В конце весны в ЕС вступил в силу регламент GDPR. А месяц назад в США подписал законопроект , обязав компании сообщать об «утечках» данных клиентам и властям не позднее месяца с момента происшествия.
В этом году в Беларуси также появились новые законопроекты, связанные с ПД.
Во-первых, в апреле этого года парламентарии принял поправки в закон о СМИ требуют от пользователей проходить идентификацию перед тем, как оставлять комментарии на форумах.
И вот власти предъявили юридический проект «О персональных данных».
Ниже под катом рассказываем о его сути и реакции сообщества.
/ Pxздесь /ПД
Суть законопроекта
Законопроект внесен в Национальный центр законодательства и правовых исследований Республики Беларусь ( НЦЗПИ ).В июне делегация Центра шел в Париж для встречи с членами Французской комиссии по защите данных ( CNIL ) перенять опыт европейских коллег и тут же применить его на практике.
Черновик закон представлен в начале июля.
Он содержит шесть глав и двадцать две статьи, описывающие правила работы с персональными данными на территории Беларуси.
Обсуждение законопроекта продлится до 11 августа текущего года.
Основными «лицами» в документе являются субъект и оператор персональных данных.
Субъект ПДн – лицо, данные которого собираются, хранятся или обрабатываются.
Оператор ПДн – компания или индивидуальный предприниматель, осуществляющий обработку ПДн на территории Беларуси.
Под персональными данными регулятор непосредственно понимает любую информацию, на основании которой можно идентифицировать человека.
Эта информация, в том числе возможно биометрические (отпечатки пальцев) и генетические показатели (ДНК).
Эti и другие определения можно найти в первая статья на страницах 1 и 2 официального документа .
Согласно тексту законопроекта, субъект персональных данных имеет право:
- Дать свое согласие на обработку персональных данных и отозвать его;
- Запросить внесение изменений в ПД, а также удалить или прекратить их обработку;
- Получить информацию о том, что его ПД были переданы третьему лицу;
- Подавать жалобы регулятору на оператора.
В статье 17 ( на страницах 16–17 документа ) перечислены необходимые для этого меры.
Среди них: создание политик безопасности, установление процедур доступа к персональным данным, внедрение технической и криптографической защиты информации и другие.
Также отмечается, что для этого компаниям необходимо будет руководствоваться положениями Оперативно-аналитического центра при Президенте Республики Беларусь ( ОАК № 62 ) — государственный орган Беларуси, регулирующий деятельность в области информационной безопасности.
Перечень требований к созданию системы информационной безопасности, установленный ОАК, достаточно сложен и включает более 50 пунктов.
А организация необходимых механизмов безопасности требует времени и денег.
Исходя из этого, можно предположить, что малому и среднему бизнесу будет сложно самостоятельно выполнить все условия.
Однако в новом законе указано, что оператор может поручить сбор, обработку и распространение ПДн третьей стороне, то есть передать это на аутсорсинг.
Этой третьей стороной может быть, например, облачный провайдер, который будет следить за соблюдением требований безопасности персональных данных.
«Если оборудование облачного провайдера размещается в крупных дата-центрах со строгими системами контроля доступа и резервирования, это автоматически снимает часть нормативных требований, связанных с физической защитой данных, обеспечением безопасности виртуальной инфраструктуры и проведением аудитов», — говорит Сергей Белкин, руководитель отдела развития.Например, мы недавно присоединились к 1cloud. разместили свое оборудование в дата-центре beCloud, расположенном в пригороде Минска.1облако .
Данный дата-центр сертифицирован по стандарту Tier III, что обеспечивает безопасность и доступность данных и информационных систем в соответствии с законодательством Республики Беларусь.
Изначально наше решение разместить наше оборудование в белорусском дата-центре не было связано с новым законопроектом — клиенты из Беларуси просили нас об этом еще раньше.
Дело в том, что согласно Указу Президента Республики Беларусь №60 и Постановление Совета Министров Республики Беларусь №644 коммерческие сайты в Республике Беларусь должны размещаться на оборудовании, расположенном в стране.
Однако теперь к этим требованиям добавились задачи по обработке ПДн, часть из которых можно «делегировать» локальному облачному провайдеру:
«Перекладывая часть задач на плечи вендора, компания экономит время и ресурсы, получая возможность сконцентрироваться на совершенствовании бизнес-процессов», — отмечает Сергей.«Однако важно помнить, что помимо физической безопасности следует также обратить внимание на инфраструктурные особенности дата-центра облачного провайдера: возможности охлаждения, дублирование критически важных систем и наличие резервных компонентов — все это влияет на отказоустойчивость систем центров обработки данных».
Штрафы и наказания
Обратите внимание, что операторам не нужно регистрироваться в каком-либо реестре.Нет необходимости хранить данные белорусов локально (согласно новому законопроекту), но здесь важно учитывать требования того же Указа №60 и Постановления №644 - Независимо от домена, все сайты юридических лиц или индивидуальных предпринимателей в Беларуси должны перейти на белорусский хостинг.
Дополнительно для компаний придется назначить лицо, ответственное за защиту персональных данных (как в GDPR), которое будет отвечать за организацию работы с персональными данными (это может быть как отдельный сотрудник, так и целый отдел).
Размер штрафов «за несоблюдение буквы закона» пока не уточняется, однако известно, что нарушители понесут ответственность, предусмотренную законодательными актами, и возместят субъектам персональных данных моральный и материальный ущерб.
повреждать ( Искусство.
20, стр.
18–19. ).
В случае кражи пользовательских данных оператор обязан сообщить регулятору об «утечке» в течение трех дней после того, как стало известно о происшествии.
Однако если происшествие было незначительным и не ущемило права субъекта персональных данных, то сообщать о нем вам не придется.
Регулятором в данном случае является уполномоченный орган по защите прав субъектов персональных данных.
В соответствии с Статья 18 на стр.
17–18. будет защищать права владельцев персональных данных, рассматривать их жалобы, а также контролировать соблюдение операторами требований законодательства (например, удаление или блокировку недостоверных данных).
Исключения
Закон коснется всех организаций, которые работают с персональными данными (индивидуальных предпринимателей, юридических лиц, владельцев сайтов и других): им нужно будет создать политику работы с персональными данными, назначить ДПО, реализовать меры защиты и так далее.Требования закона будут распространяться как на автоматизированную обработку данных, так и на неавтоматизированную обработку, когда информация собирается в каталогах и картотеках.
Однако закон предусматривает ряд исключений.
Например, не требуется получать согласие на обработку персональных данных, если жизни и здоровью субъекта угрожает опасность.
Исключение также распространяется на журналистов при осуществлении ими законной профессиональной деятельности и учёных, проводящих статистические исследования (с обязательной анонимизацией данных).
Полный список исключений вы можете найти в статьях 6, 9 официальный документ. 
/Фликр/ Каталог книг / СС
Мнения о законопроекте
Люди, которые принимал участие в ходе публичного обсуждения представленного закона отмечают, что некоторые формулировки в законопроекте являются «хромыми».Один из пользователей, например, пожаловался на избыточность условий операций с персональными данными.
Не совсем понятно, зачем каждый раз выделять такие понятия, как «сбор, обработка и хранение», когда можно использовать только термин «обработка», как это сделано в GDPR или закон Российской Федерации .
Другой пользователь Юридического форума Беларуси заметил несоответствие в требованиях к защите персональных данных в пункты 3 и 5 статьи 17 .
Третий абзац предписывает, что при организации технической и криптографической защиты необходимо руководствоваться приказом ОАЦ, но пятый абзац гласит, что классификацию (и, соответственно, степень защищенности) информационных систем будет определять другое правительство.
агентство.
Пользователи также посчитали, что определение оператора ПД не дает представления о том, кто он и чем занимается.
Они также отметили, что законопроект не содержит правовых норм, устанавливающих полномочия Президента и Совета Министров Республики Беларусь в этой области, и выразили надежду, что в будущем в текст будут внесены соответствующие дополнения, уточнения и изменения.
.
Сроки
Обсуждение законопроекта продлится до 11 августа.После этого, если закон будет принят, у операторов будет год на подготовку к его вступлению в силу.
О чем еще мы пишем в корпоративном блоге 1cloud:
- Как обеспечить безопасность данных в облаке
- Все, что вам нужно знать о принципах сетевого нейтралитета
- Обзор наших новинок: Cisco UCS B480 M5
Посты из нашего блога на Яндекс.
Дзен:
- Почему не нужно нанимать дополнительных сотрудников для работы с облаком
- Как компании могут сэкономить деньги в облаке
-
Программисты Пишут Программы
19 Oct, 24 -
Торий
19 Oct, 24 -
Эффективная Технология Защиты От Спама.
19 Oct, 24 -
Обмен Сообщениями Из Облака На Устройство
19 Oct, 24 -
Запуск Ovi Store — Полная Катастрофа
19 Oct, 24 -
Jetbrains Night В Москве, 13 Апреля
19 Oct, 24
