Формальности не спасают: как бизнесу грамотно обращаться с персональными данными

На бизнес-интенсиве по вопросам персональных данных, прошедшем в БГЭУ, собрались представители компаний, заинтересованные в грамотной и безопасной работе с информацией. Участники обсуждали, как правильно хранить, обрабатывать и передавать персональные данные, чтобы избежать юридических последствий — от штрафов до уголовной ответственности.

Начальник управления контроля и аудита НЦЗПД Владимир Кузуро обратил внимание на сохраняющиеся проблемы в соблюдении законодательства: «До сих пор руководители высокого уровня заявляют, что номер телефона не относится к персональным данным. Это очень грустно слушать».

Какие ошибки чаще всего допускают предприниматели и как не выйти за рамки закона — в нашем материале.

Что такое персональные данные: закон и основные термины

Более трех лет в Беларуси действует закон Республики Беларусь №99-З «О защите персональных данных» от 7 мая 2021 года. За это время документ успел стать важной частью правового поля: белорусский бизнес обязан соблюдать комплекс мер — правовых, организационных и технических, — чтобы легально работать с данными клиентов, сотрудников и партнеров.

Обычные же люди теперь могут контролировать свою частную жизнь в цифровом пространстве.

Центральным регулятором в сфере защиты персональных данных в Беларуси является Национальный центр защиты персональных данных (НЦЗПД). Орган рассматривает жалобы людей на неправомерную обработку их персональных данных, дает официальные разъяснения и издает практические рекомендации во всех областях применения закона, включая трудовые отношения.

Под персональными данными закон понимает «любую информацию, относящуюся к идентифицированному физическому лицу или к лицу, которое может быть идентифицировано». Что это такое?

Во-первых, это информация, которая прямо называет человека, отвечает на вопрос «Кто?»:

• Ф. И. О.
• Номер паспорта — легко понять, чей он.
• Номер телефона — он зарегистрирован на конкретного человека.
• Фотография лица — человека можно узнать по фото.

Все это можно отнести к так называемым «очевидным» персональным данным.

Во-вторых, это информация, которая позволяет вычислить человека, отвечает на вопрос «Можно ли найти?». Это самые коварные и неочевидные для многих данные:

• Имейл petrov.job@gmail.com — по нему можно идентифицировать Петрова.
• Никнейм в соцсети или игровой платформе, если он уникальный и привязан к человеку.
• Номер машины — через базу ГАИ можно установить владельца.
• IP-адрес компьютера — особенно если он статический.
• Информация о болезни и посещениях врача.
• Геолокация с телефона в определенное время — если можно установить, кто и где был.
• Отпечаток пальца или цифровое фотоизображение лица — это уникальный биометрический идентификатор.

При этом персональными данными не является только анонимная информация, из которой нельзя понять, о ком речь.

Например, просто статистика («60% наших клиентов — мужчины»), безликий номер заказа («заказ №15487»), если он нигде не связан с Ф. И. О. или телефоном клиента в публичном доступе. Но если внутри вашей компании по номеру заказа можно в базе данных найти полные данные клиента, то для вас этот номер — часть персональных данных.

То есть персональными данными стоит считать любую «ниточку», потянув за которую, можно выйти на конкретного человека.

Именно поэтому закон обязывает бизнес защищать не только базы с паспортными данными, но и, например, логины, пароли, cookie-файлы и многое другое.

Есть и другие важные термины:

• Субъект персональных данных — это сотрудник, клиент, контрагент, посетитель сайта — любой человек, чьи данные обрабатывает компания.
• Оператор — это юридическое или физическое лицо (включая индивидуальных предпринимателей), которые самостоятельно или совместно с другими организуют и осуществляют обработку персональных данных.

— Ключевой момент, который бизнес почему-то упускает: по сути, любая организация является оператором персональных данных. Если у вас есть сотрудники, клиенты или контрагенты, вы уже обрабатываете персональные данные и попадаете под действие закона, — обращает внимание начальник управления контроля и аудита НЦЗПД Владимир Кузуро. — При этом каждый работник компании выступает представителем оператора при обработке персональных данных в рамках своих должностных обязанностей. Таким образом, соблюдение требований законодательства — это общая задача всего коллектива, а не только руководства.

