В Беларуси новый закон о персональных данных
Рассказываем, чем он грозит бизнесу и показываем что у него внутри.
Поделиться
Тенденции мировой практики по охране личных данных в этом году дошли и до Беларуси. Так, в середине весны 2018 года белорусский парламент принял поправки к Закону «О средствах массовой информации».
В силу нововведенных законодательных требований пользователи Интернета для написания сообщений и комментирования на форумах теперь будут обязаны пройти предварительную идентификацию.
Вскоре после принятия поправок в Закон «О СМИ» был разработан и профильный проект закона «О персональных данных», который уже обсуждается на парламентских заседаниях.
О чем проект закона
В ходе разработки положений нового закона проводились международные консультации с государственными органами стран — членов ЕС с наиболее развитой законодательной базой по вопросам охраны личных данных граждан.
Например, в июне группа разработчиков встречалась с представителями Комиссии по защите данных Франции (CNIL). Целью встречи были не только двусторонние обсуждения профильных вопросов, но и ознакомление белорусских законоведов с опытом их коллег в ЕС.
Итогом консультаций стала ускоренная разработка законопроекта в его черновом варианте, который был представлен для ознакомления и обсуждения уже в начале июля.
Структурно законопроект разделен на 6 глав и 22 статьи. Содержание статей направлено на регламентацию правил работы с персональными данными в Беларуси.
Законопроект определяет двух участников правоотношений, регламентируемых законом:
- субъект персональных данных или гражданин, чьи персональные данные будут подвергаться хранению и обработке;
- оператор персональных данных — юридическое лицо или ИП, исполняющий обязанности по сбору, хранению и обработке персональных данных.
Законопроект вводит и определение (понятие) «персональных данных». Под ними будет пониматься совокупность информации, делающей возможной идентифицирование субъекта. В совокупность информации будут входить любые сведения, в том числе относящиеся к биометрии и генетике. Отдельные положения проекта посвящены правам и обязанностям субъектов и операторов персональных данных.
Проект предполагает, что субъект будет обладать нижеперечисленными правами:
- соглашаться или отказывать от акцепта на обработку персональных данных;
- требовать от оператора ПД внесения изменений в свои персональных данных;
- получать от оператора персональных данных сведения о том, передавались ли ПД субъекта любому третьему лицу;
- обжаловать действия оператора персональных данных.
Оператор наделен в законопроекте следующими обязанностями:
- обязательство получить согласие субъекта на обработку его персональных данных;
- обязательство сообщать субъекту о целях использования его персональных данных;
- обязательство недопущения компрометации персональных данных субъекта.
Регламентация действий оператора персональных данных представлена в статье 17 законопроекта. В частности, действия оператора должны будут включать в себя:
- разработку и применение политики безопасности персональных данных;
- разработку и применение норм доступа к персональным данным;
- разработку и применение действенных средств технической и криптографической защиты персональных данных.
Также статья 17 вводит обязательность осуществления деятельности операторов персональных данных в соответствии с Положениями головного государственного органа по защите информации — Аналитического центра при Президенте Республики Беларусь (ОАЦ).
Директивы по безопасности
Методика разработки и ввода системы защиты персональных данных, включает в себя более 50 номинаций, исполнение большинства из которых будет дорогостоящим и времезатратным. В силу этого стоит предположить, что малый и средний бизнес не справится с требованиями по защите персональных данных.
Некоторую надежду вселяет положение законопроекта о предоставляемой оператору возможности обратиться к помощи аутсорсинга, то есть возможности возложить сбор, обработку и хранение персональных данных на третью сторону.
В случае размещения оборудования облачного провайдера в крупных центрах хранения данных с развитыми системами резервирования и строгим пропускным режимом, часть требований регламента, относящихся к физической защите данных, обеспечению безопасности виртуальной инфраструктуры и проведению аудитов, будет закрыта
Сергей БелкинРуководитель отдела развития 1cloud
К примеру, 1сloud совсем недавно разместил свое оборудование в дата-центре beCloud в пригороде Минска. Центр получил сертификацию по стандарту Tier III, то есть обладает способностью обеспечения сохранности и доступа к персональным данным в полном соответствии с законодательством Беларуси.
Проект размещения оборудования в данном центре первоначально не был связан с законопроектом «О персональных данных». Были лишь пожелания и приглашения партнеров и клиентов из Беларуси.
Необходимость размещения оборудования именно на территории Беларуси обусловлена требованиями Указа Президента РБ (№60) и Постановлением Совмина РБ (№644). В соответствии с этими правительственными актами любые коммерческие сайты в Беларуси должны размещаться только на оборудовании, дислоцированном на территории РБ.
В связи с разработкой Законопроекта «О персональных данных» к вышеизложенным требованиям добавились и требования, связанные с обработкой персональных данных, часть которых можно переложить на местного облачного провайдера.
Из слов Сергея Белкина следует, что перекладывая часть проблем, связанных с исполнением закона «О персональных данных» на вендора, компания сможет экономить и время, и деньги, занимаясь исключительно вопросами прибыльности бизнеса.
Правовые санкции
Основным условием хранения персональных данных граждан Беларуси станет переход на беларуский хостинг. Никаких дополнительных реестров не предусмотрено.
В штатном расписании потребуется учреждение должности ответственного по защите персональных данных или учреждение дополнительного отдела. Все зависит от объема работы и возможностей оператора.
Санкции, то есть виды наказаний за неисполнение предписаний закона, пока не введены. Думается, что после принятия закона и административный, и уголовный кодексы пополнятся новыми статьями. Пока за нарушение правил сохранности ПД наступает либо гражданская ответственности, либо деяние квалифицируется по сходным статьям уголовного и административного кодексов.
В случае возможных хищений данных оператор будет обязан известить о факте хищения правоохранительные органы в течение 3 дней с момента обнаружения «утечки». Одновременно информация должны быть направлена в орган по защите прав субъектов ПД. В случае незначительности «утечки» либо при отсутствии пагубных последствий «утечки» для субъектов извещение регулятора и правоохранительных органов не будет обязательным.
Регулятор
В соответствии с положениями законопроекта, будет учрежден центральный орган по защите прав субъектов ПД. На орган будут возложены обязанности:
- рассмотрения заявлений граждан по вопросам их персональных данных;
- наблюдения за исполнением закона операторами;
- защиты прав субъектов.
Юрисдикция закона
Положения законопроекта, в случае его принятия, повлияют на все без исключения организации, задействованные в обработке персональных данных в Беларуси.
- Возникнет необходимость в разработке методик работы с ПД и политики обеспечения безопасности ПД.
- Потребуется разработка автоматизированных систем обработки, а также неавтоматизированных картотек и каталогов.
При этом законопроект предусматривает некоторые исключения из общих правил. К примеру, снимается директивность требования по получению согласия лица на обработку его данных в случаях:
- угрозы жизни и здоровью лица;
- угрозы жизни и здоровью населения;
- когда данные истребуются лицами, осуществляющими законную журналистскую деятельность;
- когда данные истребуются учеными, осуществляющими статистические исследования.
То есть в основе исключений лежат некие экстраординарные события, способные причинить значительный ущерб субъектам ПД.
В статье 6 законопроекта приведен полный список исключений.
«Правовой форум» о законопроекте
Большинство экспертов и специалистов, принявших участие в общественном обсуждении законопроекта, пришли к выводу, что законопроект несовершенен и некоторые его части нуждаются в доработке.
Высказавшиеся по поводу законопроекта пользователи «Правового форума» Беларуси отмечают:
- излишнее отягощение текста закона специальной терминологией и избыточность формулировок;
- противоречия в статье 17, касающейся вопросов обеспечения безопасности ПД. Так, в статье пункт 3, регламентирующий организацию защиты со стороны ОАЦ, противоречит пункту 5, в котором организация защиты относится к компетенции иного госоргана;
- неполноту определения понятия оператора ПД и сферы его деятельности;
- отсутствие в законе норм, определяющих правомочия Президента и Совмина РБ в вопросах защиты персональных данных.
Вступление закона в силу
Обсуждение законопроекта закончилось в августе этого года. Проект принят Палатой представителей и одобрен Советом Республики. Подробный текст закона размещён на официальном сайте.
Здесь находится опрос. Но он пока не работает в приложении.
А что вы думаете о новом законе?
Полностью поддерживаю
Нет, не поддерживаю
Воздержусь от ответа или напишу своё мнение в комментариях
© vc.ru