19.07.2018 15:48
1cloud 10 4100 Источник
В конце весны в ЕС вступил в силу регламент GDPR. А месяц назад в США подписали законопроект, обязывающий компании сообщать клиентам и властям об «утечках» данных не позже чем через месяц с момента возникновения инцидента.

В этом году новые законопроекты, связанные с ПД, также появились и в Беларуси. Сперва в апреле этого года парламентарии приняли поправки к закону о СМИ, обязывающие пользователей проходить идентификацию, прежде чем оставлять комментарии на форумах. А теперь власти представили проект закона «О персональных данных».

Под катом рассказываем о его сути и реакции сообщества.


/ Pxhere / PD

Суть законопроекта


Законопроект предложили в Национальном центре законодательства и правовых исследований Республики Беларусь (НЦЗПИ). В июне делегация от Центра ездила в Париж для встречи с членами Французской комиссии по защите данных (CNIL), чтобы перенять опыт европейских коллег и сразу применить его на практике.

Черновой вариант закона представили в начале июля. В нем шесть глав и двадцать две статьи, в которых описаны правила работы с ПД на территории Беларуси. Обсуждение законопроекта продлится до 11 августа этого года.

Главными действующими «лицами» в документе выступают субъект и оператор персональных данных. Субъект ПД — это человек, данные которого собираются, хранятся или обрабатываются. Оператор ПД — это компания или индивидуальный предприниматель, обрабатывающий ПД на территории Беларуси. Непосредственно под персональными данными регулятор понимает любую информацию, на основании которой можно идентифицировать человека. Этой информацией, в том числе, могут быть биометрические (отпечатки пальцев) и генетические показатели (ДНК).

Эти и другие определения вы можете найти в первой статье на страницах 1 и 2 официального документа.

По тексту законопроекта, субъект ПД имеет право:

  • Давать свое согласие на обработку ПД и отзывать его;
  • Требовать внести в ПД изменения, а также удалить или прекратить их обработку;
  • Получать сведения о том, что его ПД были переданы третьей стороне;
  • Подавать регулятору жалобы на оператора.

Оператор ПД, в свою очередь, обязан получать у субъекта согласие на обработку ПД, разъяснять, для каких целей используются эти данные и защищать их от компрометации.

В статье 17 (на стр.16–17 документа) перечислены необходимые для этого меры. Среди них: создание политик безопасности, установление порядка доступа к ПД, внедрение технической и криптографической защиты информации и другие. Там же отмечено, что для этого компаниям нужно будет руководствоваться положениями Оперативно-аналитического центра при Президенте Республики Беларусь (ОАЦ № 62) — это госорган Беларуси, регулирующий деятельность по защите информации.

Перечень требований к созданию системы защиты информации, устанавливаемый ОАЦ, довольно сложен и включает более 50 пунктов. А организация необходимых механизмов безопасности требует времени и денежных средств. Исходя из этого можно предположить, что предприятиям малого и среднего бизнеса будет сложно самостоятельно выполнить все условия.

Однако новый закон гласит, что оператор может поручить сбор, обработку и распространение ПД третьей стороне, то есть передать её на аутсорс. Этой третьей стороной может быть, например, облачный провайдер, который будет следить за соблюдением требований к безопасности персональных данных.

«Если оборудование облачного провайдера размещается в крупных дата-центрах со строгим пропускным режимом и системами резервирования, это автоматически закрывает часть требований регламента, относящихся к физической защите данных, обеспечению безопасности виртуальной инфраструктуры и проведению аудитов», — рассказывает Сергей Белкин, начальник отдела развития 1cloud.

Например, мы в 1сloud недавно разместили свое оборудование в дата-центре beCloud, расположенном в пригороде Минска. Этот ЦОД сертифицирован по стандарту Tier III, что обеспечивает сохранность и доступность данных и информационных систем в соответствии с законодательством РБ.

Изначально наше решение разместить свое «железо» в белорусском дата-центре не было связано с новым законопроектом — об этом нас еще раньше просили клиенты из Беларуси. Дело в том, что согласно Указу Президента РБ №60 и Постановлению Совета Министров Республики Беларусь №644, коммерческие сайты в РБ должны размещаться на оборудовании, находящемся на территории страны. Однако теперь к этим требованиям добавились и задачи по обработке ПД, часть которых можно «делегировать» местному облачному провайдеру:

«Перекладывая часть задач на плечи вендора, компания экономит время и ресурсы, получая возможность сконцентрироваться на совершенствовании бизнес-процессов, — отмечает Сергей. — Однако важно помнить, что помимо физической безопасности следует также обращать внимание на инфраструктурные особенности дата-центра облачного провайдера: возможности холодильных установок, дублирование критических систем и наличие резервных компонентов — все это влияет на отказоустойчивость систем ЦОД».