• Уполномоченное лицо — это сторонняя организация, которой вы поручаете обработку данных (например, аутсорсинговый бухгалтер, кол-центр, рассыльщик SMS-сообщений, хостинг-провайдер).

— При привлечении уполномоченного лица к работе с персональными данными основной риск заключается в том, что ответственность перед субъектом данных несете вы как оператор, даже если утечка произошла у вашего партнера, — делает акцент Владимир.

Общие требования к обработке персональных данных

Разработать и внедрить систему защиты персональных данных компании должны сами, с учетом своей сферы деятельности и процессов. Тем не менее в статье 17 закона «О защите персональных данных» указан базовый перечень мероприятий, которые проводить необходимо:

• Определить структурную единицу или персональную ответственность за внутренний контроль процессов обработки персональных данных (требование не распространяется на ИП).
• Разработать и утвердить локальные правовые акты, иную внутреннюю документацию, регламентирующую принципы обработки персональных данных (с обеспечением свободного доступа, включая интернет-ресурсы, до начала процедур по обработке).
• Обучить сотрудников и других людей, непосредственно задействованных в обработке персональных данных; довести им нормы законодательства, локальные правовые акты с подробным разъяснением их содержания.
• Определить порядок доступа к обрабатываемым данным, в том числе в информационных ресурсах (системах).
• Реализовать технические и криптографические меры защиты в соответствии с требованиями Оперативно-аналитического центра при президенте Республики Беларусь.

Дополнительные обязательные требования закреплены указом №422 «О мерах по совершенствованию защиты персональных данных» от 28 октября 2021 года. В частности, документ предписывает формирование и регулярное обновление:

• перечня электронных ресурсов и систем, содержащих персональные данные с категорированием обрабатываемой информации;
• перечня привлекаемых к обработке данных уполномоченных лиц;
• сроков хранения обрабатываемой информации.

Детский телеканал в Беларуси: мечта или реальность? Откровенный разговор с министром информации

Для отдельных категорий операторов, например осуществляющих обработку сведений более 100 000 физических лиц, биометрических и (или) генетических персональных данных, указом установлена обязанность регистрации таких ресурсов и систем в государственном информационном ресурсе «Реестр операторов персональных данных» с последующей актуализацией данных.

Важно, что обработка персональных данных в общем порядке требует получения согласия субъекта, за исключением случаев, предусмотренных законом и иными законодательными актами (часть 1 пункта 3 статьи 4 закона). Более детальная информация об общих принципах обработки, требованиях к согласию и исключительных случаях обработки без такового содержится в статьях 4—6 и 8 законодательного акта.

Отдельный комплекс обязанностей оператора в процессе обработки персональных данных зафиксирован статьей 16 закона. В частности, установлена необходимость:

• разъяснения субъекту его прав и обеспечения защиты данных;
• получения согласия субъекта, за исключением случаев, предусмотренных законом и иными законодательными актами;
• прекращения обработки данных (включая удаление или блокирование информации) при утрате правовых оснований;
• корректировки неполных, устаревших или недостоверных сведений;
• исполнения других сопутствующих обязанностей.

Какие ошибки не стоит совершать белорусскому бизнесу

Владимир Кузуро обозначил несколько важных ошибок, которые продолжает допускать бизнес.

— До сих пор руководители высокого уровня заявляют, что номер телефона не относится к персональным данным. Это очень грустно слушать, — выразил недоумение эксперт.

Владимир Кузуро, начальник управления контроля и аудита НЦЗПД:

— Какие еще ошибки мы видим:

1. Сбор согласий на все подряд. Самая распространенная ошибка — думать, что любая обработка данных требует согласия. Закон предусматривает десятки иных правовых оснований (исполнение договора, трудовые отношения, обязанность по закону). Сбор согласия там, где оно не нужно, не спасает, а лишь ведет к очередному нарушению.
2. Непонимание «зоны ответственности». Бизнес не понимает статуса уполномоченных лиц и не контролирует, как партнеры обращаются с переданными данными. В итоге данные «гуляют» по неконтролируемой цепочке.
3. Иллюзия выполнения требований. Компании пишут «бумажки» (политики и положения) и не только не внедряют реальные процессы нормативного закрепления, но и не обеспечивают его исполнение.

