Закон беларуси о персональных данных

Касается всех. Что изменится после принятия закона о персональных данных

Закон беларуси о персональных данных

На днях в первом чтении был принят проект первого в Беларуси закона о персональных данных. Про этот документ говорят с начала 2017 года, подчеркивая его значимость для закрепления основ информационной безопасности в Беларуси.

В целом, сегодня защита персональных данных физических лиц является тенденцией развития законодательства в европейском масштабе (вспомните хотя бы GDPR и приводимые в соответствие с ним законы государств – членов ЕС), и Беларусь здесь предпринимает попытку урегулировать обработку персональных данных. В случае принятия закона он затронет интересы всех: физических лиц, частных компаний и государственных органов. При этом закон не будет распространяться на отношения, связанные с личным, семейным, домашним и иным аналогичным использованием персональных данных в некоммерческих целях, отмечает юрист Arzinger&Partners Вероника Павловская.

Проект закона еще ждет второе чтение, одобрение Советом Республики и подписание президентом. Поэтому пока оцениваем возможное влияние нового закона на перспективу.

О каких данных идет речь

Закон будет применяться в отношении данных физических лиц, то есть каждого из нас с вами, в связи с профессиональной или коммерческой деятельностью.

Если данные или их совокупность позволяют идентифицировать именно вас (например, фамилия, имя и отчество, отпечатки пальцев, изображение, код ДНК), то такие данные считаются персональными.

 Оператор, который их обрабатывает с использованием средств автоматизации или без использования таких средств (но с возможностью поиска – например, картотеки, списки и базы данных), должен обеспечить соблюдение требований закона.

На что обратить внимание юридическим лицам: теперь вам как оператору нужно навести порядок в процессах работы с персональными данными, обеспечить защиту персональных данных своих работников, контрагентов – индивидуальных предпринимателей, потребителей и иных физических лиц, данные которых обрабатывает ваша компания.

“Даю добро на сбор данных”

Ключевым аспектом для обработки персональных данных становится согласие физического лица. Перечень случаев, когда обработка может осуществляться без согласия такого лица, также закреплен проектом закона.

Например, без согласия может осуществляться сбор, обработка, распространение и предоставление персональных данных при осуществлении правосудия, проведении государственных статистических наблюдений, оформлении наследственных прав, в целях назначения и выплаты пенсий, в научных целях при обязательном обезличивании, в целях осуществления профессиональной деятельности журналиста и СМИ, направленной на защиту общественного интереса. Интересно то, что для обработки персональных данных умерших людей также нужно их согласие, данное при жизни, или согласие наследников или близких родственников.

На что обратить внимание юридическим лицам: вам придется запрашивать согласие физических лиц на обработку их данных (но справедливости ради нужно отметить, что такое требование было и раньше).

Хорошая новость в том, что без согласия можно обрабатывать данные физических лиц, с которыми у вас заключен договор (это работники и индивидуальные предприниматели, а также потребители при розничной торговле и оказании услуг).

На использование обезличенных данных согласие тоже не нужно.

Согласие с первого клика

Проект закона предусматривает, что согласие должно быть “свободным, конкретным, информированным выражением воли субъекта”. Простым языком, вы добровольно даете согласие на использование конкретного перечня своих данных для определенных целей, и вы проинформированы о том, кому и зачем вы предоставляете свои данные.

На что обратить внимание юридическим лицам: у вас есть выбор формы получения согласия – она может быть письменной или электронной, в том числе путем указания субъектом кода после получения SMS или сообщения на адрес электронной почты, проставления галочки или иной отметки на сайте. Главное – чтобы в дальнейшем можно было установить факт получения согласия от физического лица.

Конец сбору “без разбора”

Персональные данные собирают для обоснованных и конкретных целей, в строгом соответствии с которыми должны проводиться операции с данными. Объем собираемых данных не должен быть избыточным по отношению к установленным целям.

На что обратить внимание юридическим лицам: не собирайте все данные и “про запас”. Определите, какие из персональных данных реально вам нужны, и уведомьте субъекта данных об этих целях так, чтобы он понял и дал согласие. Если цель, для которой собирались данные, меняется, вы обязаны снова получить согласие субъекта данных.

Хочу нанять подрядчика для обработки, можно?

Можно, в том числе в другие страны, но оператору снова нужно получить согласие субъекта персональных данных (не обижайтесь, просто он главный по распоряжению информацией о себе).

Хорошая новость заключается в том, что согласие не нужно в случае передачи данных, в том числе трансграничной, когда заключается и исполняется договор, одной из сторон которого является субъект персональных данных (например, если такое лицо заказывает товары в интернет-магазине).

Обработка данных третьим лицом должна осуществляться на основании договора, и такое лицо должно принимать меры по защите данных.

На что обратить внимание юридическим лицам: вы несете ответственность перед субъектом данных за действия всех ваших подрядчиков. Подходите к их выбору внимательно. И помните, что согласие на работу с данными получает тот, кому эти данные нужны (то есть оператор, а не подрядчик).

