В Беларуси новый закон о персональных данных

Рассказываем, чем он грозит бизнесу, и показываем, что у него внутри.

В Беларуси новый закон о персональных данных

Тенденции мировой практики по охране личных данных в этом году дошли и до Беларуси. Так, в середине весны 2018 года белорусский парламент принял поправки к Закону «О средствах массовой информации».

В силу нововведенных законодательных требований пользователи Интернета для написания сообщений и комментирования на форумах теперь будут обязаны пройти предварительную идентификацию.

Вскоре после принятия поправок в Закон «О СМИ» был разработан и профильный проект закона «О персональных данных», который уже обсуждается на парламентских заседаниях.

О чем проект закона

В ходе разработки положений нового закона проводились международные консультации с государственными органами стран – членов ЕС с наиболее развитой законодательной базой по вопросам охраны личных данных граждан.

Например, в июне группа разработчиков встречалась с представителями Комиссии по защите данных Франции (CNIL). Целью встречи были не только двусторонние обсуждения профильных вопросов, но и ознакомление белорусских законоведов с опытом их коллег в ЕС.

Итогом консультаций стала ускоренная разработка законопроекта в его черновом варианте, который был представлен для ознакомления и обсуждения уже в начале июля.

Структурно законопроект разделен на 6 глав и 22 статьи. Содержание статей направлено на регламентацию правил работы с персональными данными в Беларуси.

Законопроект определяет двух участников правоотношений, регламентируемых законом:

  • субъект персональных данных или гражданин, чьи персональные данные будут подвергаться хранению и обработке;
  • оператор персональных данных – юридическое лицо или ИП, исполняющий обязанности по сбору, хранению и обработке персональных данных.

Законопроект вводит и определение (понятие) «персональных данных». Под ними будет пониматься совокупность информации, делающей возможной идентифицирование субъекта. В совокупность информации будут входить любые сведения, в том числе относящиеся к биометрии и генетике. Отдельные положения проекта посвящены правам и обязанностям субъектов и операторов персональных данных.

Проект предполагает, что субъект будет обладать нижеперечисленными правами:

  • соглашаться или отказывать от акцепта на обработку персональных данных;
  • требовать от оператора ПД внесения изменений в свои персональных данных;
  • получать от оператора персональных данных сведения о том, передавались ли ПД субъекта любому третьему лицу;
  • обжаловать действия оператора персональных данных.

Оператор наделен в законопроекте следующими обязанностями:

  • обязательство получить согласие субъекта на обработку его персональных данных;
  • обязательство сообщать субъекту о целях использования его персональных данных;
  • обязательство недопущения компрометации персональных данных субъекта.

Регламентация действий оператора персональных данных представлена в статье 17 законопроекта. В частности, действия оператора должны будут включать в себя:

  • разработку и применение политики безопасности персональных данных;
  • разработку и применение норм доступа к персональным данным;
  • разработку и применение действенных средств технической и криптографической защиты персональных данных.

Также статья 17 вводит обязательность осуществления деятельности операторов персональных данных в соответствии с Положениями головного государственного органа по защите информации – Аналитического центра при Президенте Республики Беларусь (ОАЦ).

Директивы по безопасности

Методика разработки и ввода системы защиты персональных данных, включает в себя более 50 номинаций, исполнение большинства из которых будет дорогостоящим и времезатратным. В силу этого стоит предположить, что малый и средний бизнес не справится с требованиями по защите персональных данных.

Некоторую надежду вселяет положение законопроекта о предоставляемой оператору возможности обратиться к помощи аутсорсинга, то есть возможности возложить сбор, обработку и хранение персональных данных на третью сторону.

В случае размещения оборудования облачного провайдера в крупных центрах хранения данных с развитыми системами резервирования и строгим пропускным режимом, часть требований регламента, относящихся к физической защите данных, обеспечению безопасности виртуальной инфраструктуры и проведению аудитов, будет закрыта

Сергей Белкин, Руководитель отдела развития 1cloud

К примеру, 1сloud совсем недавно разместил свое оборудование в дата-центре beCloud в пригороде Минска. Центр получил сертификацию по стандарту Tier III, то есть обладает способностью обеспечения сохранности и доступа к персональным данным в полном соответствии с законодательством Беларуси.

Проект размещения оборудования в данном центре первоначально не был связан с законопроектом «О персональных данных». Были лишь пожелания и приглашения партнеров и клиентов из Беларуси.

Необходимость размещения оборудования именно на территории Беларуси обусловлена требованиями Указа Президента РБ (№60) и Постановлением Совмина РБ (№644). В соответствии с этими правительственными актами любые коммерческие сайты в Беларуси должны размещаться только на оборудовании, дислоцированном на территории РБ.

В связи с разработкой Законопроекта «О персональных данных» к вышеизложенным требованиям добавились и требования, связанные с обработкой персональных данных, часть которых можно переложить на местного облачного провайдера.

Из слов Сергея Белкина следует, что перекладывая часть проблем, связанных с исполнением закона «О персональных данных» на вендора, компания сможет экономить и время, и деньги, занимаясь исключительно вопросами прибыльности бизнеса.

Правовые санкции

Основным условием хранения персональных данных граждан Беларуси станет переход на беларуский хостинг. Никаких дополнительных реестров не предусмотрено.

В штатном расписании потребуется учреждение должности ответственного по защите персональных данных или учреждение дополнительного отдела. Все зависит от объема работы и возможностей оператора.

Санкции, то есть виды наказаний за неисполнение предписаний закона, пока не введены. Думается, что после принятия закона и административный, и уголовный кодексы пополнятся новыми статьями. Пока за нарушение правил сохранности ПД наступает либо гражданская ответственности, либо деяние квалифицируется по сходным статьям уголовного и административного кодексов.

В случае возможных хищений данных оператор будет обязан известить о факте хищения правоохранительные органы в течение 3 дней с момента обнаружения «утечки». Одновременно информация должны быть направлена в орган по защите прав субъектов ПД. В случае незначительности «утечки» либо при отсутствии пагубных последствий «утечки» для субъектов извещение регулятора и правоохранительных органов не будет обязательным.

Регулятор

В соответствии с положениями законопроекта, будет учрежден центральный орган по защите прав субъектов ПД. На орган будут возложены обязанности:

  • рассмотрения заявлений граждан по вопросам их персональных данных;
  • наблюдения за исполнением закона операторами;
  • защиты прав субъектов.

Юрисдикция закона

Положения законопроекта, в случае его принятия, повлияют на все без исключения организации, задействованные в обработке персональных данных в Беларуси.

  • Возникнет необходимость в разработке методик работы с ПД и политики обеспечения безопасности ПД.
  • Потребуется разработка автоматизированных систем обработки, а также неавтоматизированных картотек и каталогов.

При этом законопроект предусматривает некоторые исключения из общих правил. К примеру, снимается директивность требования по получению согласия лица на обработку его данных в случаях:

  • угрозы жизни и здоровью лица;
  • угрозы жизни и здоровью населения;
  • когда данные истребуются лицами, осуществляющими законную журналистскую деятельность;
  • когда данные истребуются учеными, осуществляющими статистические исследования.

То есть в основе исключений лежат некие экстраординарные события, способные причинить значительный ущерб субъектам ПД.

В статье 6 законопроекта приведен полный список исключений.

«Правовой форум» о законопроекте

Большинство экспертов и специалистов, принявших участие в общественном обсуждении законопроекта, пришли к выводу, что законопроект несовершенен и некоторые его части нуждаются в доработке.

Высказавшиеся по поводу законопроекта пользователи «Правового форума» Беларуси отмечают:

  • излишнее отягощение текста закона специальной терминологией и избыточность формулировок;
  • противоречия в статье 17, касающейся вопросов обеспечения безопасности ПД. Так, в статье пункт 3, регламентирующий организацию защиты со стороны ОАЦ, противоречит пункту 5, в котором организация защиты относится к компетенции иного госоргана;
  • неполноту определения понятия оператора ПД и сферы его деятельности;
  • отсутствие в законе норм, определяющих правомочия Президента и Совмина РБ в вопросах защиты персональных данных.

Вступление закона в силу

Обсуждение законопроекта закончилось в августе этого года. Проект принят Палатой представителей и одобрен Советом Республики. Подробный текст закона размещён на официальном сайте.

А что вы думаете о новом законе?
Полностью поддерживаю
Нет, не поддерживаю
Воздержусь от ответа или напишу своё мнение в комментариях
1212
3 комментария

Приняли поправки, а регулятора и наказаний нет. Саморегулирование?) Ох чувствую будет очередное «белорусское экономическое чудо»)))

3
Ответить

Так есть даже штрафы) и блокировка

1
Ответить

В экстренном порядке информируем всех наших клиентов вносить необходимые данные, бедняги ни сном ни духом)

Ответить