Как планируют защищать персональные данные в Беларуси — рассказывают юристы

23 декабря 2020 г. Госдума приняла законопроект о внесении изменений в Закон «О персональных данных» — два чтения законопроект прошел за два дня.

А 30 декабря 2020 г. Федеральный закон № 519-ФЗ “О внесении изменений в Федеральный закон “О персональных данных” уже был подписан Президентом.

По замыслу создателей изменения вступят в силу в два этапа: основная часть с 1 марта 2021, вторая — с 1 июля 2021 г.

Сразу предупрежу: не спешите переподписывать согласия и перезаключать договоры. Прежде проконсультируйтесь со своим юристом. Ниже изложена моя точка зрения на изменения и она не претендует на истину. Будем ожидать разъяснений Роскомнадзора.

Оперативные обновления узнавайте в моем Телеграм-канале.

Как планируют защищать персональные данные в Беларуси — рассказывают юристыПерсональные данные в 2021

Что нового

Изменения сводятся к одному важному моменту — понятия общедоступных персональных данных больше не будет. Не путайте с общедоступными источниками персональных данных.

  • Из части 1 статьи 6 исключается пункт 10 — важное условие обработки персональных данных без согласия:
  • «10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);»
  • Этот принцип так или иначе охватывал возможность публикации персональных данных пользователей соцсетей. Да, была и иная точка зрения, но сейчас в этих спорах поставлен восклицательный знак:

любые данные о человеке можно публиковать только с его прямого согласия!

Исключения сделаны только для случаев, где есть государственный, общественный и публичный интерес. Уважаемые журналисты, аккуратно выдыхайте ????

Персональные данные, разрешенные для распространения — это персональные данные, к которым возможен доступ любых лиц. Теперь это так называется.

Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом

новый пункт 1.1 статьи 3 ФЗ «О персональных данных». Можно придумать новую аббревиатуру, например ПДРР ))

Это означает, что пока человек не даст согласия, публиковать его данные нельзя. Нельзя даже на корпоративных сайтах в разделах, аналогичным «О команде», «Наши сотрудники».

Требования к содержанию для специального согласия на обработку персональных данных, будет определять Роскомнадзор. Пока их нет, конечно же. Ждем весны.

Обновление от 27.01.2021. Опубликован приказ Роскомнадзора о требованиях с содержанию согласия.

Плохо, что новое согласие оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

Хорошо, что новое согласие не обязательно должно быть письменным. Допускается любая форма, позволяющая подтвердить факт его получения.

Как планируют защищать персональные данные в Беларуси — рассказывают юристыПридется получать новые согласия на публикацию персональных данных

Как распространять персональные данные в 2021

Пробегусь по пунктам новой статьи 10.1 Закона «О персональных данных». Это она определяет особенности публикации персональных данных. Подумайте заранее, как реализовать в вашей деятельности эти новшества.

1. Возможность выбора

Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Это может выглядеть так: согласен на публикацию ФИО, не согласен на публикацию даты рождения. Посмотрим, что скажет РКН. Совершенно точно придется поломать голову над формулировками.

2. Последовательные доказательства

В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, один сайт написал про чиновника, второй сделал рерайт новости, третий — просто ее перепостил. Чиновник обиделся и написал жалобу в РКН.

В этом примере доказывать, что есть общественный интерес персональным данным чиновника будут все три сайта. Вряд ли у них будет согласие на распространение ПД чиновника. А других законных оснований нет.

3. Случайно все произошло

В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.

Например, произошел слив базы данных банка в сеть. Кто-то их скопировал и опубликовал. Значит он будет доказывать законность распространения этой информации. Не знаю, получится ли у него это.

4. Четкость формулировок

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения.

Речь идет о том, что если вы намудрите в своей форме согласия, то обрабатывать персональные данные можно, но только без распространения.

5. Если не следует, то не следует

В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

Тот же пример: намудрили непонятного в форме согласия — публиковать нельзя.

6. Как вручить согласие

Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору: 

  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

С первым случаем все понятно, со вторым пока не понятно. Потому что Роскомнадзор еще не придумал такую систему. Когда придумает и запустит — не понятно. Если к 1 марта 2021 года не придумает, то единственным способом остается прямая передача согласия субъектом оператору. Это понятно, кэп?

7. Как будет работать ИС Роскомнадзора

Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных.

Роскомнадзор все придумает, напишет и нам расскажет.

UPD. 25 марта 2021 опубликован приказ Роскомнадзора о функционировании информационной системы.

8. Молчание не является согласием

Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Многозначительно промолчать в ответ на вопрос: «даете свое согласие на публикацию ваших данных на нашем сайте?» — означает нет.

9. Отказать запрещать нельзя

В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

Например, человек может разрешить опубликовать свои ФИО и возраст в отзывы на товар. Но тут же запретить передавать кому-нибудь еще. Например, вашему рекламному агентству. И ограничить человека в этом праве нельзя.

10. Отсроченный пункт

Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

Этот пункт вступит в силу с 01 июля 2021 года, если ничего не изменится. Пока я не понял, где оператор должен что-то публиковать, зачем это вообще нужно. «Посмотрим, что скажет Роскомнадзор» (цы).

