В проекте “Страна говорит” на YouTube-канале БЕЛТА директор Национального центра защиты персональных данных Андрей Гаев рассказал о самых частых нарушениях законодательства в сфере обработки персональных данных операторами на местах.
Отвечая на вопрос о самых частых и грубых нарушениях законодательства операторами персональных данных, Андрей Гаев выделил несколько блоков.
“Во-первых, это нарушения, связанные с упущениями в реализации обязательных мер, предусмотренных законом о защите персональных данных”, – подчеркнул он.
По его словам, закон установил не очень привычный белорусскому правовому полю риск-ориентированный подход.
“Он заключается в том, что всю совокупность мер, которая бы позволила не допустить или минимизировать количество случаев нарушения законодательства о персональных данных, должен определить сам оператор. Но закон говорит и о ряде обязательных мер. Это назначение ответственного лица за осуществление внутреннего контроля за обработкой персональных данных. И здесь мы видим ряд нарушений, когда это делается формально. То есть когда такие функции возлагаются, например, на специалиста отдела или управления по кадрам. В силу своих производственных задач и должностных обязанностей они просто физически не могут выполнять эти функции. Также это может привести к конфликту интересов. К примеру, специалист по кадрам обрабатывает значительный массив персональной информации, и в его деятельности однозначно такой конфликт наблюдается. Есть и такие случаи, когда в организации назначают ответственного за обработку персональных данных в каждом структурном подразделении. Это означает, что никто не занимается персональными данными. Конфликт возникает между подразделениями, и организации этой работы нет”, – привел пример директор.
Кроме этого, Андрей Гаев выделил вопросы, связанные с тем, что формально сотрудник назначен для внутреннего контроля, а фактически работа в этом направлении не проводится.
“Нет описания процесса организации этой работы, хотя должно быть разработано соответствующее положение”, – сказал он.
Помимо этого, одной из обязательных мер для операторов является издание документов, определяющих так называемую политику в вопросах обработки персональных данных.
“Здесь мы тоже констатируем ряд нарушений. В ряде ситуаций эти политики пишутся формально, копируется чужой, зарубежный (чаще всего российский) опыт. Эти документы пишутся недоступным для понимания языком. Разобраться в принципе работы с персональными данными таких организаций не представляется возможным”, – рассказал руководитель центра.
Основная цель конфиденциальности – чтобы человек, посещая сайт или обращаясь в соответствующую структуру за решением своего вопроса, понимал, как обращаются с его личными данными в конкретной организации. “В этих документах должны быть четко отражены цели обработки, категории лиц, которые обрабатывают персональные данные, должны точно определяться эти данные, в какие сроки они хранятся и на каком правовом основании. Все это должно быть соотнесено между собой. Также должен быть обеспечен свободный доступ к этим документам. Если речь идет об организациях, то за исключением государственных органов, в отношении которых такая обязанность не установлена, необходимо обеспечить свободный доступ на официальных сайтах”, – подчеркнул Андрей Гаев.
Также в центре обратили внимание, что во многих проверенных организациях обучение работников обращению с персональными данными проводилось формально.
“Человек должен понимать, что за его незаконными действиями следует нарушение прав человека и серьезная ответственность. Каждый работник должен понимать уровень ответственности. Жизнь, опять же, показывает, что сегодня злоумышленники стараются не взламывать защищенные информационные ресурсы и системы. Им проще найти внутри организации лицо, которое за вознаграждение сливает эту информацию. Поэтому люди, работающие с персональными данными, должны понимать, какая ответственность за это установлена”, – заключил директор центра.
Проект создан за счет средств целевого сбора на производство национального контента.