Медицинские и исследовательские организации. А заодно и услуги по фото- и видеосъемке

Проект закона относит биометрические и генетические данные к специальным персональным данным. Это, в том числе, отпечатки пальцев, характеристики лица человека и его изображение, информация о физиологии человека и его здоровье. Поэтому если вы медицинская организация или, например, профессиональный фотограф, то новые правила затронут и вас.

На что обратить внимание юридическим лицам: перечень случаев, когда вы можете обрабатывать такие данные, строго ограничен. Могут быть установлены дополнительные требования.

Например, в медицинской организации такие данные могут собираться в целях оказания медицинской помощи (1), медицинским, фармацевтическим работником или иным работником здравоохранения (2), на которого возложены обязанности по обеспечению защиты персональных данных (3) и распространяется обязанность сохранять врачебную тайну (4). Если вы фотограф, то обязательно получайте согласие на съемку.

Имеете право!

Наконец основные права субъектов персональных данных нашли отражение в тексте законодательства. Физические лица могут получать информацию о своих правах в связи с обработкой персональных данных, давать и отзывать согласие, знакомиться со своими персональными данными, требовать прекращения сбора и обработки и другие.

Порядок подачи заявлений оператору и требования к ним также закреплены проектом закона. При этом заявление может быть в устной или письменной форме, а также в форме электронного документа с электронной цифровой подписью – если трактовать совсем строго, то заявление оператору нельзя будет направить по электронной почте.

На что обратить внимание юридическим лицам: а у вас теперь есть обязанность эти права разъяснить и обеспечить их реализацию.

А если утечка данных?

В тексте законопроекта появилась норма, которая запрещает операторам скрывать утечку персональных данных, что также служит для защиты интересов субъектов данных.

На что обратить внимание юридическим лицам: нужно уведомить уполномоченный орган (который определят после принятия закона) незамедлительно, но не позднее трех дней после того, как стало известно о таких нарушениях.

Кто будет за этим всем следить

Проектом закона предусмотрено, что президентом будет определен уполномоченный орган по защите прав субъектов персональных данных.

Такой орган будет контролировать работу с персональными данными, рассматривать жалобы и толковать законодательство, определять перечень государств, обеспечивающих надлежащий уровень защиты прав субъектов персональных данных и выдавать разрешения на трансграничную передачу данных в страны, не обеспечивающие такой уровень защиты. А надзор будет осуществлять генеральный прокурор и подчиненные ему прокуроры. Так что все серьезно.

На что обратить внимание юридическим лицам: нужно будет представлять уполномоченному органу информацию, необходимую для определения законности действий вас как оператора. Порядок подачи такой информации пока не определен.

Ответственный за защиту

Проект закона предусматривает требования к мерам защиты информации, в том числе устанавливает обязательные для соблюдения оператором меры: назначение структурного подразделения или лица, ответственного за защиту данных, издание документа, определяющего политику организации по работе с данными, информирование работников, установление порядка доступа к персональным данным, осуществление технической и криптографической защиты. При этом в случае выявления нарушений субъекты персональных данных имеют право на возмещение, в том числе морального вреда.

На что обратить внимание юридическим лицам: впереди много работы, но вам дадут целый год на подготовку и обеспечение соответствия.

tut.by

Источник: https://horki.info/navina/12229.html

Беларусский GDPR. Что предлагают внести в закон о персональных данных

Закон беларуси о персональных данных

На прошлой неделе в Беларуси был опубликован проект закона «О персональных данных». Он размещен для общественного обсуждения на «Правовом форуме Беларуси». Обсуждение продлится до 11 августа 2018 года. После этого законопроект еще будет рассматриваться в Администрации президента, выноситься на сессию Палаты представителей и Совета Республики.

Опубликованный текст изменится, но, как показывает практика, значительная часть прописанных в нем положений войдет в финальную редакцию закона.

Регулирование в сфере персональных данных стало ответной реакцией на развитие технологий и является обязательным условием для роста экономики. Здесь Беларусь не идет впереди планеты всей и не отстает от соседей. Законодательство о персональных данных уже принято в России. 25 мая в Европейском союзе вступили правила защиты персональных данных – GDPR.

В белорусском проекте явно учтен и опыт российских законодателей и GDPR, но есть и особенности. Что же написано в проекте закона?

Что такое персональные данные?

Законом устанавливаются определения основных терминов. Под персональными данными понимается любая информация о физическом лице, которая позволяет его идентифицировать.

Наряду с персональными данными выделяются и специальные персональные данные.

К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных убеждениях, здоровье, половой жизни человека, наличии у него судимости, а также биометрические и генетические данные.

Общедоступными персональными данными названы те, которые человек распространяет сам, либо с его согласия это делает оператор, либо это делается в соответствии с законодательством.

Dayne Topkin, unsplash.com

В законе вводится термин оператор. Под ним понимается госорган, физлицо, юрлицо или иная организация, которые занимаются сбором, обработкой, распространением и предоставлением персональных данных.

Закон регулирует отношения, связанные со сбором, обработкой, распространением, предоставлением персональных данных с использованием средств автоматизации. Он также распространяется и на указанные действия без использования средств автоматизации, если при этом возможен поиск по таким данным или доступ к ним по определенным критериям.

