Персанальныя даныя: ведаць нельга распаўсюджваць

Сярод змяненняў і дапаўненняў у Канстытуцыю, якія выносяцца на рэферэндум, фігуруе і такая навела: «Дзяржава стварае ўмовы для абароны персанальных даных і бяспекі асобы і грамадства пры іх выкарыстанні». З чым звязаны меркаваныя змены і навошта ахоўваць персанальныя даныя (ПД)? Каму можна даверыць пін-код ад банкаўскай карткі і калі варта патрабаваць выдалення звестак аб сабе з электроннай базы? Чым небяспечна распаўсюджванне інфармацыі пра чалавека і як асоба выкрываецца праз анлайн-ідэнтыфікатары? Адказамі на гэтыя і шматлікія іншыя пытанні, якія датычацца персанальных даных асобы, падзяліўся адзін са стваральнікаў Закона аб абароне персанальных даных Мікалай Саванович, першы намеснік дырэктара Нацыянальнага цэнтра абароны персанальных даных.

________________________________________________________

— Сучасны чалавек змяшчае ў сеціве усё больш інфармацыі пра сябе (і па рабоце, і прыватнай), часта не ўсведамляючы, што гэтыя звесткі могуць дапамагчы ідэнтыфікаваць яго асобу або папросту быць скрадзеныя і выкарыстаныя неналежным чынам. Акрамя таго, пакідаючы ПД падчас запаўнення анкет, удзелу ў сацапытанках або набываючы нейкі прадукт, грамадзяне таксама дзеляцца асабістымі звесткамі. Каб людзі ведалі, хто, калі, як, з якой мэтай, у якім аб'ёме і навошта працуе з ПД, а таксама маглі ўплываць на гэтыя працэсы, у Беларусі запрацаваў Закон аб абароне персанальных даных і быў створаны Нацыянальны цэнтр абароны персанальных даных (далей — Цэнтр). Асноўныя яго мэты — арганізаваць абарону ПД і навучыць спецыялістаў бяспечнай рабоце з імі. Гэта важны крок да таго, што прапісана ў прапанаванай рэдакцыі Канстытуцыі.

Раней, калі вы мелі папяровы носьбіт дакумента, то ў значнай ступені кантралявалі абарот вашай асабістай інфармацыі. А значныя рабочыя і фінансавыя выдаткі на збор і апрацоўку інфармацыі, якой валодалі розныя арганізацыі, сур'ёзна стрымлівалі магчымасці хуткага атрымання звестак з розных крыніц. Але развіццё інфармацыйных тэхналогій, аўтаматызацыя шматлікіх бізнес-працэсаў кардынальна змянілі сітуацыю, і гэты бар'ер фактычна перастаў існаваць. Апрацоўка вялізных аб'ёмаў інфармацыі стала даступнай і даволі таннай. Сёння ўжо распаўсюдзіўся выраз, што «персанальныя даныя — гэта новая нафта». Сапраўды, з кожным днём усё больш працэсаў з удзелам насельніцтва (пакупкі, стасункі, нават праца) адбываюцца ў віртуальнай прасторы. У сваю чаргу для інфармацыйнага грамадства ПД становяцца асноўным «палівам», на якім «працуюць» рэсурсы і сістэмы. Валоданне ПД дазваляе павялічваць прыбыткі, адсочваць змены рынкавай кан'юнктуры і гнутка на іх рэагаваць. Аднак ПД можна выкарыстаць і для больш небяспечных мэтаў, у тым ліку для фарміравання профілю чалавека і ўплыву на асобу і яго рашэнні. Акрамя таго, нядбайнае стаўленне да абароны ПД можа мець сур'ёзныя наступствы, у першую чаргу для грамадзян — суб'ектаў персанальных даных. Гэта і магчымасць страціць працу, і праблемы ў сям'і, з сябрамі, сапсаваная рэпутацыя... Такім чынам, абарона ПД становіцца не проста нейкім модным трэндам, а неабходнасцю, якая дыктуецца самім жыццём.

— Сам па сабе факт невыкарыстання інтэрнэту не азначае, што чалавеку не трэба клапаціцца пра свае асабістыя даныя. Заключаючы дагавор на набыццё мабільнага тэлефона, атрымліваючы карту «лаяльнасці» ў краме, адкрываючы рахунак у банку і, нават выпісваючы часопіс, вы становіцеся суб'ектам, персанальныя даныя якога апрацоўваюцца, і павінны адказна ставіцца да таго, дзеля чаго і як яны будуць выкарыстаны.

Але ў той жа час не варта лічыць, што кожны выпадак выкарыстання вашых даных — гэта парушэнне і ўмяшанне ў вашу асабістую прастору. Немагчыма, напрыклад, стаць на ўлік асоб, якія маюць патрэбу ў паляпшэнні жыллёвых умоў, калі не паведаміць пашпартныя звесткі, даныя аб маёмасці, складзе сям'і. Цяжка ўявіць дастаўку тавару без пазначэння адраса, пастаноўку дыягназу без вывучэння вынікаў аналізаў і г. д.

Што датычыцца апрацоўкі ПД рознымі інфармацыйнымі рэсурсамі, то, карыстаючыся пэўным анлайн-сэрвісам, чалавек павінен разумець, што наша заканадаўства распаўсюджваецца найперш на тыя арганізацыі, якія створаны адпаведна з беларускімі законамі. Калі ж уладальнік рэсурсу знаходзіцца ў іншай краіне або ён увогуле невядомы, то магчымасцяў паўплываць на змест такога рэсурсу значна менш. Існуюць пэўныя рызыкі, што заканадаўства краіны, дзе змешчаны сэрвіс, можа не ўтрымліваць патрэбных мер па забеспячэнні бяспекі ПД.

— Паняцце «асабістае жыццё» паходзіць з часоў СССР, калі «прыватнае» лічылася пераважна буржуазным праяўленнем. Таму ўсё, што датычылася прыватнасці, абазначалася як асабістае (жыццё, уласнасць). Аднак ва ўсіх міжнародных дакументах фігуруе паняцце «прыватнае жыццё», таму і вырашана прывесці паняцце ў адпаведнасць з імі. Цікава, што і дзеючы Закон аб інфармацыі, інфарматызацыі і абароне інфармацыі выкарыстоўвае не тэрмін асабістае жыццё, а катэгорыю інфармацыі аб прыватным жыцці фізічнай асобы (арт. 17).

— Сёння мы зыходзім з рызыкаарыентаванага падыходу, калі дакладныя меры па абароне ПД вызначае сам аператар. Разам з тым айчынны закон прадугледжвае шэраг мер, скіраваных на тое, каб чалавек зразумеў, што будзе адбывацца з яго ПД. Асноўная ідэя закона аб персанальных даных — вярнуць кантроль над імі грамадзяніну. Для гэтага мы выкарыстоўваем шэраг інструментаў. Найперш, замацаваны пэўныя абавязкі арганізацый, якія апрацоўваюць персанальныя даныя.

У прыватнасці, яны павінны паведамляць людзям, як іх ПД будуць апрацаваны, інакш такая апрацоўка можа быць прызнана нядзейснай. На сайце кожнай арганізацыі навідавоку павінны змяшчацца дакумент, у якім абазначана палітыка апрацоўкі ПД — то-бок лаканічна, поўна і проста растлумачана, якія даныя, з якой мэтай і на які тэрмін арганізацыя намерваецца апрацоўваць і каму іх перадаваць. Каб такі дакумент быў максімальна зразумелы, Цэнтр падрыхтаваў рэкамендацыі адносна яго выгляду і зместу — яны даступны на партале pravo.by.

У кожнай арганізацыі павінна быць прызначана асоба, якая адказвае за ўнутраны кантроль за апрацоўкай ПД. Разам з абавязкамі для арганізацый законам прадугледжаны і шэраг правоў для грамадзян, з дапамогай якіх яны могуць кантраляваць апрацоўку сваёй асабістай інфармацыі. Гэта датычыцца звестак, якія апрацоўваюцца і па згодзе чалавека, і без яе. Чалавек можа звярнуцца да аператара з пытаннем «Ці апрацоўваеце вы мае ПД?». У выпадку станоўчага адказу аператар павінен цягам пяці дзён паведаміць, якія звесткі ён апрацоўвае, адкуль іх атрымаў, указаць прававыя падставы і мэты апрацоўкі.

