Ограничить свободу слова или защитить граждан? Эксперт о том, как изменит жизнь Закон о персональных данных

21 января 2019 в 09:50
Поделиться
Отправить
Класснуть

Как изменится наша жизнь с принятием Закона о персональных данных? Кому нужна идентификация пользователей? И кто ответит за утечку ваших личных данных? Об этом и не только в Гродно на конференции «Свобода слова и особенности медиаменеджмента в Беларуси» рассказал юрист Алексей Козлюк, сооснователь и эксперт Human Constanta, программный директор Фонда «Массовые коммуникации».

Почему стал нужен Закон о персональных данных?

Что такое персональные данные (ПД), в Беларуси закреплено в двух законодательных актах. Закон о регистре населения оставим для чиновников: он касается только базы, которую ведет МВД (она самая большая в стране). Простым гражданам важен Закон об информации, информатизации и защите информации. Раньше в нем к персональным данным относили то, что записано в регистре МВД. Но сейчас добавили сведения, по которым можно идентифицировать человека.

Что можно и нельзя делать с персональными данными в РБ, прописано в трех абзацах ст. 18 закона об информации. Для сравнения: Европейский регламент по защите ПД с комментариями занимает примерно 200 страниц. В Беларуси для действий с персональными данными необходимо иметь письменное согласие человека, но этого никто не соблюдает. Министерства нашли свой выход из ситуации: собирать некоторые ПД без согласия пользователей госструктурам разрешают через другие законодательные акты.

Уже из этого ясно, что норм недостаточно и они работают не так. Поэтому в Беларуси назрела необходимость создать Закон о персональных данных. Он уже есть у всех стран-соседок. Белорусы его примут, вероятно, к лету нынешнего года. Это необходимо, чтобы ИТ-бизнес работал нормально, действия с ПД стали упорядоченными, а конкретных людей можно было защитить от злоупотребления их информацией в интернете. В Законе отрегулируют многие нюансы: требования к технической защите информации, взаимодействие с правоохранителями и спецслужбами, национальные интересы и др. Закон о персональных данных, в отличие от Закона о регистре, будет распространяться на всех: граждан, юридические лица, госорганы. Предположительно, белорусам дадут 1 год на то, чтобы привести все в соответствие с Законом.

Что изменилось в декабре?

Декабрь прошлого года стал переломным моментом в законодательстве о персональных данных. Стоит отметить 3 события в этот период.

Вступила в силу новая редакция Закона о СМИ. И владельцы информационных ресурсов, чтобы идентифицировать пользователей, получили право без письменного согласия собирать конкретные сведения: ФИО, номер телефона, e-mail, дату и место рождения.

Совет министров принял Положение об идентификации пользователей. Оно установило дополнительные данные, которые владелец инфоресурса должен собирать: например, IP-адрес пользователя при регистрации. Его даже после расторжения пользовательского соглашения сайты должны хранить еще год. Хотя каждый раз, подключаясь к интернету, устройство получает новый IP. Положение немного упростило работу МВД. Если заведено уголовное дело, следователь может годами прослеживать цепочку от комментария до пользователя устройства. Но при административных правонарушениях у правоохранителей есть 2 месяца, чтобы получить сведения по всем запросам и найти автора нехорошей записи.

Пользовательское соглашение стало обязательным документом для каждого информационного ресурса, где есть идентификация. В соглашении прописываются взаимные права и обязанности. Обычно используют прямые формулировки из законодательства, а не те, которые лучше понятны обывателю.

Нюансы, которые нужно знать

Определимся, кто есть кто: субъект, контролер и обработчик

Человек, чьи персональные данные собираются — это субъект данных. Занимается сбором контролер. Он определяет цель: отслеживать поведение пользователя либо зарегистрировать, чтобы он мог оставлять комментарии. Обработчики (например, Google Формы, хостинги) только выполняют задание контролера, они не решают, что делать с ПД. Соответственно у сайтов обязательства перед пользователями, у обработчиков — перед сайтами. Если информационный сайт хранит свою базу на хостинге, хостинг охраняет данные, чтобы они не утекли. Но в любом случае отвечает сайт. В грядущем Законе о персональных данных контролеров и обработчиков объединят в одно понятие — «операторы персональных данных». В европейском праве их четко разделяют.

Для идентификации сайт может ограничиться номером телефона и IP-адресом

Интернет-ресурс регистрирует пользователя и заносит в базу его номер телефона и IP-адрес. Далее по законодательству владелец сайта имеет право, но не обязан собирать ФИО и др. данные из перечня. Сайт по своему желанию может предложить заполнить некую форму. Как контролер данных, он сам решает, для чего и какие сведения нужны от пользователя: если юзер соглашается, то предоставляет их. Теоретически сайт может собирать, что пожелает. Но вопрос, сможет ли он обеспечить хранение данных и доказать легитимность цели.

Данные, которые сайты собирают для идентификации пользователей, должны храниться в РБ

Сюда входят сведения при регистрации, их смена и комментарии. Часть белорусских инфопорталов пользуется сторонними сервисами работы с комментариями, типа Disqus или Tolstoy. Сервисы находятся не в отечественном, а в зарубежном сегменте интернета. Чтобы не нарушать законодательство, инфопорталы вынуждены хранить базу данных у себя локально. Сторонний сервис периодически выгружает ее, а владелец ресурса «заливает» на свой компьютер или сервер (чаще зашифрованной). Также сервис делает выгрузку данных по первому требованию, если редакция должна их передать по мотивированному запросу уполномоченным органам.

Статистику Яндекс.Метрика или Google Analytics в РБ не обязаны защищать как ПД

Сайты часто анализируют посещаемость системами Яндекс.Метрика или Google Analytics. Администратор видит в статистике только социально-демографические и поведенческие характеристики, а не имена пользователей. В законодательстве ЕС сказано, что идентификаторы без имени — тоже персональные данные, защищать их нужно соответственно. В Беларуси четкого ответа нет.

За конфиденциальность персональных данных в РБ отвечает владелец ресурса

В стране были случаи, когда специалисты уходили из редакций, но продолжали просматривать рабочий e-mail и базу рекламодателей, использовали эти сведения в корыстных целях. Такие ситуации заканчиваются уголовными делами для бывших сотрудников. При этом сама редакция теоретически тоже может оказаться в роли ответчика: она не обеспечила безопасность, не закрыла доступ. Если бы утекли данные людей, пользователи могли бы подать иски на редакцию. Но про такие случаи пока слышно не было. Возможно, они появятся после принятия Закона о персональных данных.

Частное объявление через личный кабинет пользователя приравнивается к комментарию

Тогда редакции нужно идентифицировать автора, чтобы связаться с ним по контактам и осуществить предмодерацию.

Сведения для идентификации сайт не имеет права использоваться в маркетинговых целях

Для сайтов хороший момент предложить вам подписку на рекламную рассылку — как раз во время регистрации. В пользовательском соглашении вам выдвигают дополнительные условия (про маркетинг), оставляя право отказаться от них. В Беларуси зачастую данные для рассылки собирают с нарушением законодательства о рекламе. Особенно благодаря бесплатному Wi-Fi. Вам предлагают идентифицироваться через номер телефона. Рядом с кнопкой «принять» есть ссылка на пользовательское соглашение. А в нем, в самом конце, уже проставлен чекбокс «я согласен, чтобы мой номер телефона использовали для рекламных рассылок или передавали рекламным партнерам». Но вы можете снять чекбокс, и тогда ваш номер нельзя будет использовать.

Пока что сведения могут получить суды и прокуратура, но не Мининфо

В редакции сайтов иногда приходят странные запросы. Просят предоставить информацию о регистрационных данных и о комментариях по никнейму пользователя, но причина запроса не указана или не соответствует законодательству. Если редакция даст ответ, это будет нарушением. Если же ведется судебный процесс или открыто уголовное/административное дело, то на запрос из органов редакция ответить обязана. Кому и при каких условиях сайты должны передавать сведения, собранные при регистрации, прописано в Законе об информации и в Законе о СМИ. К стандартному набору органов добавилось Министерство информации. Но пока что законом никак не определен порядок передачи информации. И ресурсы не станут «делиться» сведениями с Мининфо, чтобы не нарушать законодательство.

Что принесет новый Закон о персональных данных?

Скорее всего, будет 4 категории баз данных, к которым нужно будет применять средства защиты

Владельцам сайтов придется детально изучить текст Закона. Возможно, проще будет удалить какие-то данные, чтобы не попадать под одну из категорий, чем устанавливать сертифицированное программное обеспечение и оборудование.

Законодательных актов по технической безопасности информации в Беларуси много. Если персональные данные составляют тайну, им, соответственно, присваивается класс. Чтобы хранить их, нужно использовать сертифицированное оборудование.

У изданий встречаются интернет-магазины статей и материалов, где есть форма, чтобы сохранить реквизиты банковской карточки и в следующий раз не нужно было вводить. Как правило, владелец сайта пользуется сервисами оплаты, и вся чувствительная банковская информация проходит мимо него через эти сервисы. Но теоретически банковская информация может храниться и на сайте, что пользователь не всегда понимает.

Юристы считают Закон хорошим, но некоторые пункты могут ограничить свободу слова

По Закону, главное легитимное основание для обработки персональных данных — это согласие пользователя. Но журналисты СМИ, работая законно, при поиске общественно значимой информации смогут собирать персональные данные без согласия. Так появляется целая формулировка «общественно значимая информация». А что это такое — неизвестно. Кроме того, норма распространяется на журналистов СМИ, зарегистрированных в определенном порядке. А что же делать блогерам и журналистам незарегистрированных инфоресурсов? Могут ли они вести журналистские расследования и собирать ПД без согласия лица? Об этом стоит серьезно задуматься, потому что и в Украине, и в России Законом о персональных данных зачастую пытаются ограничить свободу слова.

Главная рекомендация для сайтов: собирать как можно меньше информации и использовать только нужную

Вполне возможно, что все собранные до этого данные придется как-то узаконить. Если информационный ресурс не сможет доказать легитимность сбора персональных данных, и их придется удалить, а потом заново собирать. Либо попросить пользователей дать согласие на сбор того, что уже собрано.

Установят орган, который будет разъяснять желающим и налагать санкции на нарушителей

В законопроекте не назван орган, который возьмет на себя полномочия по рассмотрению жалоб субъектов данных. Кто это будет? Прокуратура не хочет «довесок», поэтому она указана органом общего надзора. МВД, как самый крупный держатель баз данных — вряд ли. Возможно, это будет подразделение Минсвязи, орган из субъектов рынка или независимая организация.

Ирмалия Рам и Илья Гелей

Перепечатка материала допускается только при наличии активной прямой гиперссылки на страницу сайта Grodno.in, содержащую оригинал публикации. Эта ссылка должна быть размещена в начале, тем же шрифтом и размером, как и основной текст. В первом абзаце необходимо указать: «Пишет бизнес-портал Grodno.in» (здесь размещается гиперссылка на страницу-источник). Любые изменения оригинальных текстов, фотографий при перепечатке запрещены.

Нашли опечатку? Выделите фрагмент текста с опечаткой и нажмите Ctrl + Enter.

Чтобы комментировать, .