Закон не распространяется на данные, которые используются физическими лицами для личной и бытовой деятельности, если она не связана с профессиональной и коммерческой деятельностью. Также из-под действия закона выведена работа спецслужб с персональными данными.

Согласие на использование обязательно…

Проектом закона устанавливается, что операторы могут работать с персональными данными только с согласия физлица. Данное согласие должно быть свободным, конкретным, информированным. Его человек может выразить, как в письменном виде, так и с помощью электронных сервисов, например, через SMS или поставив галочки в специальной форме.

Собственно, именно так мы и делаем в мобильных приложениях. В этой части закон не отличается от норм в других странах. Белорусским разработчикам мобильных приложений не придется бегать за пользователями с бумагой о семи печатях. Вместе с тем, в случае спорных моментов, бремя доказательства получения согласия возложено на оператора.

Оператору предписывается декларировать, какие именно данные он собирает, для какой цели, на какой срок.

Об этом он должен уведомить и человека при получении согласия на использование персональных данных. В случае, если цели меняются, об этом надо уведомлять и получать новое согласие. Данные могут храниться в форме, позволяющей определить субъекта персональных данных только в течение того времени, которое необходимо для заявленной цели. После этого их необходимо удалить, либо обезличить.

Evan Kirby, unsplash.com

Операторов обязывают принимать меры по защите персональных данных.

Оператор в соответствии с проектом закона имеет право поручить сбор, обработку, распространение, предоставление персональных данных другому лицу. Данное поручение должно быть оформлено договором.

В нем должны быть указаны цели, перечень операций, которые производятся с персональными данными, обязанности по соблюдению их конфиденциальности и требования по защите.

На исполнителя по такому договору распространяются все требования, что закон предъявляет к оператору.

Аналогичный принцип используется в европейский GDPR, где есть понятия «контроллер» и «процессор» данных.

За исключением десятка случаев

В законе прописаны случаи, когда персональные данные могут собираться без согласия пользователя. К ним относятся: требования правоохранительных органов в случае ведения административного или уголовного процесса, осуществления правосудия, исполнения судебного постановления.

Персональные данные могут собираться без согласия для государственной статистики, а также в научных целях при условии их обезличивания.
Спасатели и врачи смогут работать с персональными данными без согласия, если преследуют цели защиты жизни и здоровья, других жизненно важных интересов.

При этом человек находится в бессознательном состоянии или отсутствует без сведений о его местонахождении.

Исключение сделано и для журналистов, СМИ, когда они выполняют свои профессиональные обязанности.

Также оговариваются и случаи, когда персональные данные требуются для административных процедур, например, при оформлении наследственных прав, сделок с имуществом, выплаты пенсий.

Без согласия человека персональные данные может собирать налоговая для контроля за уплатой налогов, сборов, пошлин и других платежей в бюджет.

Персональные данные остаются конфиденциальными

Закон прямо запрещает оператору, либо лицу, занимающемуся сбором и обработкой персональных данных, предоставлять доступ к ним третьим лицам, либо распространять их без согласия человека. Исключение сделано для общедоступных персональных данных.

Также к числу конфиденциальных персональных данных не относятся: имя, фамилия, отчество, должность физлиц, которые работают в госорганах, госучреждениях.

Josh Edgoose, unsplash.com

Законом также запрещается передача персональных данных через границу, если в другом государстве не обеспечен надлежащий уровень их защиты. Эта норма близка к той, что прописана в европейском GDPR.

Однако здесь также есть несколько исключений.

Это можно делать, если речь идет о здоровье и жизни человека, персональные данные являются общедоступными, передача предусмотрена международными договорами, либо получено согласие человека в письменной форме или в виде электронного документа.

Передавать данные за границу можно будет при наличии разрешения уполномоченного органа по защите прав субъектов персональных данных.

Правда, в законе пока не определено, что это за орган.

Разрешение, вероятно, и не придется просить, так как уполномоченный орган должен определить список государств, где защита персональных данных находится на надлежащем уровне.

В данном случае белорусское законодательство отличается от российского, которое предписывает хранить персональные данные россиян на территории РФ, а за несоблюдение данного требования предусмотрена блокировка сервисов.

Права субъектов персональных данных

В соответствии с законом человек имеет право дать согласие на использование его персональных данных, а также отзывать его.

Согласие будет отзываться в том же виде, в котором оно и было получено оператором.

Иначе говоря, достаточно снять галочку в пользовательском соглашении. При этом оператор должен в течение 15 дней прекратить работу с персональными данными, удалить их и уведомить об это отказника. Если полностью нельзя удалить данные, то к ним должен быть исключен доступ.

Отдельно оговаривается, что отзыв не имеет обратной силы. То есть, если данные человека были использованы для материалов, подготовленных до отзыва, то такие материалы не должны изыматься из оборота.

Tom Sodoge, unsplash.com

Можно потребовать прекращения сбора и обработки персональных данных, их предоставления и распространения, а также удалить их, если информация используется для целей, не предусмотренных законом, либо она не нужна для целей, которые декларируются оператором.