11. Общественный или публичный интерес

Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

Человеку нельзя запретить публиковать персональные данные в перечисленных случаях. Но наличие нужного интереса должен доказывать оператор, опубликовавший информацию. Четких критериев значимости интересов законодательство не определяет, поэтому нужно каждый случай рассматривать индивидуально.

12. Запретить можно в любой момент

Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных.

Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

Субъект потребовал удалить информацию, оператор обязан исполнить. Если только нет других случаев обработки персональных данных без согласия субъекта. Например, общественный интерес из пункта 11.

13.Запрет с момента получения требования

Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи.

Ранее выданное согласие превращается в тыкву в момент получения оператором отзыва согласия.

14. Требования нужно выполнить быстро

Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу.

Помните пример про три сайта и чиновника? Так вот чиновник может потребовать удалить информацию как с одного, так и со всех трех. Где увидит статью о себе, туда и напишет. А может пойти сразу в суд. Соответственно, каждый сайт должен прекратить публикацию данных чиновника в течение трех дней.

15. … но не всем

Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления функций, полномочий и обязанностей.

Кратко — им можно. Точка.

Выводы

Важно! Статья 15.5 Закона «Об информации..» позволяет Роскомнадзору по решению суда блокировать сайты, которые допускают нарушения законодательства в области персональных данных. А пункт 14 статьи 10.1 Закона “О персональных данных” позволяет оспаривать отказ в удалении персональных данных в суде.

Читайте также:  Срок размещения контракта по 44-фз на этп

Что делать со старыми согласиями, полученными до 1 марта 2021?

Они превращаются в тыкву. Для распространения нужно получать отдельное согласие. Но согласие остается возможным для остальных целей.

Когда получать новое согласие?

Не раньше, чем Роскомнадзор утвердит его форму.

Как планируют защищать персональные данные в Беларуси — рассказывают юристыМы следим за изменениями

Остаюсь с вами на связи. Все вопросы по статье можно задать в чате Телеграм или в Я.Дзене. Следить за обновлениями контента удобнее в основном Телеграм-канале

В беларуси представлен законопроект о защите персональных данных — что у него «внутри»

В конце весны в ЕС вступил в силу регламент GDPR. А месяц назад в США подписали законопроект, обязывающий компании сообщать клиентам и властям об «утечках» данных не позже чем через месяц с момента возникновения инцидента.

В этом году новые законопроекты, связанные с ПД, также появились и в Беларуси. Сперва в апреле этого года парламентарии приняли поправки к закону о СМИ, обязывающие пользователей проходить идентификацию, прежде чем оставлять комментарии на форумах.

А теперь власти представили проект закона «О персональных данных».

Под катом рассказываем о его сути и реакции сообщества.

Как планируют защищать персональные данные в Беларуси — рассказывают юристы

/ Pxhere / PD Законопроект предложили в Национальном центре законодательства и правовых исследований Республики Беларусь (НЦЗПИ). В июне делегация от Центра ездила в Париж для встречи с членами Французской комиссии по защите данных (CNIL), чтобы перенять опыт европейских коллег и сразу применить его на практике.

Черновой вариант закона представили в начале июля. В нем шесть глав и двадцать две статьи, в которых описаны правила работы с ПД на территории Беларуси. Обсуждение законопроекта продлится до 11 августа этого года.

Главными действующими «лицами» в документе выступают субъект и оператор персональных данных. Субъект ПД — это человек, данные которого собираются, хранятся или обрабатываются.

Оператор ПД — это компания или индивидуальный предприниматель, обрабатывающий ПД на территории Беларуси. Непосредственно под персональными данными регулятор понимает любую информацию, на основании которой можно идентифицировать человека.

Этой информацией, в том числе, могут быть биометрические (отпечатки пальцев) и генетические показатели (ДНК).

Эти и другие определения вы можете найти в первой статье на страницах 1 и 2 официального документа.

По тексту законопроекта, субъект ПД имеет право:

  • Давать свое согласие на обработку ПД и отзывать его;
  • Требовать внести в ПД изменения, а также удалить или прекратить их обработку;
  • Получать сведения о том, что его ПД были переданы третьей стороне;
  • Подавать регулятору жалобы на оператора.

Оператор ПД, в свою очередь, обязан получать у субъекта согласие на обработку ПД, разъяснять, для каких целей используются эти данные и защищать их от компрометации.

В статье 17 (на стр.16–17 документа) перечислены необходимые для этого меры. Среди них: создание политик безопасности, установление порядка доступа к ПД, внедрение технической и криптографической защиты информации и другие.

Там же отмечено, что для этого компаниям нужно будет руководствоваться положениями Оперативно-аналитического центра при Президенте Республики Беларусь (ОАЦ № 62) — это госорган Беларуси, регулирующий деятельность по защите информации.