Поймите: регулятор проверяет не документы, а фактическую «достаточность» мер защиты.

Владимир Кузуро также называет главные «болевые точки», где бизнес попадает под удар:

• Видеонаблюдение. Массовая установка камер без объективной необходимости, уведомления людей и отражение процессов видеонаблюдения в отдельной политике.
• Биометрия. Использование отпечатков пальцев для контроля доступа без понимания, что это обработка специальных категорий данных с повышенными рисками. Еще ни одна организация не показала, как она реализовала комплекс мер по предупреждению рисков для прав и свобод граждан при сборе таких данных.
• Передача данных по запросам. Бизнес, госорганы безосновательно запрашивают и предоставляют персданные по любым запросам, не требуя ссылку на норму закона, разрешающую это сделать.

Чем может грозить такое отношение к персональным данным со стороны оператора? Как правило, это:

• Административная ответственность. Штрафы на должностных лиц — до 100 базовых величин, на юридическое лицо — до 50. Но это «слезы» для серьезного бизнеса.
• Уголовная ответственность. За незаконные действия в отношении информации о частной жизни и персональных данных грозит до 5 лет лишения свободы.
• Дисциплинарная ответственность. Работник может быть уволен, если нарушит порядок сбора и обработки персональных данных.
• Гражданско-правовая ответственность. Субъект данных может взыскать с компании компенсацию морального вреда.
• Репутационные потери. Утечки персональных данных, потеря доверия клиентов и партнеров.

Все это приводит к вопросу о том, что можно сделать бизнесу, чтобы избежать рисков, связанных с нарушениями закона о персональных данных.

Кто такой DPO и что он должен делать

— Обратите внимание, что эта должность называется не «специалист по борьбе с трудностями», а «специалист по осуществлению внутреннего контроля». Но в 8 из 10 компаний этот человек даже и близко не приступил к контролю. Он годами «учится» и «готовит документы и организацию» к этому контролю, — подчеркивает Владимир Кузуро.

Эти слова от представителя регулятора как нельзя лучше описывают ситуацию на рынке труда по этому направлению: спрос на специалистов по защите данных (Data Protection Officer, DPO) большой, но высококвалифицированных кадров — единицы.

— Вы должны понимать, что это не просто «еще один юрист» — это ключевой управленец, — обращает внимание эксперт.

Вот что он должен делать:

• Реализовать риск-ориентированный подход. Закон не содержит готового списка мер, DPO должен сам оценить риски для прав субъектов данных в компании и внедрить необходимые и достаточные организационные, правовые и технические меры. Регулятор будет проверять именно работу этой системы.
• Обеспечить назначение ответственных и издание локальных актов. Это не просьба, а требование закона. Должны быть назначены ответственные за обеспечение защиты информации, издан приказ о порядке доступа к данным, разработаны реально работающие положения и политики.

Документы должны быть «заточены» под специфику вашего бизнеса.

• Организовать обучение сотрудников. Регулятор при проверке будет опрашивать рядовых бухгалтеров, менеджеров, кадровиков — они должны своими словами объяснить, какие данные обрабатывают и на каком основании. При этом необходимо, чтобы работник был готов ответить не на вопрос проверяющего (что тоже важно), а на простой вопрос обычного человека: почему, например, не берете согласие или просите предоставить такой объем сведений.
• Обеспечить техническую защиту. Речь идет о выполнении указа президента №196, закона «Об информации, информатизации и защите информации», приказа ОАЦ №66 — создании системы защиты информации (СЗИ) и получении аттестата соответствия.

— Если у вас в организации нет этой СЗИ и такого аттестата, DPO условно не должен спать спокойно, — акцентирует внимание представитель регулятора.

Напрашивается вывод о том, что успех обеспечения защиты данных в компании зависит преимущественно от двух факторов: поддержки руководства и квалификации DPO.

— Пока бизнес экономит на этих пунктах, он продолжает нести скрытые убытки и жить на пороховой бочке, — предостерегает Владимир.

Невинная ошибка или преступление? Границы ответственности в кейсах Центра

На конференции также были представлены кейсы, которые вызывают недоумение, если не сказать шокируют. Их представила Ольга Шибко.