Также можно знакомиться с собранными персональными данными, требовать внесения в них изменений. Делать это можно будет раз в год. Оператор должен предоставлять данные бесплатно в 15-дневный срок. Он обязан сообщить информацию о субъекте, какие данные были собраны, для какой цели, как долго они будут храниться, а также указать лицо, которое занимается сбором и обработкой.

Человек в праве получать информацию о предоставлении персональных данных третьим лицам. Эту информацию можно будет запросить также раз в год. Ответ оператор обязан предоставлять также в течение 15 дней.

В нем должны быть указаны лица, получившие доступ к данным.

Ответа можно не получить, если нет возможности учитывать предоставление доступа к данным третьим лицам, они находятся в открытом доступе, либо их сбор связан с выполнением своих функций правоохранительными органами.

Действия оператора можно обжаловать в уполномоченный орган по защите прав субъектов персональных данных.

Защита персональных данных

Обязанности по защите персональных данных возложены на оператора, либо лица, собирающие и обрабатывающие по договору с ним.

Оператор в праве сам определять меры по защите данных, однако к нему предъявляются некоторые требования.

Так, оператор должен назначить ответственного за защиту персональных данных, разработать документы, в которых будет изложена политика в области защиты.

С ней должны ознакомить работников, непосредственно собирающих данные. Кроме того, данный документ должен быть опубликован в открытом доступе.

Оператор обязан прописать порядок доступа к информации. Порядок технической и криптографической защиты будет определять ОАЦ.

Контроль за персональными данными

Контролировать исполнение закона будет госорган, уполномоченный на защиту прав субъектов персональных данных. Его назовет президент Беларуси.

Орган должен рассматривать жалобы, требовать удаления персональные данных, в том числе полученных незаконным путем. Он же будет выдавать разрешения на передачу данных за рубеж и т.д.

Надзор за исполнением закона возложен на прокуратуру.

Нарушения закона о персональных данных будут наказываться в соответствии с законодательными актами. В будущем предстоят изменения в Административном и, возможно, Уголовном кодексе.

Yung Chang, unsplash.com

Вступление закона в силу

Закон вступит в силу через год после его официального опубликования. При этом в течение трех месяцев после этого на рассмотрение президента должны внести указ об уполномоченном органе.

Год дается на то, чтобы привести законодательные акты, решения правительства, нормативные акты других госорганов в соответствие с законом.

Обсуждение закона

Обсуждение закона только начинается. На правовом форуме пока только полторы страницы комментариев. При этом посты от гостей показывают, что белорусы пока не вполне четко понимают, что такое персональные данные, почему эту сферу нужно регулировать.

«С какой целью и кому нужен сбор персональных данных? Простым людям это не надо. Следующим шагом чипизация? Тотальный контроль над всеми», — пишет гость Евгений (здесь и далее орфография сохранены).

«Что такое должно было произойти или какие факторы поспособствовали созданию данного закона…. Йа категорически против. Наш народ как-то жыл столько лет без этого…», — поддерживает его Светослав.

Есть и конструктивные положения. Например, внести в закон требование к оператору обязательно сообщать субъектам персональных данных о фактах несанкционированного доступа к их персональным данным, упростить формулировки.

Проект закона также оставляет немало белых пятен, в первую очередь в части контроля и надзора за исполнением законодательства.

Источник: https://reform.by/belarusskij-gdpr-chto-predlagajut-vnesti-v-zakon-o-personalnyh-dannyh/

Касается всех. Что изменится после принятия закона о персональных данных

Закон беларуси о персональных данных

На днях в первом чтении был принят проект первого в Беларуси закона о персональных данных. Про этот документ говорят с начала 2017 года, подчеркивая его значимость для закрепления основ информационной безопасности в Беларуси.

В целом, сегодня защита персональных данных физических лиц является тенденцией развития законодательства в европейском масштабе (вспомните хотя бы GDPR и приводимые в соответствие с ним законы государств — членов ЕС), и Беларусь здесь предпринимает попытку урегулировать обработку персональных данных. В случае принятия закона он затронет интересы всех: физических лиц, частных компаний и государственных органов. При этом закон не будет распространяться на отношения, связанные с личным, семейным, домашним и иным аналогичным использованием персональных данных в некоммерческих целях, отмечает юрист Arzinger&Partners Вероника Павловская.

Проект закона еще ждет второе чтение, одобрение Советом Республики и подписание президентом. Поэтому пока оцениваем возможное влияние нового закона на перспективу.

Reuters

О каких данных идет речь

Закон будет применяться в отношении данных физических лиц, то есть каждого из нас с вами, в связи с профессиональной или коммерческой деятельностью.

Если данные или их совокупность позволяют идентифицировать именно вас (например, фамилия, имя и отчество, отпечатки пальцев, изображение, код ДНК), то такие данные считаются персональными.

 Оператор, который их обрабатывает с использованием средств автоматизации или без использования таких средств (но с возможностью поиска — например, картотеки, списки и базы данных), должен обеспечить соблюдение требований закона.

На что обратить внимание юридическим лицам: теперь вам как оператору нужно навести порядок в процессах работы с персональными данными, обеспечить защиту персональных данных своих работников, контрагентов — индивидуальных предпринимателей, потребителей и иных физических лиц, данные которых обрабатывает ваша компания.

