назвал основные ошибки операторов, передает корреспондент БЕЛТА.

"За два с половиной месяца к нам поступило около 180 запросов по самому широкому спектру направлений - начиная от работы по обработке персональных данных в сферах жилищно-коммунального хозяйства, образования, вопросам, связанным с деятельностью банков, и заканчивая работой торговых сетей, которые также собирают персональные данные в рамках разработанных и продвигаемых ими программ лояльности", - сказал Андрей Гаев.

На основании поступающих обращений и жалоб выявлен ряд проблем, заметил директор центра. Если говорить об операторах, очевидно, что в целом упущен 6-месячный срок, отведенный на вступление в силу основных положений закона о защите персональных данных. "Многие операторы пытаются нагнать упущенное время, и из-за того, что своевременно те или иные решения, вытекающие из закона, не были реализованы, возникают проблемы, связанные с последующей защитой персональных данных граждан", - обратил он внимание.

"Во-вторых, просматривается "культ согласия", когда согласие от граждан стали брать и когда это предусмотрено законом, и когда делать этого не требуется", - сказал Андрей Гаев. Он пояснил, что к такому вопросу, как получение согласия, установлен ряд серьезных требований, основным из которых является добровольность и непринужденность.

"Виртуальная среда поставляет нам огромное количество услуг. И если бы мы на каждую из них брали согласие и требовали это законодательно, то, наверное, только тем бы и занимались, что формулировали эти согласия и направляли операторам", - отметил директор центра. Он пояснил, что законодательными актами, прежде всего законом о защите персональных данных, установлен широкий перечень оснований, когда обработка осуществляется без получения согласия. Например, при обращении в организацию с разного рода заявлениями, ходатайствами, за осуществлением административных процедур, при заключении договоров.

"С согласием есть еще один блок проблем. Он связан с тем, что, получив такое согласие, ему придается абсолютный характер. Раз получили согласие - значит, никаких иных мер по защите персональных данных и по исполнению требований закона, мол, принимать не надо. Это, конечно же, не так", - заметил Андрей Гаев.

Он напомнил, что в законе о защите персональных данных установлен рискориентированный подход: конкретный перечень мер, которые должен предпринять оператор, определяет он сам. А закон установил лишь базовые требования, которые каждый оператор должен соблюсти. Речь идет о разработке соответствующего документа, определяющего политику по обработке персональных данных, определении категории лиц, которые имеют доступ к персональным данным, мерах по технической и криптографической защите информации, ознакомлении работников с законодательством о защите персональных данных. "В этой связи такое согласие не может носить абсолютный характер, потому что ряд мер оператор должен предпринять, чтобы как сама обработка, так и в последующем защита персональных данных осуществлялись должным образом", - отметил Андрей Гаев.

Директор центра также указал на проблему, когда одно согласие отбирается одновременно для нескольких не связанных между собой целей. Например, при входе в систему дистанционного банковского обслуживания человеку, желающему получить доступ к оказанию услуг в цифровой форме, связанных с реализацией заключенного с банком договора на банковское обслуживание, одновременно предлагается дать согласие на разного рода коммерческую рекламную рассылку. "Эти две вещи между собой абсолютно не связаны. Если обслуживание, связанное с реализацией договора, не требует никакого согласия, то для получения рекламной, иной подобного плана рассылки согласие необходимо получать, оно должно быть добровольным. Человек, входя в систему дистанционного обслуживания, должен иметь возможность отказаться от подобного рода предложений, если он не хочет получать эту рассылку", - пояснил он.

Говоря об обращениях граждан, он отметил, что типичная ошибка - направление жалоб не по установленной форме. "Жалобы в Национальный центр защиты персональных данных направляются либо в классической письменной форме, либо в виде электронного документа с электронной цифровой подписью. Зачастую к нам направляются обычные электронные сообщения. Такие обращения и жалобы рассмотрению не подлежат. Сделано это в законодательстве осознанно, чтобы не допустить злоупотребления правом и не породить несанкционированную рассылку, носящую характер злоупотреблений", - пояснил директор центра.

По его словам, на первоначальном этапе центр делает упор в работе на предупредительную составляющую. "Мы стараемся концентрировать усилия на выработке различного рода рекомендаций, иных методологических документов, чтобы оказать помощь и содействие как операторам, так и людям, чтобы, разобравшись, реализовать в полном объеме те права и обязанности, которые вытекают из закона о защите персональных данных", - добавил Андрей Гаев.

Национальный центр защиты персональных данных создан два с половиной месяца назад. Он является уполномоченным органом по защите прав субъектов персональных данных, его ключевые задачи - организация защиты персональных данных в Беларуси и образовательного процесса по этому направлению.

Если вы заметили ошибку в тексте материала, пожалуйста, выделите её и нажмите Ctrl+Enter

Вы можете выделить и получить фрагмент текста, который получит уникальную ссылку в вашем браузере.