15 ноября в Беларуси вступит в силу закон о защите персональных данных, в этот же день будет зарегистрирован недавно созданный Национальный центр защиты персональных данных. Зачем нужен такой госорган, объясняет юрист и правозащитник Алексей Козлюк.
Чем будет заниматься этот орган?
— Законодательство о персональных данных — это не изобретение Беларуси. С 1980-х годов прошлого века в Европе началось принятие национальных законов в этом направлении. В Беларуси, как и в других странах, правовой акт разработан согласно принципам, которые заложены в Конвенции Совета Европы №108, пусть Беларусь к ней и не присоединилась, — говорит юрист и правозащитник Алексей Козлюк.
С 15 ноября, когда вступит в силу закон о защите персональных данных, все организации, компании, госорганы, которые работают с информацией о людях, в контексте этого документа станут операторами, обрабатывающими персональные данные. А одним из центральных элементов их защиты будет уполномоченный орган, который выполняет контрольную функцию и помогает обработчикам данных работать с этой информацией так, чтобы не нарушать закон. В Беларуси таким органом будет Национальный центр защиты персональных данных.
Ключевое требование к такой структуре, говорит юрист, это ее независимость, так как она должна иметь возможность проверять соблюдение закона как государственными органами, так и организациями и бизнесом. Кроме того, при центре будет создан реестр операторов персональных данных. А уже они должны будут вносить в него сведения об информационных ресурсах и системах, которые содержат персональные данные.
Центр будет иметь право проверять соблюдение закона о защите персональных данных операторами, выносить письменные требования об устранении обнаруженных нарушений, при необходимости требовать прекращения обработки персональных данных. В этой структуре будут обучать представителей организаций безопасной работе с персональными данными и их защите, следует из указа, где говорится о создании этого органа.
В государствах, где есть подобные организации, практика такая, что они также рассматривают обращения людей, которые считают, что их права в сфере обработки персональных данных нарушены, проводят проверки операторов (то есть организаций, бизнеса и госорганов), разъяснительную и просветительскую работу, готовят и публикуют пояснения к законодательству, принимают участие в международном сотрудничестве в этой сфере. Похожие функции будут и у белорусского органа.
В некоторых странах такие центры могут выписывать штрафы за определенные нарушения законодательства по своему профилю, в других — обращаться в суд или другие органы для проведения проверки и устранения нарушений. В Беларуси у центра не предусмотрены полномочия штрафовать операторов, нарушающих закон, однако есть возможность требовать прекращения обработки персональных данных, что в некоторых сферах для бизнеса может быть еще более чувствительной мерой.
Почему все это не могут делать уже существующие органы?
Именно потому, что эта организация должна быть независимой от всех государственных структур, которые она будет проверять. В противном случае встает вопрос о ее объективности.
— Например, МВД является крупным оператором персональных данных. Вопрос в том, может ли орган, созданный как подразделение этого ведомства, эффективно расследовать возможные злоупотребления, утечки и несовершенства в этой сфере? Ответ очевиден, — говорит Алексей Козлюк. — Буквально недавно заявлялось об утечке персональных данных миллионов граждан Беларуси, которые хранились в базах данных МВД. Мы не знаем всех подробностей, потому что МВД никак это не комментировало. По таким случаям в том числе работают подобные органы.
Центр будет следить и за тем, распространяют ли такую информацию физические лица?
Как правило, такие органы не следят за соблюдением закона отдельными людьми, они работают именно с организациями, которые собирают и обрабатывают персональные данные.
— Возьмем гипотетическую ситуацию, когда сотрудник телекоммуникационного оператора или госоргана продал информацию, к которой имеет доступ на работе. Пусть это будет информация о геолокации граждан или их паспортные данные и номера телефонов. С точки зрения закона о защите персональных данных, это является нарушением со стороны компании. Значит, с компанией и будет работать центр, — поясняет юрист.
С точки зрения уполномоченного органа по защите персональных данных, расследование или проверка будет заключаться в том, чтобы понять, почему такая утечка была допущена, какие нормы законодательства нарушены и что может быть сделано, чтобы такие ситуации предотвратить, говорит юрист. Например, этот орган может потребовать прекратить обработку данных до устранения нарушений. А вот расследовать, какой конкретно человек нарушил закон и какое он может понести наказание, это уже компетенция правоохранительных органов.
Что вообще относится к персональным данным?
Точного списка, что относится к персональным данным, не существует. В законе прописано, что это любая информация, которая относится к конкретному идентифицированному лицу либо на ее основе этот человек может быть опознан, — т.е. любая информация, которая раскрывает личность конкретного человека, поясняет Алексей Козлюк.
— Например, это база данных, где есть имя, фамилия, год рождения, номер паспорта, адрес. Если просто сделанное фото или видео на улице не подпадает под эту категорию, то уже использование этих фото и видео для идентификации человека является обработкой персональных данных.
Персональные данные есть у многих государственных органов, большие базы данных о гражданах хранятся у правоохранительных органов, есть они у банков, страховых компаний. И даже магазины получают такую информацию, когда покупатели регистрируются в программах лояльности.
В международной практике к персональным данным относится не только информация о конкретном человеке, но и о его девайсах, например, IP адрес, или о действиях их пользователя, в том числе в Интернете, например, cookies. Многие, наверное, обращали внимание, что иностранные сайты в последние годы стали предупреждать, что собирают информацию о cookies и просят согласия на это.