Перечень требований к созданию системы защиты информации, устанавливаемый ОАЦ, довольно сложен и включает более 50 пунктов. А организация необходимых механизмов безопасности требует времени и денежных средств. Исходя из этого можно предположить, что предприятиям малого и среднего бизнеса будет сложно самостоятельно выполнить все условия. Однако новый закон гласит, что оператор может поручить сбор, обработку и распространение ПД третьей стороне, то есть передать её на аутсорс. Этой третьей стороной может быть, например, облачный провайдер, который будет следить за соблюдением требований к безопасности персональных данных. «Если оборудование облачного провайдера размещается в крупных дата-центрах со строгим пропускным режимом и системами резервирования, это автоматически закрывает часть требований регламента, относящихся к физической защите данных, обеспечению безопасности виртуальной инфраструктуры и проведению аудитов», — рассказывает Сергей Белкин, начальник отдела развития 1cloud. Например, мы в 1сloud недавно разместили свое оборудование в дата-центре beCloud, расположенном в пригороде Минска. Этот ЦОД сертифицирован по стандарту Tier III, что обеспечивает сохранность и доступность данных и информационных систем в соответствии с законодательством РБ.

Изначально наше решение разместить свое «железо» в белорусском дата-центре не было связано с новым законопроектом — об этом нас еще раньше просили клиенты из Беларуси.

Дело в том, что согласно Указу Президента РБ №60 и Постановлению Совета Министров Республики Беларусь №644, коммерческие сайты в РБ должны размещаться на оборудовании, находящемся на территории страны.

Однако теперь к этим требованиям добавились и задачи по обработке ПД, часть которых можно «делегировать» местному облачному провайдеру:

«Перекладывая часть задач на плечи вендора, компания экономит время и ресурсы, получая возможность сконцентрироваться на совершенствовании бизнес-процессов, — отмечает Сергей. — Однако важно помнить, что помимо физической безопасности следует также обращать внимание на инфраструктурные особенности дата-центра облачного провайдера: возможности холодильных установок, дублирование критических систем и наличие резервных компонентов — все это влияет на отказоустойчивость систем ЦОД». Отметим, что операторам не надо регистрироваться ни в каком реестре. Хранить данные белорусов локально (согласно новому законопроекту) не нужно, однако тут важно учитывать требования все тех же Указа №60 и Постановления №644 — вне зависимости от домена, все сайты юрлиц или ИП в Беларуси должны перейти на белорусский хостинг. Дополнительно компаниям придется назначить ответственного по защите ПД (как в GDPR), который будет отвечать за организацию работы с персональными данными (это может быть как отдельный сотрудник, так и целый отдел).

Размеры штрафов «за несоответствие букве закона» пока не прописаны, однако известно, что нарушители будут нести ответственность, предусмотренную законодательными актами и возмещать субъектам ПД моральный и материальный вред (ст. 20, стр.18–19).

Если данные пользователей оказались украдены, то оператор обязан сообщить регулятору об «утечке» в течение трех дней после того, как об инциденте стало известно. Однако если инцидент был незначительным и не причиняет вреда правам субъекта ПД, то сообщать о нем не придется.

Регулятором в этом случае является уполномоченный орган по защите прав субъектов ПД. Согласно статье 18 на стр.

17–18 он будет защищать права владельцев персональных данных, рассматривать их жалобы, а также следить за исполнением операторами требований закона (например, удалением или блокировкой недостоверных данных).

Закон повлияет на все организации, которые работают с ПД (ИП, юридические лица, владельцы сайтов и прочие): им нужно будет создать политики работы с ПД, назначить DPO, реализовать защитные меры и так далее. Требования закона будут распространяться как на автоматизированную обработку данных, так неавтоматизированную, когда информация собирается в каталоги и картотеки.

Однако закон предусматривает ряд исключений. Например, получать согласие на обработку ПД не требуется, если жизни и здоровью субъекта угрожает опасность.

Исключение также распространяется на журналистов, когда они ведут свою законную профессиональную деятельность, и ученых, которые проводят статистические исследования (при обязательном обезличивании данных).

Полный список исключений вы можете найти в статьях 6, 9 официального документа.

Как планируют защищать персональные данные в Беларуси — рассказывают юристы / Flickr / Book Catalog / CC Люди, которые поучаствовали в общественном обсуждении представленного закона, отмечают, что часть формулировок в законопроекте «хромает». Один из пользователей, например, посетовал на избыточность терминов для операций с ПД. Не до конца ясно, зачем каждый раз выделять такие понятия, как «сбор, обработка и хранение», когда можно использовать лишь термин «обработка», как это сделано в GDPR или законе РФ.

Еще один из пользователей Правового форума Беларуси заметил расхождение в требованиях к защите ПД в пунктах 3 и 5 статьи 17. Третий пункт предписывает при организации технической и криптографической защиты руководствоваться приказом ОАЦ, однако в пятом пункте сказано, что классификация (и, соответственно, степень защиты) информационных систем будет определяться иным госорганом.

За разглашение персональных данных будут наказывать штрафом. Новые правила — с 1 марта — Блог Гродно s13

  • 491617
  • 26 января 2021, 07:07
  • БеларусьзаконКоАП

Как планируют защищать персональные данные в Беларуси — рассказывают юристы

В Беларуси вводится ответственность за нарушения законодательства в сфере персональных данных, новая статья появилась в КоАП и вступает в силу с 1 марта 2021 года. Административная ответственность может быть наложена как по требованию потерпевшего, так и по инициативе правоохранительных органов. Максимальный штраф — до 200 базовых величин (на сегодня это 5800 рублей). Что изменится, TUT.BY объясняет ведущий юрист практики информационных технологий и интеллектуальной собственности адвокатского бюро REVERA Алёна Поторская.

22 января 2021 года был опубликован Кодекс об административных правонарушениях (КоАП), который вступает в силу с 1 марта 2021 года. В нем появилась статья 23.7, которая устанавливает ответственность за нарушение законодательства о защите персональных данных.

Что такое персональные данные? В Законе «Об информации, информатизации и защите информации» закреплено: персональные данные — основные и дополнительные персональные данные физлица, подлежащие в соответствии с законодательными актами Республики Беларусь внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо. В проекте Закона «О персональных данных», который на данный момент не вступил в силу, отмечается, что персональные данные — это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано на основании такой информации.

Раньше было два случая, когда могли привлечь к ответственности за нарушения в сфере персональных данных:

  • разглашение персональных данных лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью;
  • нарушение правил защиты информации.

Ведущий юрист практики информационных технологий и интеллектуальной собственности адвокатского бюро REVERA Алёна Поторская отмечает, что существующие нормы не покрывали значительную часть нарушений, на сегодня нет ни одного случая привлечения к ответственности за нарушение законодательства в области персональных данных.

— Особенностью нового КоАП является то, что им вводится комплексная норма, которая устанавливает ответственность за довольно широкий перечень незаконных действий с персональными данными, — поясняет специалист.

— К примеру, согласно Закону «Об информации, информатизации и защите информации», сбор, обработка, хранение, а также последующая передача персональных данных осуществляются с письменного согласия субъекта персональных данных.

Соответственно любые вышеперечисленные действия с персональными данными без письменного согласия субъекта данных будут являться нарушением.

Так, согласно ст. 23.7 КоАП, ответственность наступает в случаях совершения следующих действий.

1. Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных.

2. Нарушение прав физического лица, связанных с обработкой персональных данных.

Штраф (п. 1 и 2): до 50 базовых величин (на сегодня эта сумма составляет 1450 рублей, одна базовая величина равна 29 рублям), для лица, которому персональные данные известны в связи с его профессиональной или служебной деятельностью — от 4 до 100 базовых величин (от 116 до 2900 рублей).

3. Умышленное незаконное распространение персональных данных, штраф — до 200 базовых величин (на сегодня эта сумма составляет 5800 рублей).

4. Несоблюдение мер обеспечения защиты персональных данных, штраф — от 2 до 10 базовых величин (от 58 до 290 рублей) — для физического лица, от 10 до 25 базовых величин (от 290 до 725 рублей) — для ИП, от 20 до 50 базовых величин (от 580 до 1450 рублей) — для юридического лица.

Алёна Поторская обращает внимание, что административная ответственность по данной статье может быть наложена как по требованию потерпевшего, так и без его требования (по инициативе правоохранительных органов). Протоколы будут составлять в милиции, дела будут рассматривать в суде.

Важно — на данный момент в Беларуси нет единого акта, регулирующего вопросы работы с персональными данными. Отдельные нормы содержатся в Законе «Об информации, информатизации и защите информации» и Законе «О регистре населения». 13 июня 2019 года Палатой Представителей был принят в первом чтении проект Закона «О персональных данных», однако после этого проект больше не рассматривался.

Читайте также:  Как собрать правильную команду

— В любом случае закон вступит в силу по истечении года после того, как он будет принят Национальным собранием, а затем подписан президентом, — поясняет юрист.

// TUT.BY

Закон о персональных данных. Кто будет отвечать за сохранность и распространение информации?

Депутаты во втором чтении приняли Закон «О персональных данных».  Теперь личная информация, которую мы предоставляем банкам, магазинам, медицинским центрам, будет находиться под надежной защитой.

Персональная информация гражданина сегодня представляет интерес для многих структур. Считается, что в цифровом обществе, в котором мы живем, искусственный интеллект – это вечный двигатель. А данные – его горючее. Неудивительно, что есть целое направление бизнеса по покупке-продаже персональных сведений.

Из-за отсутствия ясных и однозначных правовых подходов («правил игры») по их использованию уже на протяжении многих лет существуют серые сервисы по продаже такого типа информации. 

Ею обмениваются, чтобы, к примеру, увеличивать клиентскую базу. Есть и много других способов применения данных, в том числе мошеннических. Зная личные сведения о человеке, гораздо проще его обмануть, представившись официальным представителем ведомства или учреждения. Еще один способ – психологическое давление на гражданина.

Достаточно вспомнить, как деструктивные силы в буквальном смысле оказывают сегодня прессинг на силовой блок, журналистов, государственных служащих, намеренно публикуя их данные в сети, сопровождая их фейковой и оскорбительной информацией.  До недавнего времени вопрос сбора персональных данных о наших гражданах не был до конца урегулирован.

Но вскоре ситуация изменится.

Игорь Мартынов, депутат, заместитель председателя Постоянной комиссии по национальной безопасности, отмечает, что законопроект действительно назревший:

– Вопреки мнениям так называемых аналитиков, которые утверждают, что его писали в спешке, буквально за пару месяцев, должен сказать, что работа над ним началась еще в 2018 году.