Ольга Шибко, заместитель начальника управления образования и коммуникации НЦЗПД:

— По нашим наблюдениям, сфера торговли и услуг зарабатывает на персональных данных, но недостаточно инвестирует в их защиту. Это не только грустно, но и опасно, — обращает внимание Ольга.

По ее словам, только в этом году в Национальный центр защиты персональных данных поступило около 400 жалоб, что свидетельствует о системных проблемах в бизнес-среде.

— Мы также знаем о том, что 20% кибератак начинаются с утечки учетных данных — это официальная информация, — подчеркивает эксперт.

Граждане сегодня стали общественными контролерами, и спокойной жизни не будет.

Ольга убеждена, что цифра в 400 жалоб тесно коррелирует с ростом правовой грамотности населения. Белорусы осознали, что имеют широкий спектр прав в области защиты персональных данных, и активно отстаивают их. Она также привела реальные примеры из практики, когда серьезные нарушения происходили по незнанию сотрудниками базовых требований к работе с персональными данными.

— Представьте: на официальном сайте учреждения размещена ссылка на «Google Диск» с диагнозами детей-инвалидов, адресами и данными родителей, — приводит пример эксперт. — И это не сценарий фильма, а реальный случай, когда сотрудник просто не понимал, что так поступать нельзя.

Не менее показательная история произошла в одной из коммерческих организаций.

— Бухгалтер расшифровала больничный лист сотрудника, узнала о его депрессии и поделилась этой информацией с коллегами, — рассказывает Ольга. — Результат — увольнение и штраф, хотя могло быть еще серьезнее: пострадавший мог взыскать моральный вред через суд.

И еще один вопиющий случай — когда медицинский центр в ответ на негативный отзыв пациента в интернете опубликовал его диагноз.

— Маркетолог просто не понимал, что так делать нельзя, — констатирует Ольга Шибко.

Одним из кейсов регулятора стала история многодетной матери и цепочка последствий.

— В одном из случаев, которые мы рассматривали, многодетная мама после навязчивого звонка взяла кредит на $3000. Первоисточником этой неприятности стала незаконная обработка персональных данных — ее номера мобильного телефона, что привело к утечке, — отметила эксперт.

— Почему обучение — ключ к безопасности? Потому что сотрудники — первая линия защиты персональных данных в организации, а их обучение снижает риски и повышает ответственность. Печально, когда ошибки происходят не из злого умысла, а по незнанию. Поэтому обучить всех сотрудников, работающих с данными в организации, — это обязанность оператора, — подчеркивает Ольга Шибко.

Согласно указу президента №422, его должны проходить:

• не реже одного раза в 5 лет;
• с учетом специфики бизнес-процессов компании;
• кроме прочих, работники, имеющие доступ к персональным данным, в том числе бухгалтерии, кадровой службы.

— Даже девушка на ресепшене, которая встречает клиентов, должна понимать, какие действия с персональными данными она совершает, — обращает внимание эксперт.

Для банков, страховых, риелторских, туристических, медицинских и иных организаций предусмотрено обязательное повышение квалификации в Национальном центре защиты персональных данных.

— Поверьте, что это не минутка рекламы, а обязательная мера защиты персональных данных, предусмотренная законодательством, — отмечает Ольга Шибко.

Наряду с повышением квалификации по вопросам защиты персональных данных НЦЗПД реализует образовательные программы по технической и криптографической защите информации, есть также краткосрочные обучающие курсы в онлайн-формате. Вся информация представлена на официальном сайте Центра.

На сайте Центра в разделе «Портфель оператора» есть необходимые алгоритмы, шаблоны документов, примерные формы и образцы политик, согласий, реестров. Для малого и среднего бизнеса специалисты НЦЗПД подготовили разъяснения и чек-лист.

— Не поленитесь, зайдите на сайт, посмотрите или скачайте этот чек-лист и проведите внутренний аудит своих бизнес-процессов на соответствие законодательству о персональных данных, — советует эксперт.

Все материалы, в том числе постатейный комментарий к закону «О защите персональных данных», доступны на сайте Национального центра защиты персональных данных и в телеграм-канале, где регулярно публикуются разборы реальных кейсов, жалоб, ответы на часто задаваемые вопросы и практические рекомендации по соблюдению законодательства о персональных данных в Беларуси.

— Помните: правила уважения к персональным данным клиентов — это не формальность, а необходимость для устойчивого развития бизнеса в современных условиях. Лучше платить за безопасность, чем расплачиваться за ее отсутствие. Поэтому расходы бизнеса на реализацию мер защиты персональных данных и обучение сотрудников — это не траты, а инвестиции, — заключает Ольга Шибко.

Как избежать роковых ошибок при работе с клиентской базой

— Иллюзия безопасности, в которой живет большинство компаний, разбивается о суровую реальность, — убеждена Анна Стрельчик. Яркой иллюстрацией этому стала недавняя масштабная утечка у крупной сети строительных гипермаркетов, где в открытый доступ попали данные более 109 тыс.

Анна Стрельчик, DPO компании «Дженерал Лизинг»:

По словам специалиста, ситуация усугубляется тем, что многие компании даже не подозревают о том, что их данные уже скомпрометированы. Таким образом, проблема приобретает двусторонний характер: с одной стороны, хакеры, для которых масштаб бизнеса не имеет значения, с другой — повсеместное невыполнение компаниями даже базовых требований регулятора.

— Не нужно быть IT-гигантом, чтобы стать мишенью. Достаточно быть бизнесом, у которого есть что забрать, — предупреждает специалист.

Ваши базы данных сотрудников, клиентов и партнеров — это уже достаточная причина для хакерской атаки.

Для построения эффективной системы защиты данных эксперт рекомендует начать с фундаментального аудита, ответив на пять ключевых вопросов:

1. Что мы защищаем? Состав обрабатываемых данных варьируется в зависимости от сферы деятельности. Это могут быть контактные данные и история покупок в ретейле, медицинские диагнозы и истории болезни в здравоохранении или информация о доходах и кредитных историях в финансовом секторе.
2. Зачем нам эти данные? «Важно четко определить цели и правовые основания обработки — для рассылок, ведения личных кабинетов или образовательного процесса», — советует специалист.
3. Где мы их обрабатываем и храним? Это не только бумажные носители, но и электронная почта, локальные компьютеры, сайты с формами обратной связи и мобильные приложения.
4. Кому мы предоставляем доступ? «Забирали ли вы доступ у сотрудников, которые уволились?» — задает риторический вопрос эксперт.
5. Кому мы доверяем обработку? Речь идет об уполномоченных лицах и подрядчиках.

— Выбор подрядчика в части защиты персональных данных может стать роковой ошибкой, — предупреждает специалист.

DPO рекомендует оценивать партнеров по нескольким критериям:

• Техническая зрелость и наличие необходимых разрешительных документов.
• Репутация на рынке и релевантный опыт.
• Наличие обученных квалифицированных специалистов.
• Соответствие требованиям законодательства.

При заключении договора с уполномоченным лицом необходимо предусмотреть:

• четкие цели обработки и перечень действий с персональными данными;
• обязанности по обеспечению конфиденциальности и меры по обеспечению защиты;
• порядок предоставления доступа к информации;
• ответственность за нарушения;
• процедуру прекращения обработки.

— Относитесь к персональным данным ваших клиентов так, как вы хотели бы, чтобы относились к вашим, — заключает специалист. — Этот подход не только поможет избежать штрафов от регулятора, но и сохранит репутацию компании. Правильно выстроенная система работы с персональными данными — это не дополнительная нагрузка на бизнес, а необходимое условие его выживания в современной цифровой среде.

Почему 90% белорусских компаний — это все еще легкая добыча для хакеров

Данными о нарушениях безопасности поделился и провайдер IT-инфраструктуры и крупнейший регистратор доменов в Беларуси. Приводим основные тезисы спикеров hoster.by.

Сергей Самохвал, руководитель центра кибербезопасности hoster.by:

— За первые три квартала этого года наш центр кибербезопасности зафиксировал 138 киберинцидентов высокого уровня. В большинстве своем эти случаи — следствие компрометации корпоративных активов посредством вредоносного ПО, социальной инженерии (фишинга) и утекших ранее учетных данных работников.

