В Беларуси представлен законопроект о защите персональных данных — что у него «внутри»

    В конце весны в ЕС вступил в силу регламент GDPR. А месяц назад в США подписали законопроект, обязывающий компании сообщать клиентам и властям об «утечках» данных не позже чем через месяц с момента возникновения инцидента.

    В этом году новые законопроекты, связанные с ПД, также появились и в Беларуси. Сперва в апреле этого года парламентарии приняли поправки к закону о СМИ, обязывающие пользователей проходить идентификацию, прежде чем оставлять комментарии на форумах. А теперь власти представили проект закона «О персональных данных».

    Под катом рассказываем о его сути и реакции сообщества.


    / Pxhere / PD

    Суть законопроекта


    Законопроект предложили в Национальном центре законодательства и правовых исследований Республики Беларусь (НЦЗПИ). В июне делегация от Центра ездила в Париж для встречи с членами Французской комиссии по защите данных (CNIL), чтобы перенять опыт европейских коллег и сразу применить его на практике.

    Черновой вариант закона представили в начале июля. В нем шесть глав и двадцать две статьи, в которых описаны правила работы с ПД на территории Беларуси. Обсуждение законопроекта продлится до 11 августа этого года.

    Главными действующими «лицами» в документе выступают субъект и оператор персональных данных. Субъект ПД — это человек, данные которого собираются, хранятся или обрабатываются. Оператор ПД — это компания или индивидуальный предприниматель, обрабатывающий ПД на территории Беларуси. Непосредственно под персональными данными регулятор понимает любую информацию, на основании которой можно идентифицировать человека. Этой информацией, в том числе, могут быть биометрические (отпечатки пальцев) и генетические показатели (ДНК).

    Эти и другие определения вы можете найти в первой статье на страницах 1 и 2 официального документа.

    По тексту законопроекта, субъект ПД имеет право:

    • Давать свое согласие на обработку ПД и отзывать его;
    • Требовать внести в ПД изменения, а также удалить или прекратить их обработку;
    • Получать сведения о том, что его ПД были переданы третьей стороне;
    • Подавать регулятору жалобы на оператора.

    Оператор ПД, в свою очередь, обязан получать у субъекта согласие на обработку ПД, разъяснять, для каких целей используются эти данные и защищать их от компрометации.

    В статье 17 (на стр.16–17 документа) перечислены необходимые для этого меры. Среди них: создание политик безопасности, установление порядка доступа к ПД, внедрение технической и криптографической защиты информации и другие. Там же отмечено, что для этого компаниям нужно будет руководствоваться положениями Оперативно-аналитического центра при Президенте Республики Беларусь (ОАЦ № 62) — это госорган Беларуси, регулирующий деятельность по защите информации.

    Перечень требований к созданию системы защиты информации, устанавливаемый ОАЦ, довольно сложен и включает более 50 пунктов. А организация необходимых механизмов безопасности требует времени и денежных средств. Исходя из этого можно предположить, что предприятиям малого и среднего бизнеса будет сложно самостоятельно выполнить все условия.

    Однако новый закон гласит, что оператор может поручить сбор, обработку и распространение ПД третьей стороне, то есть передать её на аутсорс. Этой третьей стороной может быть, например, облачный провайдер, который будет следить за соблюдением требований к безопасности персональных данных.

    «Если оборудование облачного провайдера размещается в крупных дата-центрах со строгим пропускным режимом и системами резервирования, это автоматически закрывает часть требований регламента, относящихся к физической защите данных, обеспечению безопасности виртуальной инфраструктуры и проведению аудитов», — рассказывает Сергей Белкин, начальник отдела развития 1cloud.

    Например, мы в 1сloud недавно разместили свое оборудование в дата-центре beCloud, расположенном в пригороде Минска. Этот ЦОД сертифицирован по стандарту Tier III, что обеспечивает сохранность и доступность данных и информационных систем в соответствии с законодательством РБ.

    Изначально наше решение разместить свое «железо» в белорусском дата-центре не было связано с новым законопроектом — об этом нас еще раньше просили клиенты из Беларуси. Дело в том, что согласно Указу Президента РБ №60 и Постановлению Совета Министров Республики Беларусь №644, коммерческие сайты в РБ должны размещаться на оборудовании, находящемся на территории страны. Однако теперь к этим требованиям добавились и задачи по обработке ПД, часть которых можно «делегировать» местному облачному провайдеру:

    «Перекладывая часть задач на плечи вендора, компания экономит время и ресурсы, получая возможность сконцентрироваться на совершенствовании бизнес-процессов, — отмечает Сергей. — Однако важно помнить, что помимо физической безопасности следует также обращать внимание на инфраструктурные особенности дата-центра облачного провайдера: возможности холодильных установок, дублирование критических систем и наличие резервных компонентов — все это влияет на отказоустойчивость систем ЦОД».

    Штрафы и наказания


    Отметим, что операторам не надо регистрироваться ни в каком реестре. Хранить данные белорусов локально (согласно новому законопроекту) не нужно, однако тут важно учитывать требования все тех же Указа №60 и Постановления №644 — вне зависимости от домена, все сайты юрлиц или ИП в Беларуси должны перейти на белорусский хостинг. Дополнительно компаниям придется назначить ответственного по защите ПД (как в GDPR), который будет отвечать за организацию работы с персональными данными (это может быть как отдельный сотрудник, так и целый отдел).

    Размеры штрафов «за несоответствие букве закона» пока не прописаны, однако известно, что нарушители будут нести ответственность, предусмотренную законодательными актами и возмещать субъектам ПД моральный и материальный вред (ст. 20, стр.18–19).

    Если данные пользователей оказались украдены, то оператор обязан сообщить регулятору об «утечке» в течение трех дней после того, как об инциденте стало известно. Однако если инцидент был незначительным и не причиняет вреда правам субъекта ПД, то сообщать о нем не придется. Регулятором в этом случае является уполномоченный орган по защите прав субъектов ПД. Согласно статье 18 на стр.17–18 он будет защищать права владельцев персональных данных, рассматривать их жалобы, а также следить за исполнением операторами требований закона (например, удалением или блокировкой недостоверных данных).

    Исключения


    Закон повлияет на все организации, которые работают с ПД (ИП, юридические лица, владельцы сайтов и прочие): им нужно будет создать политики работы с ПД, назначить DPO, реализовать защитные меры и так далее.

    Требования закона будут распространяться как на автоматизированную обработку данных, так неавтоматизированную, когда информация собирается в каталоги и картотеки.

    Однако закон предусматривает ряд исключений. Например, получать согласие на обработку ПД не требуется, если жизни и здоровью субъекта угрожает опасность. Исключение также распространяется на журналистов, когда они ведут свою законную профессиональную деятельность, и ученых, которые проводят статистические исследования (при обязательном обезличивании данных). Полный список исключений вы можете найти в статьях 6, 9 официального документа.


    / Flickr / Book Catalog / CC

    Мнения о законопроекте


    Люди, которые поучаствовали в общественном обсуждении представленного закона, отмечают, что часть формулировок в законопроекте «хромает». Один из пользователей, например, посетовал на избыточность терминов для операций с ПД. Не до конца ясно, зачем каждый раз выделять такие понятия, как «сбор, обработка и хранение», когда можно использовать лишь термин «обработка», как это сделано в GDPR или законе РФ.

    Еще один из пользователей Правового форума Беларуси заметил расхождение в требованиях к защите ПД в пунктах 3 и 5 статьи 17. Третий пункт предписывает при организации технической и криптографической защиты руководствоваться приказом ОАЦ, однако в пятом пункте сказано, что классификация (и, соответственно, степень защиты) информационных систем будет определяться иным госорганом.

    Еще пользователи посчитали, что определение оператора ПД не дает представления о том, кто он такой, и чем занимается. Они также отметили, что в законопроекте отсутствуют нормы права, устанавливающие полномочия президента и Совета Министров РБ в этой сфере, и понадеялись, что в будущем в тексте будут сделаны соответствующие дополнения, уточнения и изменения.

    Сроки


    Обсуждение законопроекта продлится до 11 августа. После этого, если закон примут, у операторов будет год, чтобы подготовиться к его вступлению в силу.



    О чем еще мы пишем в корпоративном блоге 1cloud:


    Посты из нашего блога на Яндекс.Дзен:

    1cloud.ru 130,71
    IaaS, VPS, VDS, Частное и публичное облако, SSL
    Поделиться публикацией
    Комментарии 10
      0
      По поводу приватности в РБ достаточно рассмотреть один сценарий для примера — формирование «баз тунеядцев». Логика формирования их проста как грабли:
      1. На всех жителей РБ собрать данные- работа, доходы-расходы, выезды за границу, собственность, банковские вклады и т.д.
      2. Пометить всех, кто «хороший»
      3. «Не хороших\Плохишей» -начинают рассматривать «тунеядские комиссии» в каждой территориальной единице, состав которых формируется «кем-то» и входят туда работники жэсов-исполкомов-дворники-доярки — и т.д.
      4. Комисси имеют доступ ко всей ПОЛНОЙ базе «плохишей», но база обновляется динамически, как и состав комиссий
      5. Комиссия начинает «работать» с каждым из «плохишей»

      Т.е по факту в РБ скоро наступит всеобщая «прозрачность», поскольку удержать в секрете такой объем данных при «рассмотрении-обсуждении плохишей» просто не реально.
        0
        Можете рассказать откуда у вас такая информация? То есть вы говорите, что работники жэсов и доярки имеют доступ к доходу плохишей? Или даже ко всем вообще без разбора?
          +1
          Согласно «Декрет Президента РБ № 3 (в редакции Декрета №1 от 25 января 2018)»

          В соответствии с п.4 районными (городскими) исполнительными комитетами (местными администрациями) создаются постоянно действующие комиссии. В состав комиссии включаются депутаты всех уровней, специалисты органов по труду, занятости и социальной защите, жилищно-коммунального хозяйства, внутренних дел, других подразделений районного (городского) исполнительного комитета (местной администрации). В состав комиссии также могут входить представители республиканских государственно-общественных объединений, иных общественных объединений.


          Т.е не «пойми кто» получает доступ к изложенному ниже
          Немного переставил абзацы, для прояснения:
          ПОСТАНОВЛЕНИЕ СОВЕТА МИНИСТРОВ РЕСПУБЛИКИ БЕЛАРУСЬ 31 марта 2018 г. № 239

          5. Формирование и ведение базы трудоспособных граждан, не занятых в экономике
          (далее – база данных), осуществляется Министерством труда и социальной защиты в
          целях:
          формирования сведений о трудоспособных гражданах, не занятых в экономике;
          ведения учета трудоспособных граждан, не занятых в экономике.
          6. В базу данных включается следующая обязательная информация о гражданине:
          идентификационный номер;
          фамилия, собственное имя, отчество (если таковое имеется) на русском языке;
          дата рождения;
          пол;
          гражданство;
          данные о регистрации по месту жительства (месту пребывания);
          вид, серия и номер документа, удостоверяющего личность.

          Министерство труда и социальной защиты имеет право включать в базу данных
          дополнительную информацию
          по сравнению с указанной в пункте 6 настоящего
          Положения.


          Для формирования базы данных:
          11.1. государственные органы, иные организации согласно приложению 1
          представляют в Министерство труда и социальной защиты в соответствии с пунктами 16
          и 17 настоящего Положения списки идентификационных номеров граждан, которые в
          квартале, предшествующем формированию базы данных, считались занятыми в
          экономике или не относились к трудоспособным гражданам, не занятым в экономике;
          11.2. для служебного пользования.
          12. Министерство внутренних дел в соответствии с законодательством и в порядке,
          определяемом Министром внутренних дел:
          12.1. один раз в полугодие осуществляет формирование в виде текстового файла
          списка идентификационных номеров граждан
          , за исключением идентификационных
          номеров граждан, являвшихся
          в полугодии, предшествующем формированию базы
          данных, получателями пенсий, пенсионное обеспечение которых осуществляется
          Министерством внутренних дел, Комитетом государственной безопасности,
          Министерством обороны, Министерством по чрезвычайным ситуациям;

          16. Государственные органы, иные организации, за исключением перечисленных в
          пунктах 12–15 настоящего Положения, формируют в отношении граждан, которые в
          квартале, предшествующем формированию (актуализации) базы данных
          , относились к
          категориям, указанным в пунктах 3–12 приложения 1 к настоящему Положению, списки
          идентификационных номеров и представляют их для формирования (актуализации) базы
          данных:

          Государственным органам, иным организациям, представляющим списки
          идентификационных номеров граждан для формирования базы данных, за исключением
          государственных органов, указанных в приложении 2 к Положению, совместно с
          республиканским унитарным предприятием «Национальный центр электронных услуг»
          (далее – НЦЭУ) обеспечить:
          проведение до 1 июня 2018 г. организационно-технических мероприятий по
          интеграции в общегосударственную автоматизированную информационную систему
          государственных информационных систем и ресурсов, учитывающих отдельные
          категории граждан, в целях автоматизации процесса формирования базы данных в
          электронной форме;
          передачу не позднее 1 сентября 2018 г. и далее в установленные сроки сведений для
          формирования базы данных.
          7. Министерству труда и социальной защиты совместно с НЦЭУ до 30 ноября
          2018 г. обеспечить доступ местным исполнительным и распорядительным органам к базе
          данных посредством общегосударственной автоматизированной информационной
          системы.

          2. Трудоспособными гражданами Республики Беларусь, иностранными гражданами
          и лицами без гражданства, получившими разрешение на постоянное проживание в
          Республике Беларусь и вид на жительство в Республике Беларусь (далее – граждане), не
          занятыми в экономике, являются граждане в возрасте от 18 лет до общеустановленного
          пенсионного возраста, которые не относятся к следующим категориям лиц:
          {много буков}

          3. Занятыми в экономике считаются граждане:
          {много буков}

          4. К трудоспособным гражданам, не занятым в экономике, не относятся граждане:
          {много буков}

          ПЕРЕЧЕНЬ
          государственных органов, иных организаций, представляющих
          для формирования базы данных списки идентификационных номеров
          граждан,
          • . Фонд социальной защиты населения Министерства труда и социальной защиты
          • Министерство труда и социальной защиты
          • Белорусское республиканское унитарное страховое предприятие «Белгосстрах»
          • Министерство здравоохранения
          • Министерство образования,
            Министерство культуры, Министерство спорта и туризма, Министерство сельского хозяйства и продовольствия, Министерство здравоохранения, Министерство связи и информатизации, Министерство транспорта и коммуникаций, Министерство финансов, Министерство энергетики, Академия управления при Президенте Республики Беларусь, Белорусский государственный концерн по производству и реализации товаров легкой промышленности, облисполкомы, Минский горисполком, частные учреждения образования
          • Облисполкомы, Минский горисполком
          • Творческие союзы
          • Министерство по налогам и сборам


            0
            Плюс постановление включает в себя кучу пунктов для служебного пользования.
              0
              Спасибо. То есть после 30 ноября любые люди из этих вот «местным исполнительным и распорядительным органам» будут иметь доступ к вообще всем людям, способным работать, устроенным и не устроенным на работе доступом к информации предоставленной «ПЕРЕЧЕНЬ
              государственных органов, иных организаций, представляющих
              для формирования базы данных списки идентификационных номеров
              граждан,» этими? Я так понимаю каждое ведомство будет свои данные предоставлять, и не видеть данные из других ведомтсв или иметь доступ к бд, но вот эти местные исполнительные и распорядитлельные органы уже будут иметь доступ к полной базе данных? Это в этих органах вышеописанные комиссии будут или комиссии это отдельно?

              Я не силен в лойерспик.
                +1
                Я так понимаю каждое ведомство будет свои данные предоставлять, и не видеть данные из других ведомтсв или иметь доступ к бд,

                Вишенка на торте — будут доступ иметь все заинтересованные лица или просто любопытные с возможностью «дай Петрович Пупкина 'пробьем', он мне должен ...», а с учетом того, что ловят со взятками в 100$ госчиновников и клерков за всякую фигню или 200 тыс из Гос Топ Менеджеров (3..4 лица государства), Ваш вопрос риторический.
                Оторвутся по полной на «заклятых друзьях и соседях», ибо глупо не использовать такой массив данных, который ранее и у спецслужб не был, практически в реальном времени.

                Вроде по бумагам, эта база будет «общая для всех госов». Но бумаг пока не видел
                  0
                  Шиеет.

                  Спасибо за пояснения.
                  Работа по наводкам еще никогда не была такой простой. Заплати $100 и получи топ зарплат в твоем районе. Каждом третьему скидка.
            0

            Эх, и опять что-то близкое к серии Черного Зеркала про лайки, неужели от этого темного будущего не скрыться?

            0
            Требовать внести в ПД изменения, а также удалить или прекратить их обработку;
            Полный список исключений вы можете найти в статьях 6, 9 официального документа.

            Было бы забавно послать запрос на удаление ПД в разные гос.инстанции, которые забудут упомянуть в.

              0
              По смыслу всех этих GDPR получается, что по праву использования такие данные уже скорее государственные, нежели персональные. Полагаю скоро начнут сдавать гражданам в аренду, как землю в uk.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое