Что волнует специалистов по защите персональных данных в Беларуси

Биометрия, взаимодействие с подрядчиками и автоматизированная обработка данных – наиболее актуальные темы для белорусских специалистов по защите персональных данных. Это показал круглый стол, организованный отделением специалистов по защите персональных данных ОО «Белорусский республиканский союз юристов» в Минске 12 июня. 

Биометрические методы идентификации

Поставщики технических решений все активнее предлагают бизнесу внедрение биометрии – для защиты клиентских профилей, контроля персонала и выявления потенциально проблемных посетителей. При этом у специалистов по защите персональных данных сохраняются вопросы к таким подходам.

По мнению заместителя директора ЗАО «РИТЭЙЛ КОНСАЛТ» (холдинг «5 элемент») Максима Сергеевича Гречаникова, эффективность биометрических технологий пока вызывает сомнения с учетом требований к защите персональных данных. Их внедрение предполагает создание и хранение базы биометрической информации с применением комплексных мер технической и криптографической защиты. В процессе применения также есть подводные камни: при визуальном контроле будет происходить сопоставление изображения со всей базой данных, что может замедлять доступ на рабочие места. Кроме того, при использовании 2D-сканеров систему можно обмануть с помощью чужой фотографии.

Также возникает вопрос соразмерности цели и результата: к примеру, чтобы выявлять потенциальных мошенников, посещающих торговые объекты, надо фиксировать данные всех посетителей, что ставит вопрос о допустимости такого объема обработки персональных данных.

В то же время представители нотариального сообщества, в частности нотариус, председатель Минского городского отделения Белорусского республиканского союза юристов Наталья Владимировна Борисенко, отмечают интерес к созданию государственного ресурса биометрической идентификации, особенно в условиях внедрения удаленного режима удостоверения сделок.

Национальный центр защиты персональных данных (НЦЗПД) в лице начальника управления методологии защиты персональных данных Ирины Анатольевны Пырко подчеркивает, что сбор и хранение любых персональных данных должны быть пропорциональными и обоснованными. Если в стране произошло несколько случаев обмана из-за отсутствия биометрического контроля, то это не повод собирать и хранить данные всех граждан.

Персональные данные клиентов обрабатывает компания-подрядчик

Слабым звеном в существующей системе защиты персональных данных в белорусском бизнесе остается взаимодействие с подрядчиками (уполномоченными лицами), особенно если они являются микроорганизациями, индивидуальными предпринимателями или самозанятыми.

Как отметили участники дискуссии – DPO (ответственные за внутренний контроль обработки персональных данных), представители этих категорий подрядчиков не всегда готовы соблюдать требования законодательства. Нередко они считают, что отсутствие отдельного соглашения об обработке персональных данных (DPA) с заказчиком освобождает их от ответственности за возможные утечки. Поэтому предложение закрепить такие условия в договоре на выполнение работ часто воспринимается негативно.

При этом значительная часть работ выполняется удаленно, с использованием домашних компьютеров, на которых ситуация с технической защитой информации может быть далека от идеальной.

Подобные риски встречаются и у крупных компаний-подрядчиков. В качестве примера приводился случай, когда заказчику предоставлялся аттестат ОАЦ на систему технической защиты, однако при проверке выяснялось, что он выдан только на 1C-бухгалтерию в защищенном сегменте, тогда как обработка данных фактически велась на других мощностях информационной системы.

Эксперты рекомендуют:

• закреплять обязанности и ответственность подрядчиков по обработке персональных данных в отдельных соглашениях либо в договорах на выполнение работ;

• проверять систему защиты информации у подрядчика, прописывать требования технической защиты информации к его рабочим местам, особенно при удаленном доступе.

Автоматизированная обработка персональных данных: подходы к регулированию

НЦЗПД подготовил поправки в законодательство о защите персональных данных, в которых отдельное внимание уделено автоматизированной обработке, включая использование технологий ИИ.

По словам И. Пырко, на первом этапе согласования законопроекта существенных замечаний от госорганов не поступило – в основном они касаются отраслевой специ­фики.

Принципиальный подход при автоматизированной обработке персональных данных заключается в следующем: человек должен быть заранее информирован о том, что решение на основании обработки его данных будет принимать компьютерная программа. И если такая ситуация не вытекает из нормы закона – дать на такую обработку свое согласие. Кроме того, по запросу человеку должны предоставляться пояснения, на каком основании программой принято не устраивающее его решение, например, об отказе в выдаче кредита или в приеме на работу.

Также в законопроекте предусмотрены и другие новации. В частности, предлагается закрепить сложившиеся в практике реализации закона подходы о том, что согласие граждан на обработку их персональных данных не требуется в случае, если организация исполняет обязанности (полномочия), возложенные на нее не только законодательными, но и иными нормативными правовыми актами, принятыми в их развитие.

Помимо этого, предполагается закрепить сложившуюся практику назначения DPO. Для организаций со штатом работников более 50 человек, осуществляющих обработку больших массивов персональных данных, предлагается закрепить требование о наличии освобожденного DPO. А вот организациям, относящимся к субъектам малого предпринимательства, предлагается предоставить право привлекать для этой работы аутсорсеров, оказывающих соответствующие услуги.

***