«Даю добро на сбор данных»

Ключевым аспектом для обработки персональных данных становится согласие физического лица. Перечень случаев, когда обработка может осуществляться без согласия такого лица, также закреплен проектом закона.

Например, без согласия может осуществляться сбор, обработка, распространение и предоставление персональных данных при осуществлении правосудия, проведении государственных статистических наблюдений, оформлении наследственных прав, в целях назначения и выплаты пенсий, в научных целях при обязательном обезличивании, в целях осуществления профессиональной деятельности журналиста и СМИ, направленной на защиту общественного интереса. Интересно то, что для обработки персональных данных умерших людей также нужно их согласие, данное при жизни, или согласие наследников или близких родственников.

На что обратить внимание юридическим лицам: вам придется запрашивать согласие физических лиц на обработку их данных (но справедливости ради нужно отметить, что такое требование было и раньше).

Хорошая новость в том, что без согласия можно обрабатывать данные физических лиц, с которыми у вас заключен договор (это работники и индивидуальные предприниматели, а также потребители при розничной торговле и оказании услуг).

На использование обезличенных данных согласие тоже не нужно.

Согласие с первого клика

Проект закона предусматривает, что согласие должно быть «свободным, конкретным, информированным выражением воли субъекта». Простым языком, вы добровольно даете согласие на использование конкретного перечня своих данных для определенных целей, и вы проинформированы о том, кому и зачем вы предоставляете свои данные.

На что обратить внимание юридическим лицам: у вас есть выбор формы получения согласия — она может быть письменной или электронной, в том числе путем указания субъектом кода после получения SMS или сообщения на адрес электронной почты, проставления галочки или иной отметки на сайте. Главное — чтобы в дальнейшем можно было установить факт получения согласия от физического лица.

Конец сбору «без разбора»

Персональные данные собирают для обоснованных и конкретных целей, в строгом соответствии с которыми должны проводиться операции с данными. Объем собираемых данных не должен быть избыточным по отношению к установленным целям.

На что обратить внимание юридическим лицам: не собирайте все данные и «про запас». Определите, какие из персональных данных реально вам нужны, и уведомьте субъекта данных об этих целях так, чтобы он понял и дал согласие. Если цель, для которой собирались данные, меняется, вы обязаны снова получить согласие субъекта данных.

Хочу нанять подрядчика для обработки, можно?

Можно, в том числе в другие страны, но оператору снова нужно получить согласие субъекта персональных данных (не обижайтесь, просто он главный по распоряжению информацией о себе).

Хорошая новость заключается в том, что согласие не нужно в случае передачи данных, в том числе трансграничной, когда заключается и исполняется договор, одной из сторон которого является субъект персональных данных (например, если такое лицо заказывает товары в интернет-магазине).

Обработка данных третьим лицом должна осуществляться на основании договора, и такое лицо должно принимать меры по защите данных.

На что обратить внимание юридическим лицам: вы несете ответственность перед субъектом данных за действия всех ваших подрядчиков. Подходите к их выбору внимательно. И помните, что согласие на работу с данными получает тот, кому эти данные нужны (то есть оператор, а не подрядчик).

Медицинские и исследовательские организации. А заодно и услуги по фото- и видеосъемке

Проект закона относит биометрические и генетические данные к специальным персональным данным. Это, в том числе, отпечатки пальцев, характеристики лица человека и его изображение, информация о физиологии человека и его здоровье. Поэтому если вы медицинская организация или, например, профессиональный фотограф, то новые правила затронут и вас.

На что обратить внимание юридическим лицам: перечень случаев, когда вы можете обрабатывать такие данные, строго ограничен. Могут быть установлены дополнительные требования.

Например, в медицинской организации такие данные могут собираться в целях оказания медицинской помощи (1), медицинским, фармацевтическим работником или иным работником здравоохранения (2), на которого возложены обязанности по обеспечению защиты персональных данных (3) и распространяется обязанность сохранять врачебную тайну (4). Если вы фотограф, то обязательно получайте согласие на съемку.

Имеете право!

Наконец основные права субъектов персональных данных нашли отражение в тексте законодательства. Физические лица могут получать информацию о своих правах в связи с обработкой персональных данных, давать и отзывать согласие, знакомиться со своими персональными данными, требовать прекращения сбора и обработки и другие.

Порядок подачи заявлений оператору и требования к ним также закреплены проектом закона. При этом заявление может быть в устной или письменной форме, а также в форме электронного документа с электронной цифровой подписью — если трактовать совсем строго, то заявление оператору нельзя будет направить по электронной почте.

На что обратить внимание юридическим лицам: а у вас теперь есть обязанность эти права разъяснить и обеспечить их реализацию.

А если утечка данных?

В тексте законопроекта появилась норма, которая запрещает операторам скрывать утечку персональных данных, что также служит для защиты интересов субъектов данных.

На что обратить внимание юридическим лицам: нужно уведомить уполномоченный орган (который определят после принятия закона) незамедлительно, но не позднее трех дней после того, как стало известно о таких нарушениях.

Кто будет за этим всем следить

Проектом закона предусмотрено, что президентом будет определен уполномоченный орган по защите прав субъектов персональных данных.

Такой орган будет контролировать работу с персональными данными, рассматривать жалобы и толковать законодательство, определять перечень государств, обеспечивающих надлежащий уровень защиты прав субъектов персональных данных и выдавать разрешения на трансграничную передачу данных в страны, не обеспечивающие такой уровень защиты. А надзор будет осуществлять генеральный прокурор и подчиненные ему прокуроры. Так что все серьезно.

На что обратить внимание юридическим лицам: нужно будет представлять уполномоченному органу информацию, необходимую для определения законности действий вас как оператора. Порядок подачи такой информации пока не определен.

Ответственный за защиту

Проект закона предусматривает требования к мерам защиты информации, в том числе устанавливает обязательные для соблюдения оператором меры: назначение структурного подразделения или лица, ответственного за защиту данных, издание документа, определяющего политику организации по работе с данными, информирование работников, установление порядка доступа к персональным данным, осуществление технической и криптографической защиты. При этом в случае выявления нарушений субъекты персональных данных имеют право на возмещение, в том числе морального вреда.

На что обратить внимание юридическим лицам: впереди много работы, но вам дадут целый год на подготовку и обеспечение соответствия.

Источник: https://news.tut.by/economics/642198.html

В беларуси новый закон о персональных данных — право на vc.ru

Закон беларуси о персональных данных

Рассказываем, чем он грозит бизнесу, и показываем, что у него внутри.

Тенденции мировой практики по охране личных данных в этом году дошли и до Беларуси. Так, в середине весны 2018 года белорусский парламент принял поправки к Закону «О средствах массовой информации».

В силу нововведенных законодательных требований пользователи Интернета для написания сообщений и комментирования на форумах теперь будут обязаны пройти предварительную идентификацию.

Вскоре после принятия поправок в Закон «О СМИ» был разработан и профильный проект закона «О персональных данных», который уже обсуждается на парламентских заседаниях.

О чем проект закона

В ходе разработки положений нового закона проводились международные консультации с государственными органами стран – членов ЕС с наиболее развитой законодательной базой по вопросам охраны личных данных граждан.

Например, в июне группа разработчиков встречалась с представителями Комиссии по защите данных Франции (CNIL). Целью встречи были не только двусторонние обсуждения профильных вопросов, но и ознакомление белорусских законоведов с опытом их коллег в ЕС.

Итогом консультаций стала ускоренная разработка законопроекта в его черновом варианте, который был представлен для ознакомления и обсуждения уже в начале июля.

Структурно законопроект разделен на 6 глав и 22 статьи. статей направлено на регламентацию правил работы с персональными данными в Беларуси.

Законопроект определяет двух участников правоотношений, регламентируемых законом:

  • субъект персональных данных или гражданин, чьи персональные данные будут подвергаться хранению и обработке;
  • оператор персональных данных – юридическое лицо или ИП, исполняющий обязанности по сбору, хранению и обработке персональных данных.

Законопроект вводит и определение (понятие) «персональных данных». Под ними будет пониматься совокупность информации, делающей возможной идентифицирование субъекта. В совокупность информации будут входить любые сведения, в том числе относящиеся к биометрии и генетике. Отдельные положения проекта посвящены правам и обязанностям субъектов и операторов персональных данных.

Проект предполагает, что субъект будет обладать нижеперечисленными правами:

  • соглашаться или отказывать от акцепта на обработку персональных данных;
  • требовать от оператора ПД внесения изменений в свои персональных данных;
  • получать от оператора персональных данных сведения о том, передавались ли ПД субъекта любому третьему лицу;
  • обжаловать действия оператора персональных данных.

Оператор наделен в законопроекте следующими обязанностями:

  • обязательство получить согласие субъекта на обработку его персональных данных;
  • обязательство сообщать субъекту о целях использования его персональных данных;
  • обязательство недопущения компрометации персональных данных субъекта.

Регламентация действий оператора персональных данных представлена в статье 17 законопроекта. В частности, действия оператора должны будут включать в себя:

  • разработку и применение политики безопасности персональных данных;
  • разработку и применение норм доступа к персональным данным;
  • разработку и применение действенных средств технической и криптографической защиты персональных данных.

Также статья 17 вводит обязательность осуществления деятельности операторов персональных данных в соответствии с Положениями головного государственного органа по защите информации – Аналитического центра при Президенте Республики Беларусь (ОАЦ).

Директивы по безопасности

Методика разработки и ввода системы защиты персональных данных, включает в себя более 50 номинаций, исполнение большинства из которых будет дорогостоящим и времезатратным. В силу этого стоит предположить, что малый и средний бизнес не справится с требованиями по защите персональных данных.

Некоторую надежду вселяет положение законопроекта о предоставляемой оператору возможности обратиться к помощи аутсорсинга, то есть возможности возложить сбор, обработку и хранение персональных данных на третью сторону.