В 2019-м он был принят в первом чтении. Изначально назывался «О защите данных», ко второму чтению название было изменено.

Мартынов подчеркивает, что очевидную необходимость принятия этого законопроекта общество почувствовало особенно остро летом прошлого года, когда в сети стали появляться личные данные граждан. Попробуем разобраться, как будет работать система защиты персональных сведений после вступления в силу нового закона.

Что такое персональные данные?   

Депутат говорит, что под этим определением понимается любая информация, которая относится к физическому лицу:

– Это объемное определение. В него входят, к примеру, паспортные данные, место регистрации, проживания, семейный статус, телефон, информация о близких родственниках, наличие транспортного средства, недвижимого имущества. Все это будет считаться и являться персональными данными гражданина.

Будут ли признаны персональными данными аккаунты в социальных сетях? Мартынов обращает внимание, что нет, так как странички в социальных сетях априори являются распространением информации о человеке, которую он сам публикует в общем доступе.

Кто сможет собирать данные о гражданине?

Согласно новому закону, оператором по сбору персональных данных может стать любая организация.

– К примеру, все торговые сети, которые выдают скидочные карты в обмен на личные данные. Учреждения системы здравоохранения, налоговая и многие другие. Когда мы приходим в поликлинику, то все, что на нас там имеется, по сути – наши персональные сведения. Не только Ф.И.О.

, но и диагнозы, обследования. Информация о нас в налоговой, наши декларации – тоже персональные данные.

Теперь каждая из этих организаций, получив статус оператора, сможет сохранять у себя информацию в объеме, который им нужен, и будет обязана нести ответственность за ее распространение, – рассказывает собеседник.

В законе для операторов прописан определенный порядок работы, а также как именно они должны собирать и обрабатывать персональные данные. Кроме того, там указано, на каких основаниях организацию смогут лишить статуса оператора по обработке персональных сведений. Мартынов подчеркивает важную деталь: любой оператор может собирать информацию только с согласия гражданина.

  • Как это будет контролироваться?
  • Совет Министров должен в трехмесячный срок определить орган, который станет регулировать работу всех операторов: контролировать их и обобщать всю информацию.
  • – Уполномоченный орган будет следить за тем, как операторы распоряжаются данными, кому и по какой причине они их предоставляют, – отметил депутат.
  • Любой гражданин, согласно закону, может один раз в год бесплатно обратиться к оператору, чтобы уточнить, использовал ли кто-то его личные данные.

Оператор обязан предоставить эту информацию. Также появится возможность обратиться с просьбой удалить те или иные сведения из базы данных оператора.

В случае несоблюдения оператором своих обязанностей вопрос придется решать в судебном порядке. По решению суда уполномоченный орган сможет выдать предупреждение оператору, а при наступлении особо тяжких последствий – лишить его этого статуса. 

– Ответственность для операторов предусмотрена как административная, так и уголовная. Все будет зависеть от того, сколько и в каком объеме они незаконно распространили персональных данных и какие последствия наступили в результате этого.

 Если будут такие ситуации, как случались в прошлом году, когда, к примеру, семье сотрудников органов внутренних дел после слитых в сеть персональных данных начинали угрожать, то это одна ответственность. Если же кто-то ради любопытства подсмотрел какие-то личные сведения по типу даты рождения – это уже другая степень ответственности.

Меру ответственности за подобные деяния законотворцам еще предстоит выработать, – сообщил Мартынов.

Интересно знать

Защита персональных данных в Беларуси

Отношение к защите персональных данных в последнее время все чаще обсуждают в СМИ, на уровне частных и государственных компаний. На фоне всеобщей информатизации о защите личной информации задумываются и обычные белорусы.

Для многих становится важным, насколько хорошо защищены их «имя-отчество» и домашний адрес после попадания в онлайн-формы на сайтах или в базу данных медучреждений. Однако в целом к этой теме граждане относятся без должного внимания.

За рубежом о защите информации пекутся больше, что в первую очередь заметно по частоте изменений в законодательстве.

Например, с 25 мая 2018 года в Европейском союзе действует Генеральный регламент о защите персональных данных (GDPR). Документ заменил Директиву о защите данных, которая была принята еще в 1995 году.

Причем требования GDPR распространяются на всех операторов, которые имеют дело с личной информацией субъектов с гражданством ЕС.

Периодически изменения, касающиеся персданных (ПДн), происходят и в правовом поле России. Там, к слову, закон о сборе, обработке и хранении ПДн был принят еще в 2006 году.

Аналогичный документ – проект закона о персональных данных – государственные органы Беларуси все еще разрабатывают. А это указывает на то, что наведение порядка в этом вопросе для правительства пока не является первостепенной задачей.

Действующие законы Республики Беларусь более или менее конкретно отвечают только на следующие вопросы:

  1. Что такое ПДн?
  2. Нужно ли получать согласие на сбор, обработку, хранение и использование ПДн?
  3. Должны ли операторы ПДн сообщать субъектам о том, какие данные об их частной жизни собираются и в каком объеме?
  4. Есть ли необходимость в организации защиты ПДн?

