В Беларуси представлен законопроект о защите персональных данных — что у него «внутри»

в 15:48, , рубрики: 1cloud, беларусь, Блог компании 1cloud.ru, Законодательство в IT, законопроект, ПД, хранение данных

В конце весны в ЕС вступил в силу регламент GDPR. А месяц назад в США подписали законопроект, обязывающий компании сообщать клиентам и властям об «утечках» данных не позже чем через месяц с момента возникновения инцидента.

В этом году новые законопроекты, связанные с ПД, также появились и в Беларуси. Сперва в апреле этого года парламентарии приняли поправки к закону о СМИ, обязывающие пользователей проходить идентификацию, прежде чем оставлять комментарии на форумах. А теперь власти представили проект закона «О персональных данных».

Под катом рассказываем о его сути и реакции сообщества.

В Беларуси представлен законопроект о защите персональных данных — что у него «внутри» - 1
/ Pxhere / PD

Суть законопроекта

Законопроект предложили в Национальном центре законодательства и правовых исследований Республики Беларусь (НЦЗПИ). В июне делегация от Центра ездила в Париж для встречи с членами Французской комиссии по защите данных (CNIL), чтобы перенять опыт европейских коллег и сразу применить его на практике.

Черновой вариант закона представили в начале июля. В нем шесть глав и двадцать две статьи, в которых описаны правила работы с ПД на территории Беларуси. Обсуждение законопроекта продлится до 11 августа этого года.

Главными действующими «лицами» в документе выступают субъект и оператор персональных данных. Субъект ПД — это человек, данные которого собираются, хранятся или обрабатываются. Оператор ПД — это компания или индивидуальный предприниматель, обрабатывающий ПД на территории Беларуси. Непосредственно под персональными данными регулятор понимает любую информацию, на основании которой можно идентифицировать человека. Этой информацией, в том числе, могут быть биометрические (отпечатки пальцев) и генетические показатели (ДНК).

Эти и другие определения вы можете найти в первой статье на страницах 1 и 2 официального документа.

По тексту законопроекта, субъект ПД имеет право:

  • Давать свое согласие на обработку ПД и отзывать его;
  • Требовать внести в ПД изменения, а также удалить или прекратить их обработку;
  • Получать сведения о том, что его ПД были переданы третьей стороне;
  • Подавать регулятору жалобы на оператора.

Оператор ПД, в свою очередь, обязан получать у субъекта согласие на обработку ПД, разъяснять, для каких целей используются эти данные и защищать их от компрометации.

В статье 17 (на стр.16–17 документа) перечислены необходимые для этого меры. Среди них: создание политик безопасности, установление порядка доступа к ПД, внедрение технической и криптографической защиты информации и другие. Там же отмечено, что для этого компаниям нужно будет руководствоваться положениями Оперативно-аналитического центра при Президенте Республики Беларусь (ОАЦ № 62) — это госорган Беларуси, регулирующий деятельность по защите информации.

Перечень требований к созданию системы защиты информации, устанавливаемый ОАЦ, довольно сложен и включает более 50 пунктов. А организация необходимых механизмов безопасности требует времени и денежных средств. Исходя из этого можно предположить, что предприятиям малого и среднего бизнеса будет сложно самостоятельно выполнить все условия.

Однако новый закон гласит, что оператор может поручить сбор, обработку и распространение ПД третьей стороне, то есть передать её на аутсорс. Этой третьей стороной может быть, например, облачный провайдер, который будет следить за соблюдением требований к безопасности персональных данных.

«Если оборудование облачного провайдера размещается в крупных дата-центрах со строгим пропускным режимом и системами резервирования, это автоматически закрывает часть требований регламента, относящихся к физической защите данных, обеспечению безопасности виртуальной инфраструктуры и проведению аудитов», — рассказывает Сергей Белкин, начальник отдела развития 1cloud.

Например, мы в 1сloud недавно разместили свое оборудование в дата-центре beCloud, расположенном в пригороде Минска. Этот ЦОД сертифицирован по стандарту Tier III, что обеспечивает сохранность и доступность данных и информационных систем в соответствии с законодательством РБ.

Изначально наше решение разместить свое «железо» в белорусском дата-центре не было связано с новым законопроектом — об этом нас еще раньше просили клиенты из Беларуси. Дело в том, что согласно Указу Президента РБ №60 и Постановлению Совета Министров Республики Беларусь №644, коммерческие сайты в РБ должны размещаться на оборудовании, находящемся на территории страны. Однако теперь к этим требованиям добавились и задачи по обработке ПД, часть которых можно «делегировать» местному облачному провайдеру:

«Перекладывая часть задач на плечи вендора, компания экономит время и ресурсы, получая возможность сконцентрироваться на совершенствовании бизнес-процессов, — отмечает Сергей. — Однако важно помнить, что помимо физической безопасности следует также обращать внимание на инфраструктурные особенности дата-центра облачного провайдера: возможности холодильных установок, дублирование критических систем и наличие резервных компонентов — все это влияет на отказоустойчивость систем ЦОД».

Штрафы и наказания

Отметим, что операторам не надо регистрироваться ни в каком реестре. Хранить данные белорусов локально (согласно новому законопроекту) не нужно, однако тут важно учитывать требования все тех же Указа №60 и Постановления №644 — вне зависимости от домена, все сайты юрлиц или ИП в Беларуси должны перейти на белорусский хостинг. Дополнительно компаниям придется назначить ответственного по защите ПД (как в GDPR), который будет отвечать за организацию работы с персональными данными (это может быть как отдельный сотрудник, так и целый отдел).

Размеры штрафов «за несоответствие букве закона» пока не прописаны, однако известно, что нарушители будут нести ответственность, предусмотренную законодательными актами и возмещать субъектам ПД моральный и материальный вред (ст. 20, стр.18–19).

Если данные пользователей оказались украдены, то оператор обязан сообщить регулятору об «утечке» в течение трех дней после того, как об инциденте стало известно. Однако если инцидент был незначительным и не причиняет вреда правам субъекта ПД, то сообщать о нем не придется. Регулятором в этом случае является уполномоченный орган по защите прав субъектов ПД. Согласно статье 18 на стр.17–18 он будет защищать права владельцев персональных данных, рассматривать их жалобы, а также следить за исполнением операторами требований закона (например, удалением или блокировкой недостоверных данных).

Исключения

Закон повлияет на все организации, которые работают с ПД (ИП, юридические лица, владельцы сайтов и прочие): им нужно будет создать политики работы с ПД, назначить DPO, реализовать защитные меры и так далее.

Требования закона будут распространяться как на автоматизированную обработку данных, так неавтоматизированную, когда информация собирается в каталоги и картотеки.

Однако закон предусматривает ряд исключений. Например, получать согласие на обработку ПД не требуется, если жизни и здоровью субъекта угрожает опасность. Исключение также распространяется на журналистов, когда они ведут свою законную профессиональную деятельность, и ученых, которые проводят статистические исследования (при обязательном обезличивании данных). Полный список исключений вы можете найти в статьях 6, 9 официального документа.

В Беларуси представлен законопроект о защите персональных данных — что у него «внутри» - 2
/ Flickr / Book Catalog / CC

Мнения о законопроекте

Люди, которые поучаствовали в общественном обсуждении представленного закона, отмечают, что часть формулировок в законопроекте «хромает». Один из пользователей, например, посетовал на избыточность терминов для операций с ПД. Не до конца ясно, зачем каждый раз выделять такие понятия, как «сбор, обработка и хранение», когда можно использовать лишь термин «обработка», как это сделано в GDPR или законе РФ.

Еще один из пользователей Правового форума Беларуси заметил расхождение в требованиях к защите ПД в пунктах 3 и 5 статьи 17. Третий пункт предписывает при организации технической и криптографической защиты руководствоваться приказом ОАЦ, однако в пятом пункте сказано, что классификация (и, соответственно, степень защиты) информационных систем будет определяться иным госорганом.

Еще пользователи посчитали, что определение оператора ПД не дает представления о том, кто он такой, и чем занимается. Они также отметили, что в законопроекте отсутствуют нормы права, устанавливающие полномочия президента и Совета Министров РБ в этой сфере, и понадеялись, что в будущем в тексте будут сделаны соответствующие дополнения, уточнения и изменения.

Сроки

Обсуждение законопроекта продлится до 11 августа. После этого, если закон примут, у операторов будет год, чтобы подготовиться к его вступлению в силу.


О чем еще мы пишем в корпоративном блоге 1cloud:

Посты из нашего блога на Яндекс.Дзен:

Автор: 1cloud

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js