Штрафы и наказания


Отметим, что операторам не надо регистрироваться ни в каком реестре. Хранить данные белорусов локально (согласно новому законопроекту) не нужно, однако тут важно учитывать требования все тех же Указа №60 и Постановления №644 — вне зависимости от домена, все сайты юрлиц или ИП в Беларуси должны перейти на белорусский хостинг. Дополнительно компаниям придется назначить ответственного по защите ПД (как в GDPR), который будет отвечать за организацию работы с персональными данными (это может быть как отдельный сотрудник, так и целый отдел).

Размеры штрафов «за несоответствие букве закона» пока не прописаны, однако известно, что нарушители будут нести ответственность, предусмотренную законодательными актами и возмещать субъектам ПД моральный и материальный вред (ст. 20, стр.18–19).

Если данные пользователей оказались украдены, то оператор обязан сообщить регулятору об «утечке» в течение трех дней после того, как об инциденте стало известно. Однако если инцидент был незначительным и не причиняет вреда правам субъекта ПД, то сообщать о нем не придется. Регулятором в этом случае является уполномоченный орган по защите прав субъектов ПД. Согласно статье 18 на стр.17–18 он будет защищать права владельцев персональных данных, рассматривать их жалобы, а также следить за исполнением операторами требований закона (например, удалением или блокировкой недостоверных данных).

Исключения


Закон повлияет на все организации, которые работают с ПД (ИП, юридические лица, владельцы сайтов и прочие): им нужно будет создать политики работы с ПД, назначить DPO, реализовать защитные меры и так далее.

Требования закона будут распространяться как на автоматизированную обработку данных, так неавтоматизированную, когда информация собирается в каталоги и картотеки.

Однако закон предусматривает ряд исключений. Например, получать согласие на обработку ПД не требуется, если жизни и здоровью субъекта угрожает опасность. Исключение также распространяется на журналистов, когда они ведут свою законную профессиональную деятельность, и ученых, которые проводят статистические исследования (при обязательном обезличивании данных). Полный список исключений вы можете найти в статьях 6, 9 официального документа.


/ Flickr / Book Catalog / CC

Мнения о законопроекте


Люди, которые поучаствовали в общественном обсуждении представленного закона, отмечают, что часть формулировок в законопроекте «хромает». Один из пользователей, например, посетовал на избыточность терминов для операций с ПД. Не до конца ясно, зачем каждый раз выделять такие понятия, как «сбор, обработка и хранение», когда можно использовать лишь термин «обработка», как это сделано в GDPR или законе РФ.

Еще один из пользователей Правового форума Беларуси заметил расхождение в требованиях к защите ПД в пунктах 3 и 5 статьи 17. Третий пункт предписывает при организации технической и криптографической защиты руководствоваться приказом ОАЦ, однако в пятом пункте сказано, что классификация (и, соответственно, степень защиты) информационных систем будет определяться иным госорганом.

Еще пользователи посчитали, что определение оператора ПД не дает представления о том, кто он такой, и чем занимается. Они также отметили, что в законопроекте отсутствуют нормы права, устанавливающие полномочия президента и Совета Министров РБ в этой сфере, и понадеялись, что в будущем в тексте будут сделаны соответствующие дополнения, уточнения и изменения.

Сроки


Обсуждение законопроекта продлится до 11 августа. После этого, если закон примут, у операторов будет год, чтобы подготовиться к его вступлению в силу.


О чем еще мы пишем в корпоративном блоге 1cloud:


Посты из нашего блога на Яндекс.Дзен:

Комментарии (10)


  1. Lofer
    20.07.2018 00:35
    #18901465

    По поводу приватности в РБ достаточно рассмотреть один сценарий для примера — формирование «баз тунеядцев». Логика формирования их проста как грабли:

    1. На всех жителей РБ собрать данные- работа, доходы-расходы, выезды за границу, собственность, банковские вклады и т.д.
    2. Пометить всех, кто «хороший»
    3. «Не хороших\Плохишей» -начинают рассматривать «тунеядские комиссии» в каждой территориальной единице, состав которых формируется «кем-то» и входят туда работники жэсов-исполкомов-дворники-доярки — и т.д.
    4. Комисси имеют доступ ко всей ПОЛНОЙ базе «плохишей», но база обновляется динамически, как и состав комиссий
    5. Комиссия начинает «работать» с каждым из «плохишей»

    Т.е по факту в РБ скоро наступит всеобщая «прозрачность», поскольку удержать в секрете такой объем данных при «рассмотрении-обсуждении плохишей» просто не реально.


    1. Immortal_Yohan
      20.07.2018 12:52
      #18902857

      Можете рассказать откуда у вас такая информация? То есть вы говорите, что работники жэсов и доярки имеют доступ к доходу плохишей? Или даже ко всем вообще без разбора?


      1. Lofer
        20.07.2018 19:39
        #18904447
        +1

        Согласно «Декрет Президента РБ № 3 (в редакции Декрета №1 от 25 января 2018)»


        В соответствии с п.4 районными (городскими) исполнительными комитетами (местными администрациями) создаются постоянно действующие комиссии. В состав комиссии включаются депутаты всех уровней, специалисты органов по труду, занятости и социальной защите, жилищно-коммунального хозяйства, внутренних дел, других подразделений районного (городского) исполнительного комитета (местной администрации). В состав комиссии также могут входить представители республиканских государственно-общественных объединений, иных общественных объединений.


        Т.е не «пойми кто» получает доступ к изложенному ниже
        Немного переставил абзацы, для прояснения:
        ПОСТАНОВЛЕНИЕ СОВЕТА МИНИСТРОВ РЕСПУБЛИКИ БЕЛАРУСЬ 31 марта 2018 г. № 239

        5. Формирование и ведение базы трудоспособных граждан, не занятых в экономике
        (далее – база данных), осуществляется Министерством труда и социальной защиты в
        целях:
        формирования сведений о трудоспособных гражданах, не занятых в экономике;
        ведения учета трудоспособных граждан, не занятых в экономике.
        6. В базу данных включается следующая обязательная информация о гражданине:
        идентификационный номер;
        фамилия, собственное имя, отчество (если таковое имеется) на русском языке;
        дата рождения;
        пол;
        гражданство;
        данные о регистрации по месту жительства (месту пребывания);
        вид, серия и номер документа, удостоверяющего личность.

        Министерство труда и социальной защиты имеет право включать в базу данных
        дополнительную информацию         по сравнению с указанной в пункте 6 настоящего
        Положения.

        Для формирования базы данных:
        11.1. государственные органы, иные организации согласно приложению 1
        представляют в Министерство труда и социальной защиты в соответствии с пунктами 16
        и 17 настоящего Положения списки идентификационных номеров граждан, которые в
        квартале, предшествующем формированию базы данных, считались занятыми в
        экономике или не относились к трудоспособным гражданам, не занятым в экономике;
        11.2. для служебного пользования.
        12. Министерство внутренних дел в соответствии с законодательством и в порядке,
        определяемом Министром внутренних дел:
        12.1. один раз в полугодие осуществляет формирование в виде текстового файла
        списка идентификационных номеров граждан        , за исключением идентификационных
        номеров граждан, являвшихся         в полугодии, предшествующем формированию базы
        данных, получателями пенсий, пенсионное обеспечение которых осуществляется
        Министерством внутренних дел, Комитетом государственной безопасности,
        Министерством обороны, Министерством по чрезвычайным ситуациям;

        16. Государственные органы, иные организации, за исключением перечисленных в
        пунктах 12–15 настоящего Положения, формируют в отношении граждан, которые в
        квартале, предшествующем формированию (актуализации) базы данных        , относились к
        категориям, указанным в пунктах 3–12 приложения 1 к настоящему Положению, списки
        идентификационных номеров и представляют их для формирования (актуализации) базы
        данных:

        Государственным органам, иным организациям, представляющим списки
        идентификационных номеров граждан для формирования базы данных, за исключением
        государственных органов, указанных в приложении 2 к Положению, совместно с
        республиканским унитарным предприятием «Национальный центр электронных услуг»
        (далее – НЦЭУ) обеспечить:
        проведение до 1 июня 2018 г. организационно-технических мероприятий по
        интеграции в общегосударственную автоматизированную информационную систему
        государственных информационных систем и ресурсов, учитывающих отдельные
        категории граждан, в целях автоматизации процесса формирования базы данных в
        электронной форме;
        передачу не позднее 1 сентября 2018 г. и далее в установленные сроки сведений для
        формирования базы данных.
        7. Министерству труда и социальной защиты совместно с НЦЭУ до 30 ноября
        2018 г. обеспечить доступ местным исполнительным и распорядительным органам к базе
        данных посредством общегосударственной автоматизированной информационной
        системы.

        2. Трудоспособными гражданами Республики Беларусь, иностранными гражданами
        и лицами без гражданства, получившими разрешение на постоянное проживание в
        Республике Беларусь и вид на жительство в Республике Беларусь (далее – граждане), не
        занятыми в экономике, являются граждане в возрасте от 18 лет до общеустановленного
        пенсионного возраста, которые не относятся к следующим категориям лиц:
        {много буков}

        3. Занятыми в экономике считаются граждане:
        {много буков}

        4. К трудоспособным гражданам, не занятым в экономике, не относятся граждане:
        {много буков}

        ПЕРЕЧЕНЬ
        государственных органов, иных организаций, представляющих
        для формирования базы данных списки идентификационных номеров
        граждан,
        • . Фонд социальной защиты населения Министерства труда и социальной защиты
        • Министерство труда и социальной защиты
        • Белорусское республиканское унитарное страховое предприятие «Белгосстрах»
        • Министерство здравоохранения
        • Министерство образования,
          Министерство культуры, Министерство спорта и туризма, Министерство сельского хозяйства и продовольствия, Министерство здравоохранения, Министерство связи и информатизации, Министерство транспорта и коммуникаций, Министерство финансов, Министерство энергетики, Академия управления при Президенте Республики Беларусь, Белорусский государственный концерн по производству и реализации товаров легкой промышленности, облисполкомы, Минский горисполком, частные учреждения образования
        • Облисполкомы, Минский горисполком
        • Творческие союзы
        • Министерство по налогам и сборам



        1. Lofer
          20.07.2018 19:45
          #18904455

          Плюс постановление включает в себя кучу пунктов для служебного пользования.


        1. Immortal_Yohan
          20.07.2018 19:57
          #18904469

          Спасибо. То есть после 30 ноября любые люди из этих вот «местным исполнительным и распорядительным органам» будут иметь доступ к вообще всем людям, способным работать, устроенным и не устроенным на работе доступом к информации предоставленной «ПЕРЕЧЕНЬ
          государственных органов, иных организаций, представляющих
          для формирования базы данных списки идентификационных номеров
          граждан,» этими? Я так понимаю каждое ведомство будет свои данные предоставлять, и не видеть данные из других ведомтсв или иметь доступ к бд, но вот эти местные исполнительные и распорядитлельные органы уже будут иметь доступ к полной базе данных? Это в этих органах вышеописанные комиссии будут или комиссии это отдельно?

          Я не силен в лойерспик.


          1. Lofer
            20.07.2018 21:46
            #18904767
            +1

            Я так понимаю каждое ведомство будет свои данные предоставлять, и не видеть данные из других ведомтсв или иметь доступ к бд,

            Вишенка на торте — будут доступ иметь все заинтересованные лица или просто любопытные с возможностью «дай Петрович Пупкина 'пробьем', он мне должен ...», а с учетом того, что ловят со взятками в 100$ госчиновников и клерков за всякую фигню или 200 тыс из Гос Топ Менеджеров (3..4 лица государства), Ваш вопрос риторический.
            Оторвутся по полной на «заклятых друзьях и соседях», ибо глупо не использовать такой массив данных, который ранее и у спецслужб не был, практически в реальном времени.

            Вроде по бумагам, эта база будет «общая для всех госов». Но бумаг пока не видел


            1. Immortal_Yohan
              20.07.2018 21:48
              #18904771

              Шиеет.

              Спасибо за пояснения.
              Работа по наводкам еще никогда не была такой простой. Заплати $100 и получи топ зарплат в твоем районе. Каждом третьему скидка.


    1. Gorthauer87
      20.07.2018 13:16
      #18902957

      Эх, и опять что-то близкое к серии Черного Зеркала про лайки, неужели от этого темного будущего не скрыться?


  1. powerman
    20.07.2018 01:27
    #18901549

    Требовать внести в ПД изменения, а также удалить или прекратить их обработку;
    Полный список исключений вы можете найти в статьях 6, 9 официального документа.

    Было бы забавно послать запрос на удаление ПД в разные гос.инстанции, которые забудут упомянуть в.


  1. funca
    20.07.2018 11:58
    #18902627

    По смыслу всех этих GDPR получается, что по праву использования такие данные уже скорее государственные, нежели персональные. Полагаю скоро начнут сдавать гражданам в аренду, как землю в uk.