Автор: Прохор Садков, старший аналитик УЦСБ
Закон Республики Беларусь № 99-З «О защите персональных данных» был принят 7 мая 2021 года. До этого момента в Республике Беларусь отсутствовал нормативный акт, определяющий порядок обработки и защиты персональных данных (ПДн), а было лишь определение ПДн и требование о получении согласия на их обработку в Законе Республики Беларусь № 455-З от 10 ноября 2008 года «Об информации, информатизации и защите информации».
Если российская компания имеет свое представительство на территории Республики Беларусь или осуществляет обработку ПДн от имени или в интересах государственного органа, юридического лица и гражданина Республики Беларусь, то она должна учитывать требования российского и белорусского законов о ПДн.
Применимость закона не установлена в случаях, когда иностранные организации обрабатывают ПДн граждан Белоруссии, но не имеют своего представительства на его территории. Например, если российская компания владеет сайтом рассчитанным на белорусскую аудиторию.
В этой статье мы рассмотрим насколько эти законы отличаются и к каким особенностям белорусского законодательства о ПДн должны быть готовы российские компании.
Закон о защите ПДн Республики Беларусь разрабатывался с учетом положений:
Законов о ПДн Российской Федерации, Украины, Казахстана, Молдовы, Польши и других.
В связи с чем в белорусском законе можно встретить цитаты российского закона, но также есть и различия, на которые мы обратим внимание в этой статье.
За нарушение белорусского законодательства о ПДн статьей 23.7 Кодекса об административных правонарушениях Республики Беларусь предусмотрена административная ответственность в виде штрафов.
1. Согласие на обработку персональных данных
Российское и белорусское законодательства отличаются в требованиях к содержанию формы согласия на обработку ПДн:
в российском законодательстве, на момент написания статьи, продолжает действовать принцип «одна цель – одно согласие». В соответствии с белорусским законодательством в согласии можно указать несколько целей обработки ПДн;
отдельной формы согласия на обработку общедоступных ПДн в белорусском законодательстве нет. В российском законодательстве утверждены требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения;
перечень действий с ПДн в российском законодательстве шире, чем в белорусском. В белорусском законодательстве нет следующих действий: запись, накопление, уточнение, обновление, извлечение, доступ и уничтожение;
в белорусском законодательстве генетические ПДн выделены в отдельную категорию.
В соответствии с белорусским законодательством не требуется согласие на обработку ПДн, когда ПДн содержатся в документе, адресованном оператору и подписанным субъектом ПДн.
2. Политика обработки персональных данных
Мы сравнили Рекомендации к политике в отношении обработки ПДн Национального центра защиты персональных данных Республики Беларусь и Рекомендации по составлению документа, определяющего политику оператора в отношении обработки ПДн, Роскомнадзора. В результате, чтобы адаптировать политику в отношении обработки ПДн, подготовленную в соответствии с российским законодательством, под требования белорусского законодательства, необходимо указать:
источники получения ПДн;
контактные данные лица или подразделения, ответственного за осуществление внутреннего контроля за обработкой ПДн;
информацию, отнесены ли страны, куда планируется осуществлять трансграничную передачу ПДн, к государствам, на территории которых обеспечивается надлежащий уровень защиты прав субъектов ПДн в соответствии с приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 года № 14.
3. Сроки реагирования оператора на запросы субъектов персональных данных
Законы Республики Беларусь и Российской Федерации отличаются сроками реагирования оператора ПДн на запросы субъектов ПДн. В соответствии с белорусским законодательством у оператора срок реагирования на запросы субъекта ПДн меньше:
5 дней на предоставление субъекту ПДн информации об обработке его ПДн. В российском законе установлен срок 30 дней;
15 дней на изменение, удаление, блокирование, прекращение обработки ПДн или уведомление субъекта о невозможности удаления его ПДн. В российском законодательстве установлены разные сроки от 7 рабочих дней до 30 дней;
15 дней на предоставление информации о том, кому и какие ПДн субъекта ПДн предоставлялись в течение года. Такой запрос субъект ПДн может отправить не больше одного раза в год. В российском законодательстве такая обязанность не установлена, информация о передаче ПДн предоставляется в рамках обычного запроса, срок рассмотрения которого 30 дней.
4. Обучение и повышение квалификации ответственных лиц в области обработки персональных данных
Ответственный за организацию обработки ПДн в белорусском законе называется ответственным за осуществление внутреннего контроля за обработкой ПДн. Конкретные квалификационные требования к ответственному за осуществление внутреннего контроля за обработкой ПДн не определены. Если оператор относится к организациям, перечисленным в приказе Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 года № 194, то лица, ответственные за осуществление внутреннего контроля за обработкой ПДн, обязаны проходить обучение в Национальном центре защиты персональных данных.
Лица, осуществляющие обработку ПДн, должны проходить обучение не реже 1 раза в 5 лет. Порядок обучения определяется оператором и может проходить у оператора в форме собеседования, опроса, тестирования и других формах, а также в образовательных учреждениях или в Национальном центре защиты ПДн.
Операторы должны ежегодно до 15 ноября отчитываться в Национальный центр защиты персональных данных о количестве лиц, которым необходимо пройти обучение в Национальном центре защиты персональных данных.
В российском законодательстве подобных требований по обучению и повышению квалификации ответственных лиц нет.
5. Меры защиты персональных данных
Алгоритм приведения деятельности операторов в соответствие требованиям Закона Республики Беларусь о защите ПДн размещен на официальном сайте Национального центра защиты персональных данных. Алгоритм не противоречит требованиям российского законодательства по организации обработки ПДн за исключением требований к техническим мерам защиты информации.
Требования к системе технической и криптографической защиты ПДн формируются на основании класса информационной системы, содержащей ПДн. На данный момент существует две разные системы классификации информационных систем.
Первая: в зависимости от категории содержащихся в них ПДн в соответствии с приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 года № 12 – меры защиты в соответствии с такой классификацией еще не утверждены, но должны появиться в ближайшее время.
Вторая: в зависимости от доступа к открытым каналам передачи данных (сети Интернет) и категории обрабатываемой информации в соответствии с приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 года № 66. Информационные системы, обрабатывающие ПДн и не подключенные к открытым каналам передачи данных, относятся к классу 4-фл, а подключенные к открытым каналам – к 3-фл. Указанный приказ похож по своему содержанию на приказ ФСТЭК России от 18 февраля 2013 года № 21. В обоих приказах для каждого класса или уровня защищенности определен базовый перечень технических мер, которые оператор может адаптировать в зависимости от используемых информационных технологий или наличия компенсирующих мер. Базовый перечень мер в приказах отличается, поэтому потребуется проверка полноты реализации технических мер защиты, требуемых белорусским законодательством.
6. Уведомление о нарушении системы защиты персональных данных
В соответствии с белорусским законодательством установлен срок 3 дня на уведомление Национального центра защиты персональных данных Республики Беларусь о нарушении систем защиты ПДн. Уведомление отправляется в соответствии с приказом директора Национального центра защиты персональных данных от 15 ноября 2021 года № 13. В российском законодательстве требование уведомления уполномоченного органа по защите ПДн о нарушении системы защиты не предусмотрено.
7. Реестр операторов персональных данных
Операторы ПДн в Республике Беларусь с 1 января 2024 года обязаны вносить в реестр операторов ПДн сведения об информационных системах, содержащих ПДн, и поддерживать сведения в реестре в актуальном состоянии.
До 1 августа 2022 года Оперативно-аналитическим центром при Президенте Республики Беларусь будут определены виды информационных систем, сведения о которых подлежат внесению в реестр, а также перечень включаемых в него сведений и сроки их внесения в реестр. Основания для обработки ПДн без внесения сведений в реестр операторов ПДн не определены в отличие от российского законодательства.
Заключение
Даже если компания выполняет все требования российского законодательства по ПДн, то для соответствия требованиям белорусского законодательства потребуется внести изменения в процессы обработки и защиты ПДн. Для соответствия белорусскому законодательству о защите ПДн российской компании необходимо:
скорректировать форму согласия на обработку ПДн и документы, определяющие политику в отношении обработки ПДн;
учитывать иные сроки реагирования на запросы субъектов ПДн;
уведомлять Национальный центр защиты ПДн Республики Беларусь о нарушении систем защиты ПДн;
проводить обучение работников по вопросам обработки ПДн 1 раз в 5 лет;
отправить на обучение ответственного за осуществление внутреннего контроля за обработкой ПДн в Национальный центр защиты ПДн Республики Беларусь, если ваша компания относится к организациям, упомянутым ранее;
провести категорирование информационных систем, содержащих ПДн;
применять технические и криптографические меры защиты информации в соответствии с белорусским законодательством.
При необходимости эксперты Аналитического центра УЦСБ готовы проконсультировать вас по вопросам белорусского законодательства о защите ПДн и разработать необходимые документы. Свои обращения можно направлять по адресу compliance@ussc.ru
Shaman_RSHU
Для чего это всё надо? Только для интеграторов по ИБ, которые вытягивают не малые деньги за шаблонные документы без индивидуального подхода. Шаг влево, шаг вправо от годами наработанных методик и уже интегратор сдувается.
Согластно ст. 37.7 КоАП РБ за нарушение в области защиты ПДн штраф до ста базовых величин, это около 97 тыс. руб. сейчас. Это не соизмеримо с ценниками на системы защиты от интеграторов (да даже на комплект шаблонных документов, куда интегратор по сути только название Заказчика, да ФИО подписантов меняет).
На этой неделе была утечка Яндекс.Еда. Можно себе представить, какой ущерб и моральные убытки могут повлечь отдельные лица от мошенников, которые воспользуются этой информацией. Но и у нас по КоАП можно только оштрафовать от 60 до 100 тыс.
Может быть стоит уже не бымажками начать заниматься, а реальными вещами?