В случае размещения оборудования облачного провайдера в крупных центрах хранения данных с развитыми системами резервирования и строгим пропускным режимом, часть требований регламента, относящихся к физической защите данных, обеспечению безопасности виртуальной инфраструктуры и проведению аудитов, будет закрыта

Сергей Белкин

Руководитель отдела развития 1cloud

К примеру, 1сloud совсем недавно разместил свое оборудование в дата-центре beCloud в пригороде Минска. Центр получил сертификацию по стандарту Tier III, то есть обладает способностью обеспечения сохранности и доступа к персональным данным в полном соответствии с законодательством Беларуси.

Проект размещения оборудования в данном центре первоначально не был связан с законопроектом «О персональных данных». Были лишь пожелания и приглашения партнеров и клиентов из Беларуси.

Необходимость размещения оборудования именно на территории Беларуси обусловлена требованиями Указа Президента РБ (№60) и Постановлением Совмина РБ (№644). В соответствии с этими правительственными актами любые коммерческие сайты в Беларуси должны размещаться только на оборудовании, дислоцированном на территории РБ.

В связи с разработкой Законопроекта «О персональных данных» к вышеизложенным требованиям добавились и требования, связанные с обработкой персональных данных, часть которых можно переложить на местного облачного провайдера.

Из слов Сергея Белкина следует, что перекладывая часть проблем, связанных с исполнением закона «О персональных данных» на вендора, компания сможет экономить и время, и деньги, занимаясь исключительно вопросами прибыльности бизнеса.

Правовые санкции

Основным условием хранения персональных данных граждан Беларуси станет переход на беларуский хостинг. Никаких дополнительных реестров не предусмотрено.

В штатном расписании потребуется учреждение должности ответственного по защите персональных данных или учреждение дополнительного отдела. Все зависит от объема работы и возможностей оператора.

Санкции, то есть виды наказаний за неисполнение предписаний закона, пока не введены. Думается, что после принятия закона и административный, и уголовный кодексы пополнятся новыми статьями. Пока за нарушение правил сохранности ПД наступает либо гражданская ответственности, либо деяние квалифицируется по сходным статьям уголовного и административного кодексов.

В случае возможных хищений данных оператор будет обязан известить о факте хищения правоохранительные органы в течение 3 дней с момента обнаружения «утечки».

Одновременно информация должны быть направлена в орган по защите прав субъектов ПД.

В случае незначительности «утечки» либо при отсутствии пагубных последствий «утечки» для субъектов извещение регулятора и правоохранительных органов не будет обязательным.

Регулятор

В соответствии с положениями законопроекта, будет учрежден центральный орган по защите прав субъектов ПД. На орган будут возложены обязанности:

  • рассмотрения заявлений граждан по вопросам их персональных данных;
  • наблюдения за исполнением закона операторами;
  • защиты прав субъектов.

Юрисдикция закона

Положения законопроекта, в случае его принятия, повлияют на все без исключения организации, задействованные в обработке персональных данных в Беларуси.

  • Возникнет необходимость в разработке методик работы с ПД и политики обеспечения безопасности ПД.
  • Потребуется разработка автоматизированных систем обработки, а также неавтоматизированных картотек и каталогов.

При этом законопроект предусматривает некоторые исключения из общих правил. К примеру, снимается директивность требования по получению согласия лица на обработку его данных в случаях:

  • угрозы жизни и здоровью лица;
  • угрозы жизни и здоровью населения;
  • когда данные истребуются лицами, осуществляющими законную журналистскую деятельность;
  • когда данные истребуются учеными, осуществляющими статистические исследования.

То есть в основе исключений лежат некие экстраординарные события, способные причинить значительный ущерб субъектам ПД.

В статье 6 законопроекта приведен полный список исключений.

«Правовой форум» о законопроекте

Большинство экспертов и специалистов, принявших участие в общественном обсуждении законопроекта, пришли к выводу, что законопроект несовершенен и некоторые его части нуждаются в доработке.

Высказавшиеся по поводу законопроекта пользователи «Правового форума» Беларуси отмечают:

  • излишнее отягощение текста закона специальной терминологией и избыточность формулировок;
  • противоречия в статье 17, касающейся вопросов обеспечения безопасности ПД. Так, в статье пункт 3, регламентирующий организацию защиты со стороны ОАЦ, противоречит пункту 5, в котором организация защиты относится к компетенции иного госоргана;
  • неполноту определения понятия оператора ПД и сферы его деятельности;
  • отсутствие в законе норм, определяющих правомочия Президента и Совмина РБ в вопросах защиты персональных данных.

Вступление закона в силу

Обсуждение законопроекта закончилось в августе этого года. Проект принят Палатой представителей и одобрен Советом Республики. Подробный текст закона размещён на официальном сайте.

А что вы думаете о новом законе?

Источник: https://vc.ru/legal/45040-v-belarusi-novyy-zakon-o-personalnyh-dannyh

Касается всех. Что изменится после принятия закона о персональных данных в Беларуси

Закон беларуси о персональных данных

Проект закона еще ждет второе чтение, одобрение Советом Республики и подписание президентом. Поэтому пока оцениваем возможное влияние нового закона на перспективу, сообщает TUT.BY.

О каких данных идет речь

Закон будет применяться в отношении данных физических лиц, то есть каждого из нас с вами, в связи с профессиональной или коммерческой деятельностью.