По нашим данным, основную угрозу сегодня создают не столько внешние атаки, сколько внутренние процессы: 90% компаний полагаются на устаревшие политики безопасности и формальные процедуры, которые не эволюционируют вместе с киберугрозами и создают риски компрометации.

Мы уделяем особое внимание вопросам информирования, в том числе в части защиты персональных данных. Законодательная база в этой области довольно свежая, и большинство компаний еще не приняли все необходимые организационные, правовые и технические меры защиты.

Николай Саванович, DPO hoster.by:

— Когда встает вопрос об обеспечении мер защиты персональных данных, компании часто учитывают только собственные системы, в то время как сторонние сервисы для хранения и обработки данных остаются незамеченными или разбросанными по разным документам.

Такие ресурсы образуют так называемые «слепые зоны», где возрастает риск незаконного доступа, постоянного хранения или утечки: например, различные учетные записи работника на используемых организацией ресурсах после его увольнения.

В ряде ситуаций DPO просто не знает о применении таких ресурсов и не может контролировать использование персданных в них. Возникают трудности с определением границ ответственности и контролем соблюдения требований закона в отношении временно используемых ресурсов.

Вот почему важно вести единый реестр всех используемых ресурсов, включая временные и сторонние, с указанием статуса владельца и ролей в обработке данных.

Это позволит устранить «слепые зоны» и минимизировать риски нарушения законодательства и репутационные потери.

Безопасность — это культура

Нина Никанорова, директор онлайн-сервиса «Битрикс24» в Беларуси:

— Когда мы говорим о защите персональных данных, чаще всего вспоминаем юридические формулировки, согласия и приказы. Но на самом деле это про доверие, про то, как бизнес обращается с самой ценной информацией своих клиентов и как эта ответственность может стать вашим конкурентным преимуществом, — убеждена Нина Никанорова. — Как уже было сказано выше, каждый бизнес, который работает с информацией о клиентах, становится оператором персональных данных. И вопрос не в том, нужно ли защищать данные, а в том, насколько системно это делать. Безопасность — это не тренинг для галочки, а культура — от разработки продукта до онбординга новых сотрудников.

Когда бизнес начинает относиться к персональным данным как к ценности, выигрывают все: и клиенты, и команда, и репутация.

Поправки в закон о персональных данных: что изменится в 2026 году

По информации НЦЗПД, также стало известно о готовящихся на 2026 год изменениях в законодательстве в отношении персональных данных.

— Утечка в сеть, где хозяйничает ИИ, личной информации — необратимая ситуация. Это заставляет нас смотреть на сегодняшние нормы закона «О персональных данных» как на фундамент цифрового будущего. Главный вызов — двойственная природа ИИ, который, решая задачи, создает риски несанкционированного использования персональных данных. Многие люди и не подозревают, как их данные в отсутствие специальных норм могут быть использованы алгоритмами, — обращает внимание регулятор.

Ключевой принцип будущих изменений в законодательстве — человеческий контроль над автоматизацией.

Искусственный интеллект не должен подменять врача в диагностике или принимать решения о приеме на работу.

Права субъектов персональных данных должны включать возможность оспаривания автоматизированных решений.

Корректировки затронут несколько актуальных вопросов:

• Четкость определений. Будет уточнена правовая природа операций с данными (сбор, хранение, удаление и другие) и принципов их обработки, а также статус уполномоченных лиц и третьих сторон. Это упростит соблюдение закона для компаний.
• Либерализация обработки. Будет изменен перечень случаев, когда согласие субъекта на обработку данных не требуется. Например, это коснется данных соискателей из опубликованных ими вакансий, а также информации, обрабатываемой при заключении договоров в пользу третьих лиц (например, договоров страхования в пользу детей или родственников). В таких случаях нужно дать оператору возможность обрабатывать данные без получения согласия.
• Профессиональный стандарт. Ряд вопросов коснется подходов к назначению лица, ответственного за внутренний контроль за обработкой персональных данных в организациях (DPO).

В рамках усиления национальной безопасности предлагается ввести локализацию обработки особо ценных категорий данных, включая сведения о несовершеннолетних и гостайне.

Источник: Onliner