Какие данные считать персональными?

Поскольку «тематического» нормативного акта в стране еще нет, этот вопрос регламентирован в нескольких примыкающих к теме документах.

К примеру, закон № 455-З «Об информации, информатизации и защите информации», относит к ПДн основные и дополнительные данные физического лица, которые внесены в регистр населения, а также иные данные, которые позволяют идентифицировать такое лицо. При этом ПДн являются информацией, предоставление и распространение которой ограничено.

Примечательно, что в законе об информации есть расширенная формулировка «и иные данные, позволяющие идентифицировать такое лицо».

Это значит, что белорусское законодательство распространяется на любые сведения, с помощью которых можно идентифицировать личность человека. При этом не уточняется, прямая или косвенная идентификация имеется в виду.

Между тем, этот момент четко прописан в западных нормативных актах. Там зачастую под защиту подпадают и прямые, и косвенные характеристики личности. Например, IP-адреса.

В законе № 418-З «О регистре населения» понятие уточнено. Так, к ПДн относятся:

  • фамилия, собственное имя, отчество;
  • личный номер;
  • пол;
  • дата и место рождения, сведения о регистрации по месту жительства и (или) месту пребывания;
  • цифровой фотопортрет;
  • данные о гражданстве (подданстве);
  • данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным.

Закон о регистре населения вводит еще одно понятие – «дополнительные ПДн». Это информация о родителях физического лица, а также об опекунах, попечителях, семейном положении, супруге, ребенке (детях), образовании, ученой степени/звании, роде занятий, налоговых обязательствах.

Как получить право сбора и обработки данных?

Закон об информации сообщает, что в случае сбора, обработки, хранении ПДн необходимо письменное согласие физлица, которому они принадлежат.

Хотя законодательными актами республики не регламентируется, каким должно быть «согласие в письменной форме».

Небольшое уточнение этого понятия приводится в Гражданском кодексе, где сделкой в письменной форме, среди прочего, называется обмен подписями (факсимиле и аналоги).

Такой подход можно применить и к согласию на сбор, обработку, хранение и использование ПДн. В итоге из-за размытого в этой части законодательства Республики Беларусь многие операторы ПДн собирают подписи физлиц «вручную». Например, визовые центры делают это с помощью печатной формы-согласия, в которой заявителю нужно расписаться чернилами.

Юридические лица, которые ведут деятельность в Интернете, прописывают в публичных договорах пункт о согласии на сбор ПДн. Так делают многие онлайн-магазины. При этом считается, что согласие физлица получено по факту совершения им покупки. Хотя одного клика «принимаю соглашение/согласен» на веб-странице информационного ресурса формально может быть недостаточно.  

Помимо сбора, под регламент подпадает процесс обработки ПДн. В том числе, ознакомление с личными сведениями и их передача третьим лицам. Порядок юридического оформления этих операций похож на запрос письменного согласия на сбор персональной информации у субъекта.

Под ознакомлением понимается право субъекта, которому принадлежат собираемые данные, на то, чтобы знать, какие из характеристик его личности собирает оператор и в каком объеме они содержатся в информационных системах или у определенных лиц.

Что касается передачи ПДн, то эту операцию нужно согласовать с субъектом заранее, и тоже в письменной форме. Как правило, такой пункт включает большинство публичных соглашений и договоров. Однако опять-таки появляется вопрос с формой получения согласия. Ведь большинство ПДн сегодня собирают в электронном виде.

Как защищать данные о белорусах?

В законе об информации указано, что любое лицо, которое собирает ПДн, должно принять меры по надлежащей защите полученных сведений. Причем гарантировать защиту оператор обязан в четких временных промежутках:

  • до момента, когда субъект ПДн разрешает их разглашение;
  • до момента обезличивания ПДн.

Если с этими вводными все более или менее ясно, то с толкованием мер защиты возникают сложности. Законодательными актами Республики Беларусь не определяется, как именно должна выглядеть полноценная защита данных. На практике, с опорой на подзаконные акты, операторам ПДн следует продумать защитные меры двух типов:

  • организационные (разработка и принятие внутренних документов, регламентирующих работу с ПДн);
  • технические (защита информационных систем от утечек персональной информации с помощью программных решений).
Читайте также:  Какие бизнесы есть у бондарчука, михалкова, литвиновой и других российских звезд кино

Обращаясь к тексту законопроекта о ПДн, можно узнать о планируемых мерах защиты подробнее. Так, операционной мерой станет включение в штатное расписание новой должности – ответственного за защиту ПДн.

Если подойти к этой задаче серьезно, то речь о специалисте по информационной безопасности.

Причем крупным компаниям, которые оперируют большим массивом сведений, скорее всего, придется создавать целый отдел таких специалистов.

Технический аспект защиты заключается в том, что хранить сведения о белорусах можно будет только на отечественном хостинге.

Защиту прав субъектов ПДн законопроект возлагает и на регулятора. Его функции будет выполнять отдельный государственный орган. Регулятора также наделят следующими полномочиями:

  • рассмотрение заявлений от граждан по вопросам ПДн;
  • наблюдение за тем, как операторы выполняют требования закона.

