Не только банки: какие данные белорусов будут собирать и зачем?

Первая встреча, в которой приняли участие юристы компаний различных форм собственности, представители госогранов, консалтинговых компаний, специалистов по защите персональных данных и экспертов в сфере цифрового регулирования была организована Отделением специалистов по защите персональных данных общественного объединения «Белорусский республиканский союз юристов» при поддержке юридической фирмы Anischenko Laptev и компании «Дженерал лизинг».

Конференция «Персональные данные – 2026: вектор правоприменительной практики и контуры изменений регулирования» прошла в преддверии принятия новой редакции закона «О защите персональных данных». Напомним, что действует он уже более 5 лет, и был принят 7 мая 2021 года.

Регулирования требует не только ИИ

Об изменениях в нем и дальнейших планах регулирования, в том числе касающихся применения ИИ, рассказала начальник управления методологии защиты персональных данных Национального центра защиты персональных данных (НЦЗПД) Ирина Пырко.

«Если взглянуть на планы государства, программные документы до 2030 года, то во всех сквозной темой проходит цифровизация, и в частности развитие искусственного интеллекта. Основная задача, которую мы видим при изменении закона «О защите персональных данных» – не навредить», – отметила Пырко.

По ее словам, пройден первый круг согласований, в августе проект будет внесен в Совмин, а в ноябре принят. При этом НЦЗПД отталкивался от сложившейся практики, стараясь уменьшить администрирование.

«Актуальные вопросы, которые встали перед нами – это видеонаблюдение, аудиозапись, аудиомониторинг и применение новых технологий, автоматизированная обработка персональных данных. Это самая актуальная, наверное, сегодня проблема», – заявила эксперт.

Кто и как будет защищать данные у МСБ, концернов и холдингов

«Сегодня у нас одна норма – просто назначить лицо, ответственное за внутренний контроль, или структурное подразделение. Хотим предложить три варианта для того, чтобы сбалансировать интересы крупного бизнеса, мелких организаций частного бизнеса. И при этом все-таки не нарушить активного движения вперед и не утратить того доверия, которое граждане за последние пять лет оказали. Поверив в то, что их данные можно защищать», – заявила представитель Национального центра защиты персональных данных.

Первый вариант (для малого бизнеса) – это аутсорсинг, второй (для крупных компаний, крупные организации, которые обрабатывают значительное количество персональных данных, более 100 тысяч) – штатный специалист/подразделение по защите данных, третий (для холдингов) – передача полномочий DPO управляющей компании.

ИИ должен стать контролируемой реальностью

Участники круглого стола на второй панели обсудили искусственный интеллект и автоматизированное принятие решений, новые возможности и правовые ограничения, связанные с ИИ и персональными данными.

По словам Ирины Пырко, статья в новом законе, касающаяся ИИ, по сравнению с первоначальным вариантом значительно уменьшилась в размерах.

«Первое, что хотим закрепить, это принцип прозрачности: чтобы граждане знали, что используются соответствующие технологии. Второе – либо согласие, либо законодательство, третьего не дано. Хотелось бы, чтобы граждане смогли влиять на процесс автоматизированной обработки персональных данных. Потому что зачастую им, во-первых, не говорят об этом, во-вторых, они не понимают, и, в-третьих, зачастую сами операторы не понимают, как эти решения принимаются», – обрисовала ситуацию эксперт.

Регулировать эти процессы непросто, так как пока нет даже самого определения технологии искусственного интеллекта, да и подходы государства к этому не определены.

Myfin.by поинтересовался у двух участниц конференции, DPO ООО «Дженерал лизинг» Анны Стрельчик и менеджера по защите персональных данных ООО «А-Лизинг» Галины Кучинской, экспертным видением дальнейшего развития регулирования в сфере защиты персональных данных и искусственного интеллекта.

Как пояснила Галина Кучинская, сегодня накопилось такое количество определений и технических процессов, связанных с обработкой персональных данных и ИИ, что за этим не успевает законодательство. И не только белорусское.

«Но в любом случае все это будет внедряться и в бизнес, и в нашу повседневную жизнь. К этому нужно быть готовым, это нужно научиться регулировать, это должна быть какая–то контролируемая реальность», – пояснила она.

Эксперт добавила, что это позволит быть уверенными, что наши данные не утекут, не будут где-то бесконтрольно анализироваться абсолютно сторонними сервисами, куда мы их не собирались отдавать.

Собирать данные будут все

Анна Стрельчик подчеркнула, что отсутствие излишней императивности даже в обновленной редакции закона не следует воспринимать как недостаток. Закон задает общие правила игры и направление развития, оставляя пространство для отраслевой конкретики и правоприменительной практики.

«Закон не обязан регулировать каждую деталь – он задает направление. И это не недостаток, а осознанный выбор. Естественно, пытаться учесть интересы всех субъектов хозяйствования и всех отраслей в одном законе – задача амбициозная. Хорошо, если в двухтомник поместимся. А по факту есть отраслевое законодательство: для банков, для лизинга, для ритейла, для жилищной сферы. И именно там, на уровне отраслевых актов, можно и нужно закреплять нюансы», – считает представитель «Дженерал лизинг».

Если бизнесу в конкретной сфере необходимо использовать системы с автоматизированным принятием решений, то урегулировать этот вопрос должен именно отраслевой регулятор – через принятие соответствующих подзаконных актов. Задача участников рынка – осознавать свои риски и инициировать необходимость такого регулирования.

«Перечень персональных данных в законе не закрепляется. И это оправданно: ни вчера, ни сегодня, ни завтра невозможно точно предсказать, какая информация будет относиться к персональным данным. Появляются новые идентификаторы, развиваются технологии – и то, что ещё вчера не считалось персональными данными, завтра может ими стать», – резюмировала Анна Стрельчик.

«Мошенники могут найти все это в интернете, но придется искать данные каждого отдельного человека, чтобы собрать такую базу. А у ритейла, с его базой участников программы лояльности, либо у банка, по зарплатным проектам, расчетными счетами, данные собраны в большой пул, они систематизированы, обработаны, в понятном и доступном виде. И такие базы интересны злоумышленникам», – пояснила представитель «Дженерал лизинг».

Банки будут знать о нас больше. Для безопасности

Главная причина того, что граждане с большой подозрительностью относятся к сохранности своих персональных данных – угрозы, исходящие от мошенников.

В отличие от РФ в Беларуси эта проблема не стала такой острой, потому как банки и другие организации, собирающие большие массивы персональных денных, соблюдают большинство правил безопасности, обеспечивая высокую степени защиты персональных данных.

«Что касается «цифрового следа», то стандарты рождалась долго, тяжело, со страданиями. Наверно, уже года три, как они ходили в качестве рекомендательных писем от Национального банка, потому что число мошенничеств, связанных с персональными данными, растет во всем мире», – пояснила Галина Кучинская.

По ее словам, использование фишинговых ссылок, подбор паролей стали распространенной практикой. Поэтому Национальный банк, следственные органы аккумулировали информацию и постепенно вырабатывали стандарты банковской деятельности, в том числе для мобильного банка.

«Банки, пусть не глобальным способом, но внедряли такого рода контроль, и сейчас, с 1 июля, это становится обязательным требованием. Цифровой след в себе будет содержать не только геолокацию. Это будет и модель телефона, и программное обеспечение на нем, те ресурсы, с помощью которых вы входите. То есть это может быть компьютер, мобильный телефон, планшет. И все данные по этим устройствам будут постепенно в банке тоже накапливаться. Даже способ нажатия на клавиши», – отметила эксперт.

7

0

0

1

14