Акрамя таго, раз на год чалавек мае права даведацца ў аператара, каму перадаваліся звесткі пра яго. Выключэнне — перадача ПД органам у межах аператыўна-пошукавай дзейнасці. А яшчэ можна патрабаваць спынення апрацоўкі ПД і іх выдалення, калі ў аператара няма юрыдычнай падставы для апрацоўкі звестак. У еўрапейскіх краінах гэта называецца «права быць забытым».

— Каб вызначыць, што трэба ахоўваць у першую чаргу, трэба разумець вызначэнне паняцця «персанальныя даныя». Закон аб персанальных даных адносіць да іх любую інфармацыю, датычную ідэнтыфікаванай фізічнай асобы або фізічнай асобы, якая можа быць ідэнтыфікаваная. Даўно мінуў час, калі ПД абмяжоўваліся звесткамі аб прозвішчы, імені, імя па бацьку, месцы жыхарства, пашпартных даных. Сёння колькасць інфармацыі, якую можна так ці інакш звязаць з чалавекам, рэзка вырасла. Пры гэтым нават не заўжды трэба ведаць яго імя, каб прызнаць пэўныя звесткі персанальнымі данымі. Да ПД цяпер адносяцца шматлікія анлайн-ідэнтыфікатары, у тым ліку іp-адрас, cookіe-fіles, пры пэўных абставінах адрас электроннай скрыні, гісторыя пошуку ў інтэрнэце, геалакацыйныя даныя, фотаздымкі і г. д. Адначасова закон аб персанальных даных выдзяляе спецыяльныя ПД, якія патрабуюць дадатковай увагі і мер па іх ахове. Гэта, прынамсі, даныя аб расавай або нацыянальнай прыналежнасці, палітычных поглядах, палавым жыцці, стане здароўя, біяметрычныя і генетычныя звесткі.

Падкрэслю, што кожнаму варта ўважліва сачыць, каму і для чаго ён перадае свае ПД. Асабліва пільна трэба ставіцца да паводзін у інтэрнэце, бо адна з распаўсюджаных прычын парушэнняў у дадзенай сферы — дзеянні саміх грамадзян, якія легкадумна размяшчаюць асабістую інфармацыю ў сеціве.

— Колькасць існуючых у краіне аператараў вялізная. Гэта і ўсе арганізацыі Беларусі, і фактычна ўсе індывідуальныя прадпрымальнікі, і нават некаторыя фізічныя асобы (лік ідзе на сотні тысяч). Калі чалавек выкарыстоўвае сваю сацыяльную старонку ў інтэрнэце для прафесійнай дзейнасці і яна адкрытая для неабмежаванага кола асоб, ён падпадае пад дзеянне Закона аб абароне ПД, нягледзячы на тое, што не зарэгістраваны як ІП. Гэта датычыцца, прынамсі, тамады, рамесніка, рэпетытара. Праўда, для такіх асоб абавязкі крыху палегчаныя — ім не трэба размяшчаць на сваёй старонцы палітыку апрацоўкі ПД і прызначаць асобу, адказную за ўнутраны кантроль.

— Такога не павінна адбыцца. Дзеля гэтага заканадаўца зрабіў некалькі даволі сур'ёзных выключэнняў, вызначаючы сферы, дзе закон не прымяняецца. Так, пад дзеянне закона не падпадае апрацоўка персанальных даных фізічнымі асобамі падчас выключна асабовага ці сямейнага (дамашняга) выкарыстання. Гэта прагляд фотаальбомаў, вядзенне кантактаў у тэлефоннай кнізе, перапіска па электроннай пошце ці ў сацсетках. У апошнім варыянце гэта датычыцца выпадкаў, калі мы перапісваемся ў межах нейкай закрытай групы, большасць удзельнікаў якой ведаем асабіста. А вось калі блізкія людзі, напрыклад, разыходзяцца і пачынаюць у інтэрнэце выкладваць інфармацыю аб прыватным жыцці адно аднаго, то гэта ўжо будзе лічыцца распаўсюджваннем ПД з усімі наступствамі.