Главная » Хабрахабр » В Беларуси представлен законопроект о защите персональных данных — что у него «внутри»

В Беларуси представлен законопроект о защите персональных данных — что у него «внутри»

В конце весны в ЕС вступил в силу регламент GDPR. А месяц назад в США подписали законопроект, обязывающий компании сообщать клиентам и властям об «утечках» данных не позже чем через месяц с момента возникновения инцидента.

Сперва в апреле этого года парламентарии приняли поправки к закону о СМИ, обязывающие пользователей проходить идентификацию, прежде чем оставлять комментарии на форумах. В этом году новые законопроекты, связанные с ПД, также появились и в Беларуси. А теперь власти представили проект закона «О персональных данных».

Под катом рассказываем о его сути и реакции сообщества.


/ Pxhere / PD

Суть законопроекта

Законопроект предложили в Национальном центре законодательства и правовых исследований Республики Беларусь (НЦЗПИ). В июне делегация от Центра ездила в Париж для встречи с членами Французской комиссии по защите данных (CNIL), чтобы перенять опыт европейских коллег и сразу применить его на практике.

В нем шесть глав и двадцать две статьи, в которых описаны правила работы с ПД на территории Беларуси. Черновой вариант закона представили в начале июля. Обсуждение законопроекта продлится до 11 августа этого года.

Субъект ПД — это человек, данные которого собираются, хранятся или обрабатываются. Главными действующими «лицами» в документе выступают субъект и оператор персональных данных. Непосредственно под персональными данными регулятор понимает любую информацию, на основании которой можно идентифицировать человека. Оператор ПД — это компания или индивидуальный предприниматель, обрабатывающий ПД на территории Беларуси. Этой информацией, в том числе, могут быть биометрические (отпечатки пальцев) и генетические показатели (ДНК).

Эти и другие определения вы можете найти в первой статье на страницах 1 и 2 официального документа.

По тексту законопроекта, субъект ПД имеет право:

  • Давать свое согласие на обработку ПД и отзывать его;
  • Требовать внести в ПД изменения, а также удалить или прекратить их обработку;
  • Получать сведения о том, что его ПД были переданы третьей стороне;
  • Подавать регулятору жалобы на оператора.

Оператор ПД, в свою очередь, обязан получать у субъекта согласие на обработку ПД, разъяснять, для каких целей используются эти данные и защищать их от компрометации.

16–17 документа) перечислены необходимые для этого меры. В статье 17 (на стр. Там же отмечено, что для этого компаниям нужно будет руководствоваться положениями Оперативно-аналитического центра при Президенте Республики Беларусь (ОАЦ № 62) — это госорган Беларуси, регулирующий деятельность по защите информации. Среди них: создание политик безопасности, установление порядка доступа к ПД, внедрение технической и криптографической защиты информации и другие.

А организация необходимых механизмов безопасности требует времени и денежных средств. Перечень требований к созданию системы защиты информации, устанавливаемый ОАЦ, довольно сложен и включает более 50 пунктов. Исходя из этого можно предположить, что предприятиям малого и среднего бизнеса будет сложно самостоятельно выполнить все условия.

Этой третьей стороной может быть, например, облачный провайдер, который будет следить за соблюдением требований к безопасности персональных данных. Однако новый закон гласит, что оператор может поручить сбор, обработку и распространение ПД третьей стороне, то есть передать её на аутсорс.

«Если оборудование облачного провайдера размещается в крупных дата-центрах со строгим пропускным режимом и системами резервирования, это автоматически закрывает часть требований регламента, относящихся к физической защите данных, обеспечению безопасности виртуальной инфраструктуры и проведению аудитов», — рассказывает Сергей Белкин, начальник отдела развития 1cloud.

Например, мы в 1сloud недавно разместили свое оборудование в дата-центре beCloud, расположенном в пригороде Минска. Этот ЦОД сертифицирован по стандарту Tier III, что обеспечивает сохранность и доступность данных и информационных систем в соответствии с законодательством РБ.

Дело в том, что согласно Указу Президента РБ №60 и Постановлению Совета Министров Республики Беларусь №644, коммерческие сайты в РБ должны размещаться на оборудовании, находящемся на территории страны. Изначально наше решение разместить свое «железо» в белорусском дата-центре не было связано с новым законопроектом — об этом нас еще раньше просили клиенты из Беларуси. Однако теперь к этим требованиям добавились и задачи по обработке ПД, часть которых можно «делегировать» местному облачному провайдеру:

— Однако важно помнить, что помимо физической безопасности следует также обращать внимание на инфраструктурные особенности дата-центра облачного провайдера: возможности холодильных установок, дублирование критических систем и наличие резервных компонентов — все это влияет на отказоустойчивость систем ЦОД». «Перекладывая часть задач на плечи вендора, компания экономит время и ресурсы, получая возможность сконцентрироваться на совершенствовании бизнес-процессов, — отмечает Сергей.

Штрафы и наказания

Отметим, что операторам не надо регистрироваться ни в каком реестре. Хранить данные белорусов локально (согласно новому законопроекту) не нужно, однако тут важно учитывать требования все тех же Указа №60 и Постановления №644 — вне зависимости от домена, все сайты юрлиц или ИП в Беларуси должны перейти на белорусский хостинг. Дополнительно компаниям придется назначить ответственного по защите ПД (как в GDPR), который будет отвечать за организацию работы с персональными данными (это может быть как отдельный сотрудник, так и целый отдел).

20, стр. Размеры штрафов «за несоответствие букве закона» пока не прописаны, однако известно, что нарушители будут нести ответственность, предусмотренную законодательными актами и возмещать субъектам ПД моральный и материальный вред (ст. 18–19).

Однако если инцидент был незначительным и не причиняет вреда правам субъекта ПД, то сообщать о нем не придется. Если данные пользователей оказались украдены, то оператор обязан сообщить регулятору об «утечке» в течение трех дней после того, как об инциденте стало известно. Согласно статье 18 на стр. Регулятором в этом случае является уполномоченный орган по защите прав субъектов ПД. 17–18 он будет защищать права владельцев персональных данных, рассматривать их жалобы, а также следить за исполнением операторами требований закона (например, удалением или блокировкой недостоверных данных).

Исключения

Закон повлияет на все организации, которые работают с ПД (ИП, юридические лица, владельцы сайтов и прочие): им нужно будет создать политики работы с ПД, назначить DPO, реализовать защитные меры и так далее.

Требования закона будут распространяться как на автоматизированную обработку данных, так неавтоматизированную, когда информация собирается в каталоги и картотеки.

Например, получать согласие на обработку ПД не требуется, если жизни и здоровью субъекта угрожает опасность. Однако закон предусматривает ряд исключений. Полный список исключений вы можете найти в статьях 6, 9 официального документа. Исключение также распространяется на журналистов, когда они ведут свою законную профессиональную деятельность, и ученых, которые проводят статистические исследования (при обязательном обезличивании данных).


/ Flickr / Book Catalog / CC

Мнения о законопроекте

Люди, которые поучаствовали в общественном обсуждении представленного закона, отмечают, что часть формулировок в законопроекте «хромает». Один из пользователей, например, посетовал на избыточность терминов для операций с ПД. Не до конца ясно, зачем каждый раз выделять такие понятия, как «сбор, обработка и хранение», когда можно использовать лишь термин «обработка», как это сделано в GDPR или законе РФ.

Третий пункт предписывает при организации технической и криптографической защиты руководствоваться приказом ОАЦ, однако в пятом пункте сказано, что классификация (и, соответственно, степень защиты) информационных систем будет определяться иным госорганом. Еще один из пользователей Правового форума Беларуси заметил расхождение в требованиях к защите ПД в пунктах 3 и 5 статьи 17.

Они также отметили, что в законопроекте отсутствуют нормы права, устанавливающие полномочия президента и Совета Министров РБ в этой сфере, и понадеялись, что в будущем в тексте будут сделаны соответствующие дополнения, уточнения и изменения. Еще пользователи посчитали, что определение оператора ПД не дает представления о том, кто он такой, и чем занимается.

Сроки

Обсуждение законопроекта продлится до 11 августа. После этого, если закон примут, у операторов будет год, чтобы подготовиться к его вступлению в силу.

О чем еще мы пишем в корпоративном блоге 1cloud:

Посты из нашего блога на Яндекс.Дзен:


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

[Из песочницы] Валидация сложных форм React. Часть 1

Для начала надо установить компонент react-validation-boo, предполагаю что с react вы знакомы и как настроить знаете. npm install react-validation-boo Чтобы много не болтать, сразу приведу небольшой пример кода. import React, from 'react'; import {connect, Form, Input, logger} from 'react-validation-boo'; class ...

[Перевод] Микросервисы на Go с помощью Go kit: Введение

Эта статья — введение в Go kit. В этой статье я опишу использование Go kit, набора инструментов и библиотек для создания микросервисов на Go. Первая часть в моем блоге, исходный код примеров доступен здесь. Когда вы разрабатываете облачно-ориентированную распределенную систему, ...