Если данные или их совокупность позволяют идентифицировать именно вас (например, фамилия, имя и отчество, отпечатки пальцев, изображение, код ДНК), то такие данные считаются персональными.

Оператор, который их обрабатывает с использованием средств автоматизации или без использования таких средств (но с возможностью поиска — например, картотеки, списки и базы данных), должен обеспечить соблюдение требований закона.

На что обратить внимание юридическим лицам: теперь вам как оператору нужно навести порядок в процессах работы с персональными данными, обеспечить защиту персональных данных своих работников, контрагентов — индивидуальных предпринимателей, потребителей и иных физических лиц, данные которых обрабатывает ваша компания.

«Даю добро на сбор данных»

Ключевым аспектом для обработки персональных данных становится согласие физического лица. Перечень случаев, когда обработка может осуществляться без согласия такого лица, также закреплен проектом закона.

Например, без согласия может осуществляться сбор, обработка, распространение и предоставление персональных данных при осуществлении правосудия, проведении государственных статистических наблюдений, оформлении наследственных прав, в целях назначения и выплаты пенсий, в научных целях при обязательном обезличивании, в целях осуществления профессиональной деятельности журналиста и СМИ, направленной на защиту общественного интереса. Интересно то, что для обработки персональных данных умерших людей также нужно их согласие, данное при жизни, или согласие наследников или близких родственников.

На что обратить внимание юридическим лицам: вам придется запрашивать согласие физических лиц на обработку их данных (но справедливости ради нужно отметить, что такое требование было и раньше).

Хорошая новость в том, что без согласия можно обрабатывать данные физических лиц, с которыми у вас заключен договор (это работники и индивидуальные предприниматели, а также потребители при розничной торговле и оказании услуг).

На использование обезличенных данных согласие тоже не нужно.

Согласие с первого клика

Проект закона предусматривает, что согласие должно быть «свободным, конкретным, информированным выражением воли субъекта». Простым языком, вы добровольно даете согласие на использование конкретного перечня своих данных для определенных целей, и вы проинформированы о том, кому и зачем вы предоставляете свои данные.

На что обратить внимание юридическим лицам: у вас есть выбор формы получения согласия — она может быть письменной или электронной, в том числе путем указания субъектом кода после получения SMS или сообщения на адрес электронной почты, проставления галочки или иной отметки на сайте. Главное — чтобы в дальнейшем можно было установить факт получения согласия от физического лица.

Медицинские и исследовательские организации. А заодно и услуги по фото- и видеосъемке

Проект закона относит биометрические и генетические данные к специальным персональным данным. Это, в том числе, отпечатки пальцев, характеристики лица человека и его изображение, информация о физиологии человека и его здоровье. Поэтому если вы медицинская организация или, например, профессиональный фотограф, то новые правила затронут и вас.

На что обратить внимание юридическим лицам: перечень случаев, когда вы можете обрабатывать такие данные, строго ограничен. Могут быть установлены дополнительные требования.

Например, в медицинской организации такие данные могут собираться в целях оказания медицинской помощи (1), медицинским, фармацевтическим работником или иным работником здравоохранения (2), на которого возложены обязанности по обеспечению защиты персональных данных (3) и распространяется обязанность сохранять врачебную тайну (4). Если вы фотограф, то обязательно получайте согласие на съемку.

А если утечка данных?

В тексте законопроекта появилась норма, которая запрещает операторам скрывать утечку персональных данных, что также служит для защиты интересов субъектов данных.

На что обратить внимание юридическим лицам: нужно уведомить уполномоченный орган (который определят после принятия закона) незамедлительно, но не позднее трех дней после того, как стало известно о таких нарушениях.

Кто будет за этим всем следить

Проектом закона предусмотрено, что президентом будет определен уполномоченный орган по защите прав субъектов персональных данных.

Такой орган будет контролировать работу с персональными данными, рассматривать жалобы и толковать законодательство, определять перечень государств, обеспечивающих надлежащий уровень защиты прав субъектов персональных данных и выдавать разрешения на трансграничную передачу данных в страны, не обеспечивающие такой уровень защиты. А надзор будет осуществлять генеральный прокурор и подчиненные ему прокуроры. Так что все серьезно.

На что обратить внимание юридическим лицам: нужно будет представлять уполномоченному органу информацию, необходимую для определения законности действий вас как оператора. Порядок подачи такой информации пока не определен.

Ответственный за защиту

Проект закона предусматривает требования к мерам защиты информации, в том числе устанавливает обязательные для соблюдения оператором меры: назначение структурного подразделения или лица, ответственного за защиту данных, издание документа, определяющего политику организации по работе с данными, информирование работников, установление порядка доступа к персональным данным, осуществление технической и криптографической защиты. При этом в случае выявления нарушений субъекты персональных данных имеют право на возмещение, в том числе морального вреда.

На что обратить внимание юридическим лицам: впереди много работы, но вам дадут целый год на подготовку и обеспечение соответствия.

Источник: https://www.015.by/news/2431277/kasaetsa-vseh-cto-izmenitsa-posle-prinatia-zakona-o-personalnyh-dannyh-v-belarusi

Адвокат Касьян
Добавить комментарий