Чем грозит нарушение законодательства в области ПДн?

Так как «тематический» закон в стране все еще не принят, четко определенной ответственности за нарушение правовых норм нет. Предполагается, что в КоАП РБ вскоре внесут изменения, в соответствии с которыми нарушителей в области ПДн будут наказывать штрафом до 20 базовых величин.

Статью 179 УК РБ, в которой прописано наказание за незаконный сбор или распространение информации о частной жизни, на практике для ситуаций с разглашением ПДн не применяют.

Если принимать во внимание текст законопроекта о ПДн, то там так же пока не содержится конкретных предложений по санкциям. Предполагается, что после его подписания в административном и уголовном кодексах появятся новые статьи.

Однако уже сейчас законопроект регламентирует действия оператора ПДн в случае их утечки (выхода в публичное пространство или попадание в третьи руки).

Первым делом, в течение трех дней после обнаружения утечки оператор должен сообщить об этом правоохранителям. Информация о случившемся должна быть направлена и в орган по защите прав субъектов ПДн (регулятору).

Примечательно, что, если утечка незначительна и не будет иметь негативных последствий для субъекта, извещать о ней органы правопорядка не придется.

Однако по итогам общественного обсуждения законопроекта, которое завершилось в августе 2018 года, специалисты сошлись во мнении, что он требует доработок. В том числе в вопросах безопасности данных.

Так, эксперты посчитали, что текст содержит противоречие в пункте об организации защиты данных.

В частности, пункт 3 статьи 17 возлагает эту функцию на Оперативно-аналитический центр при президенте РБ, а пункт 5 той же статьи наделяет этой компетенцией другой госорган.

Как бы то ни было, предполагается, что закон о защите персданных в Беларуси примут в первой половине 2019 года. Причем он должен вступить в силу через месяц после официального опубликования. Пока же этого не случилось, сложно говорить о наличии полноценной защиты ПДн, равно как и о наличии строгой ответственности для нарушителей.

Имя, должность, имущество: что будет считаться персональными данными и как их будут защищать — Сильные новости

В Беларуси появится определение персональных данных. Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Эта концепция очень схожа с концепцией определения персональных данных в евросоюзовском General Data Protection Regulation, но для белорусской правовой системы немного не привычная.

У нас обычно есть четкий перечень того, что подразумевается под тем или иным понятием, но белорусский законодатель отошел от этого подхода и правильно сделал — в современном мире невозможно составить исчерпывающий перечень персональных данных, считает юрист.

TUT.BY пробует разобраться с тем, что может относиться к персональным данным по закону на примере мировой практики.

Окончательное решение в том, что будет относиться к персональным данным, а что нет, будет зависеть от того, как пойдет практика применения закона, то есть от позиции правоприменительных органов.

Фио и не только

Итак, персональные данные — это

«любая» может означать, что такая информация не будет ограничена по форме (видео, аудио, цифровые, графические и фотографические материалы могут содержать персональные данные), а также может содержать как объективную информацию (к примеру, возраст лица), так и субъективную (к примеру, оценка психологического состояния человека).

  1. относящаяся к идентифицированному физическому лицу

Базово, если вы можете отличить одного человека от других — этот человек идентифицирован. К примеру, часто можно идентифицировать человека по его фамилии, имени, отчеству (то есть ФИО здесь — это персональные данные, которые идентифицируют человека).

Информация, «относящаяся к идентифицированному физическому лицу» — это соответственно любая информация, которая относится к человеку, которого вы уже идентифицировали, к примеру, его работа, имущество, звания, увлечения и так далее до бесконечности: все это при определенных условиях тоже является персональными данными.

  1. физическому лицу, которое может быть идентифицировано.

Если вы не можете идентифицировать человека сразу, но это возможно сделать потом, сопоставив имеющуюся у вас информацию с другой (с той, которую также вы имеете либо доступ к которой можно получить через третьих лиц), то такое лицо «может быть идентифицировано». К примеру, у вас есть только имя человека — не всегда по имени вы можете установить, кто это конкретно. Но сопоставив эту информацию с рядом другой, к примеру, с локацией, ростом, описанием внешности, такой человек может быть идентифицирован.

Данные о вашем девайсе

Николай Саванович: Как в Беларуси усилят защиту персональных данных

В Палату представителей в марте поступил проект закона «О персональных данных». Документ для Беларуси новый. Комплексного нормативного правового акта, который регламентировал бы порядок обращения с персональными данными, в стране пока нет.

Законопроект призван устранить этот пробел и обеспечить защиту прав и свобод граждан при сборе, обработке, распространении или предоставлении их персональных данных. Ответственными за подготовку документа стали Национальный центр законодательства и правовых исследований (НЦЗПИ) и Совет Министров.

Заместитель начальника управления конституционного и международного права НЦЗПИ Николай Саванович в беседе с корреспондентом БЕЛТА рассказал о новациях законопроекта и его значимости для белорусского общества.

— Николай Анатольевич, речь о том, что Беларуси нужен закон о персональных данных, велась давно. Появлению документа предшествовала большая кропотливая работа. Почему возникла такая необходимость?

— Действительно, создание эффективной правовой основы работы с персональными данными — непростая задачей для любого государства, особенно с учетом бурного развития информационных технологий в последнее время.

Информационные технологии оказывают все более определяющее влияние на общество и государство. Различные гаджеты прочно вошли в нашу жизнь, изменив ее традиционный уклад.

Большинство уже не представляет себя без мобильных телефонов, позволяющих, например, не выходя из дому совершать покупки или платежи.

Посещая различные сайты, регистрируясь в социальных сетях, получая кредиты, дисконтные карты в магазинах, пользуясь услугами мобильных операторов, мы оставляем свои персональные данные, даем согласие на различные действия с ними.

Постепенно возрастает и их экономическое значение. Сейчас часто говорят, что персональные данные стали новой валютой и новой нефтью. Это повышает интерес к ним со стороны бизнеса, когда изыскиваются все новые и новые способы получения личной информации (в том числе и в обмен на якобы бесплатные сервисы).

Но современные технологии наряду с преимуществами несут в себе и значительный риск для многих охраняемых интересов и прежде всего для защиты персональных данных. Традиционные способы защиты личной информации, например, получение согласия на действия с ней становятся все менее эффективными.

В этой связи требуется пересмотр традиционных механизмов защиты персональных данных для того, чтобы адаптировать их под реалии современного информационного общества и создать действенные инструменты защиты охраняемых прав и свобод.

Напомню, что Конституция Беларуси в ст. 28 закрепляет право каждого на защиту от незаконного вмешательства в его личную жизнь. Это фундаментальное право.

Неспособность гарантировать его ставит под удар другие смежные права и свободы, включая свободу выражения мнения, мирных собраний, доступа к информации, принцип недискриминации, поэтому значимость четкой правовой регламентации сбора и использования персональных данных сложно переоценить.

— Какие положения законопроекта вам кажутся наиболее важными? И чего ждать гражданам от нового закона?

— Я бы выделил ряд самых существенных положений. Так, законопроект определяет круг сведений, которые признаются персональными данными. Это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано на основании такой информации.

Определение сформулировано с учетом положений Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных.

Учитывались также общепринятые подходы к определению персональных данных в зарубежном законодательстве.

В частности, сходные по смыслу определения сформулированы в немецком, российском праве, в законодательстве Азербайджана, Казахстан, Молдовы, Украины.

Предполагается, что персональные данные будут разделены на две категории.

К первой планируется относить общедоступные (например, распространенные самим субъектом персональных данных), которые не подлежат защите.

Ко второй — специальные, в том числе биометрические (например, пол, политические или религиозные убеждения, судимость, дактилоскопическая информация). Такого рода сведения подлежат дополнительной защите.

В проекте закреплены общие требования к действиям с персональными данными. Раскрываются принципы законности, конкретности и обоснованности целей сбора, обработки, распространения, предоставления персональных данных и так далее. Действия с ними только тогда будут признаваться законными, если будут соответствовать всем этим принципам.

Базовым условием совершения каких-либо действий с персональными данными будет получение согласия гражданина (субъекта персональных данных), которое должно быть свободным, конкретным и информированным.

В то же время проектом закона определяется перечень случаев, когда сбор, обработка, распространение, предоставление персональных данных будут допускаться без согласия граждан. Например, для целей ведения административного, уголовного процесса, контроля (надзора) в соответствии с законодательными актами.

Следует обратить внимание, что важной новеллой закона должно стать закрепление возможности в электронной форме получить согласие физических лиц на определенные действия с их персональными данными. По действующему законодательству об информации, информатизации и защите информации такое согласие может быть дано только в письменной форме.

— Какие права гарантирует людям новый закон?

— Проект закона предусматривает целый ряд прав граждан в отношении их персональных данных. Например, право отзыва согласия на сбор, обработку (за исключением обезличивания), распространение, предоставление их персональных данных.

Человек также вправе в любое время требовать от операторов прекратить любые действия с его персональными данными (опять же кроме обезличивания), если для этого нет законных оснований.

Особое место в механизме обеспечения защиты принадлежит праву на получение информации о предоставлении персональных данных третьим лицам. Это позволит человеку иметь полное представление о действиях с его данными. По общему правилу, такие сведения можно будет получить один раз в течение года.

Для обеспечения защиты прав граждан, контроля за соблюдением законодательства, оказания консультативной помощи проектом закона с учетом международной практики предусматривается создание уполномоченного органа.

Это одна из наиболее важных мер по защите персональных данных в государстве.

Кроме того, необходимость создания такого органа вытекает из обновленной редакции Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных.

  • Уполномоченный орган по защите прав субъектов персональных данных будет определяться Президентом.
  • — Когда ожидается вступление нового закона в силу?
  • — Это во многом зависит от того, насколько быстро законопроект пройдет парламентские процедуры.
  • Вместе с тем, принимая во внимание новизну комплексного правового регулирования общественных отношений в сфере защиты персональных данных, вступление основных положений закона в силу планируется через год после его официального опубликования.
  • Таким образом, у всех заинтересованных будет достаточно времени, чтобы подготовиться к реализации нового закона.
  • Светлана САВКО,
  • БЕЛТА.-0-

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *