Hi-Tech

В Беларуси новый закон о персональных данных

Рассказываем, чем он грозит бизнесу и показываем что у него внутри.

В закладки

Поделиться

Так, в середине весны 2018 года белорусский парламент принял поправки к Закону «О средствах массовой информации». Тенденции мировой практики по охране личных данных в этом году дошли и до Беларуси.

В силу нововведенных законодательных требований пользователи Интернета для написания сообщений и комментирования на форумах теперь будут обязаны пройти предварительную идентификацию.

Вскоре после принятия поправок в Закон «О СМИ» был разработан и профильный проект закона «О персональных данных», который уже обсуждается на парламентских заседаниях.

О чем проект закона

В ходе разработки положений нового закона проводились международные консультации с государственными органами стран – членов ЕС с наиболее развитой законодательной базой по вопросам охраны личных данных граждан.

Целью встречи были не только двусторонние обсуждения профильных вопросов, но и ознакомление белорусских законоведов с опытом их коллег в ЕС. Например, в июне группа разработчиков встречалась с представителями Комиссии по защите данных Франции (CNIL).

Итогом консультаций стала ускоренная разработка законопроекта в его черновом варианте, который был представлен для ознакомления и обсуждения уже в начале июля.

Содержание статей направлено на регламентацию правил работы с персональными данными в Беларуси. Структурно законопроект разделен на 6 глав и 22 статьи.

Законопроект определяет двух участников правоотношений, регламентируемых законом:

  • субъект персональных данных или гражданин, чьи персональные данные будут подвергаться хранению и обработке;
  • оператор персональных данных – юридическое лицо или ИП, исполняющий обязанности по сбору, хранению и обработке персональных данных.

Под ними будет пониматься совокупность информации, делающей возможной идентифицирование субъекта. Законопроект вводит и определение (понятие) «персональных данных». Отдельные положения проекта посвящены правам и обязанностям субъектов и операторов персональных данных. В совокупность информации будут входить любые сведения, в том числе относящиеся к биометрии и генетике.

Проект предполагает, что субъект будет обладать нижеперечисленными правами:

  • соглашаться или отказывать от акцепта на обработку персональных данных;
  • требовать от оператора ПД внесения изменений в свои персональных данных;
  • получать от оператора персональных данных сведения о том, передавались ли ПД субъекта любому третьему лицу;
  • обжаловать действия оператора персональных данных.

Оператор наделен в законопроекте следующими обязанностями:

  • обязательство получить согласие субъекта на обработку его персональных данных;
  • обязательство сообщать субъекту о целях использования его персональных данных;
  • обязательство недопущения компрометации персональных данных субъекта.

В частности, действия оператора должны будут включать в себя: Регламентация действий оператора персональных данных представлена в статье 17 законопроекта.

  • разработку и применение политики безопасности персональных данных;
  • разработку и применение норм доступа к персональным данным;
  • разработку и применение действенных средств технической и криптографической защиты персональных данных.

Также статья 17 вводит обязательность осуществления деятельности операторов персональных данных в соответствии с Положениями головного государственного органа по защите информации – Аналитического центра при Президенте Республики Беларусь (ОАЦ).

Директивы по безопасности

В силу этого стоит предположить, что малый и средний бизнес не справится с требованиями по защите персональных данных. Методика разработки и ввода системы защиты персональных данных, включает в себя более 50 номинаций, исполнение большинства из которых будет дорогостоящим и времезатратным.

Некоторую надежду вселяет положение законопроекта о предоставляемой оператору возможности обратиться к помощи аутсорсинга, то есть возможности возложить сбор, обработку и хранение персональных данных на третью сторону.

В случае размещения оборудования облачного провайдера в крупных центрах хранения данных с развитыми системами резервирования и строгим пропускным режимом, часть требований регламента, относящихся к физической защите данных, обеспечению безопасности виртуальной инфраструктуры и проведению аудитов, будет закрыта

Сергей Белкин

Руководитель отдела развития 1cloud

Центр получил сертификацию по стандарту Tier III, то есть обладает способностью обеспечения сохранности и доступа к персональным данным в полном соответствии с законодательством Беларуси. К примеру, 1сloud совсем недавно разместил свое оборудование в дата-центре beCloud в пригороде Минска.

Были лишь пожелания и приглашения партнеров и клиентов из Беларуси. Проект размещения оборудования в данном центре первоначально не был связан с законопроектом «О персональных данных».

В соответствии с этими правительственными актами любые коммерческие сайты в Беларуси должны размещаться только на оборудовании, дислоцированном на территории РБ. Необходимость размещения оборудования именно на территории Беларуси обусловлена требованиями Указа Президента РБ (№60) и Постановлением Совмина РБ (№644).

В связи с разработкой Законопроекта «О персональных данных» к вышеизложенным требованиям добавились и требования, связанные с обработкой персональных данных, часть которых можно переложить на местного облачного провайдера.

Из слов Сергея Белкина следует, что перекладывая часть проблем, связанных с исполнением закона «О персональных данных» на вендора, компания сможет экономить и время, и деньги, занимаясь исключительно вопросами прибыльности бизнеса.

Правовые санкции

Никаких дополнительных реестров не предусмотрено. Основным условием хранения персональных данных граждан Беларуси станет переход на беларуский хостинг.

Все зависит от объема работы и возможностей оператора. В штатном расписании потребуется учреждение должности ответственного по защите персональных данных или учреждение дополнительного отдела.

Думается, что после принятия закона и административный, и уголовный кодексы пополнятся новыми статьями. Санкции, то есть виды наказаний за неисполнение предписаний закона, пока не введены. Пока за нарушение правил сохранности ПД наступает либо гражданская ответственности, либо деяние квалифицируется по сходным статьям уголовного и административного кодексов.

Одновременно информация должны быть направлена в орган по защите прав субъектов ПД. В случае возможных хищений данных оператор будет обязан известить о факте хищения правоохранительные органы в течение 3 дней с момента обнаружения «утечки». В случае незначительности «утечки» либо при отсутствии пагубных последствий «утечки» для субъектов извещение регулятора и правоохранительных органов не будет обязательным.

Регулятор

На орган будут возложены обязанности: В соответствии с положениями законопроекта, будет учрежден центральный орган по защите прав субъектов ПД.

  • рассмотрения заявлений граждан по вопросам их персональных данных;
  • наблюдения за исполнением закона операторами;
  • защиты прав субъектов.

Юрисдикция закона

Положения законопроекта, в случае его принятия, повлияют на все без исключения организации, задействованные в обработке персональных данных в Беларуси.

  • Возникнет необходимость в разработке методик работы с ПД и политики обеспечения безопасности ПД.
  • Потребуется разработка автоматизированных систем обработки, а также неавтоматизированных картотек и каталогов.

К примеру, снимается директивность требования по получению согласия лица на обработку его данных в случаях: При этом законопроект предусматривает некоторые исключения из общих правил.

  • угрозы жизни и здоровью лица;
  • угрозы жизни и здоровью населения;
  • когда данные истребуются лицами, осуществляющими законную журналистскую деятельность;
  • когда данные истребуются учеными, осуществляющими статистические исследования.

То есть в основе исключений лежат некие экстраординарные события, способные причинить значительный ущерб субъектам ПД.

В статье 6 законопроекта приведен полный список исключений.

«Правовой форум» о законопроекте

Большинство экспертов и специалистов, принявших участие в общественном обсуждении законопроекта, пришли к выводу, что законопроект несовершенен и некоторые его части нуждаются в доработке.

Высказавшиеся по поводу законопроекта пользователи «Правового форума» Беларуси отмечают:

  • излишнее отягощение текста закона специальной терминологией и избыточность формулировок;
  • противоречия в статье 17, касающейся вопросов обеспечения безопасности ПД. Так, в статье пункт 3, регламентирующий организацию защиты со стороны ОАЦ, противоречит пункту 5, в котором организация защиты относится к компетенции иного госоргана;
  • неполноту определения понятия оператора ПД и сферы его деятельности;
  • отсутствие в законе норм, определяющих правомочия Президента и Совмина РБ в вопросах защиты персональных данных.

Вступление закона в силу

Проект принят Палатой представителей и одобрен Советом Республики. Обсуждение законопроекта закончилось в августе этого года. Подробный текст закона размещён на официальном сайте.

Здесь находится опрос. Но он пока не работает в приложении.

А что вы думаете о новом законе?

Проголосовать

Переголосовать

Показать результаты

Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть