Новости проекта
Мобильные приложения Schools.by
С новым учебным годом!

Нормативные правовые документы в сфере информатизации

Дата: 23 ноября 2021 в 10:48, Обновлено 23 ноября 2021 в 10:57

15 ноября 2021 г. вступит в силу первый закон, специально посвященный персональным данным в Беларуси. Мы рассмотрели ключевые моменты и положения, которые значительно меняют обработку персональных данных, а это затронет практически каждую компанию.

Новое определение персональных данных

Теперь к понятию «персональные данные» можно отнести абсолютно любые данные, если с их помощью можно идентифицировать физическое лицо, так как законодательством не установлен перечень «иных данных»<wbr />(абз.9 ст.1 Закона от 07.05.2021 № 99-З «О защите персональных данных»).

То есть под категорию персональных может подпадать обширный круг данных.

Новое определение схоже с определением, закрепленным в GDPR (примечание).

Пока нет однозначного ответа, относятся ли к персональным данным:

• данные об устройствах пользователей (IP-адрес, локация, рекламные идентификаторы (IDFA, Google Advertising ID));

• информация о пользовательском поведении (на какие разделы сайта пользователь заходил и что просматривал).

В соответствии с общемировыми подходами - относятся.

Персональные данные

До принятия Закона № 99-З в Беларуси был закрытый перечень персональных данных - в него входила только информация, которая вносится в реестр населения (Ф.И.О., дата рождения, пол, адрес регистрации и т. д.):

• персональные данные - это основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо (абз.24 ст.1 Закона от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»);

• персональные данные физических лиц - совокупность основных и дополнительных персональных данных, а также данных о реквизитах документов, подтверждающих основные и дополнительные персональные данные конкретных физических лиц; перечисление данных, которые могут быть отнесены к основным (ст.8 Закона от 21.07.2008 № 418-З «О регистре населения») и вспомогательным (ст.10) персональным данным, - закрытый список.

ИзображениеИзображениеИзображение5Оператор и уполномоченное лицо: функции и обязанности

Закон № 99-З вводит понятия «оператор» и «уполномоченное лицо».

Оператор самостоятельно организует или осуществляет обработку персональных данных, а уполномоченное лицо обрабатывает их от имени или в интересах оператора, например, на основании договора с ним (абз.8 ст.1 Закона № 99-З).

справочно

Справочно

Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных (абз.6 ст.1 Закона № 99-З).

Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных (абз.13 ст.1 Закона № 99-З).

Договор должен содержать необходимые существенные условия: цель, перечень действий по обработке, оговорку о конфиденциальности и меры защиты. Уполномоченное третье лицо не обязано самостоятельно получать согласие субъекта персональных данных, за это отвечает оператор.

Закон № 99-З приводит следующий перечень операторов:

• госорган;

• юрлицо Республики Беларусь;

• иная организация;

• физлицо, в том числе ИП (абз.8 ст.1 Закона № 99-З).

список

Дополнительно по теме

• Общий регламент защиты персональных данных (GDPR). Рекомендация для резидентов Республики Беларусь.

• Какая информация относится к персональным данным по Закону от 07.05.2021 № 99-З «О защите персональных данных»?

• Персональные данные: что нужно знать с 15 ноября 2021 года.

Дополнительно по теме

• Новые подходы к защите персональных данных с 15 ноября 2021 года. Комментарий к Закону от 07.05.2021 № 99-З «О защите персональных данных».

То есть любое физическое или юрлицо (интернет-магазин, банк, медицинское учреждение, частная компания и т. д.), которое будет заниматься обработкой персональных данных, называется оператором и подпадает под действие Закона№ 99-З.

Обрабатывать данные операторы смогут только с согласия носителя данных (физлица).

Оператор обязан (согласно Закону № 99-З):

1) разъяснять субъекту данных его права, связанные с обработкой данных (абз.25 п.1 ст.16);

2) получать согласие на обработку данных (абз.3 п.1 ст.16);

3) предоставлять человеку возможность ознакомления со своими данными (абз.5 п.1 ст.16);

4) прекратить обработку данных или удалить их по требованию (абз.7 п.1 ст.16);

5) обеспечивать защиту данных (абз.4 п.1 ст.16);

6) уведомлять в определенное время уполномоченный орган о нарушениях системы защиты (абз.8 п.1 ст.16);

7) опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику обработки данных и требования по их защите (ч.2 п.5 ст.5) и др.

внимание

Обратите внимание!

Обработка персональных данных оператором или уполномоченным лицом невозможна без получения согласия субъекта данных (ч.1 п.3 ст.4 Закона № 99-З).

список

Дополнительно по теме

• Новые подходы к защите персональных данных с 15 ноября 2021 года. Комментарий к Закону от 07.05.2021 № 99-З «О защите персональных данных».

• Кого касаются требования Закона от 07.05.2021 № 99-З «О защите персональных данных»?

ИзображениеИзображениеИзображениеЦели обработки персональных данных

Обработка персональных данных должна ограничиваться достижением заранее заявленных конкретных целей (ч.1 п.4 ст.4 Закона № 99-З).

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки.

При появлении новых целей необходимо получать новое согласие (ч.2 п.4 ст.4 Закона № 99-З).

ИзображениеИзображениеИзображениеПолучение согласия идентифицируемого лица на обработку персональных данных

ИзображениеИзображениеИзображениеПолучение согласия в новом формате

Ранее в Республике Беларусь согласие на обработку персональных данных предоставлялось только в письменной форме.

Теперь согласие может быть дано как в письменной форме, так и с помощью CMC-сообщения с кодом, электронной почты, а также проставления отметки (галочки) на сайте (ч.1 п.2 ст.5 Закона № 99-З).

Согласие должно быть свободным, однозначным, целевым и информированным. То есть перед дачей согласия субъекта персональных данных надо проинформировать о (об):

• названии и местонахождении оператора;

• цели обработки;

• перечне персональных данных;

• сроке, на который дается согласие;

• информации об уполномоченных третьих лицах;

• перечне действий с персональными данными;

• иной информации для «прозрачности» процесса обработки персональных данных (п.5 ст.5 Закона № 99-З).

До получения согласия оператор обязан разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия или отказа в даче такого согласия. Эта информация должна быть представлена отдельно от иной информации, чего может потребовать политика конфиденциальности.

Обязанность доказывания того, что пользователь дал свое согласие, возлагается на оператора.

внимание

Обратите внимание!

При даче своего согласия физлицо указывает свои Ф.И.О., дату рождения и идентификационный номер. Если такие данные не нужны оператору в соответствии с заявленными им целями обработки, обрабатывать их запрещается (п.6 ст.5 Закона № 99-З).

список

Дополнительно по теме

• О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента. Комментарий к постановлению Минздрава от 07.06.2021 № 74.

ИзображениеИзображениеИзображениеЧто должно содержать согласие

В Законе № 99-З конкретно не определено, что должно содержаться в письменном согласии физлица. Вместе с тем в согласии целесообразно предусмотреть следующее.

1. Ф.И.О. физлица, чьи данные собираются.

2. Перечень персональных данных, на сбор обработку, хранение, распространение, представление которых дается согласие.

3. Цели сбора, обработки, распространения, представления персональных данных.

4. Перечень действий, на совершение которых дается согласие.

5. Срок, на который дается согласие.

6. Порядок отзыва согласия (п.5 ст.5 Закона № 99-З).

ИзображениеИзображениеИзображениеКогда можно использовать персональные данные без получения согласия

Есть ситуации, когда получать согласие не потребуется. К ним, в частности, относятся следующие причины использования персональных данных:

• для оформления трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности (важное уточнение: несмотря на то что сбор персональных данных в рамках трудовых правоотношений может осуществляться без согласия работника, дальнейшее их распространение без соответствующего согласия прямо запрещено Законом № 99-З);

• при реализации норм законодательства в области национальной безопасности, борьбы с коррупцией и пр.;

• в отношении общедоступных персональных данных (данное право оператора будет действовать до первого требования идентифицируемого лица), то есть в отношении ранее распространенных персональных данных до момента заявления субъектом данных требования о прекращении обработки или их удалении;

• когда сбор персональных данных обязателен в соответствии с законодательством (ст.6 Закона № 99-З).

список

Дополнительно по теме

• Персональные данные работников организации.

• Персональные данные, на обработку которых нанимателю не надо получать согласие работников.

• Когда согласие на обработку персональных данных не требуется.

пример ситуация

Пример 1

Вы делаете рассылку для клиентов, предлагая им свои услуги, скидки и др. - такие действия могут быть совершены только при наличии согласия субъекта. По GDPR в аналогичной ситуации при определенных условиях можно не получать согласие пользователя, а ссылаться на законный (легитимный) интерес.

пример ситуация

Пример 2

Вы хотите получить данные из резюме кандидата на работу по электронным каналам. Для этого надо сначала получить согласие субъекта на обработку данных. Его можно разместить на сайте компании. Ознакомившись с перечнем обрабатываемой информации и целями обработки, субъект может дать согласие. Далее субъект сможет загрузить резюме или заполнить форму прямо на сайте.

Вы обязаны в любой момент удалить всю информацию о субъекте и прекратить обработку его данных, как только он этого потребует.

Без согласия субъекта нельзя передавать резюме из одной компании в другую с той же целью - найма на работу.

Отзыв согласия

Права субъекта персональных данных (кроме прочего)

Одно из прав субъекта персональных данных - право на отзыв согласия на использование персональных данных.

Идентифицируемое лицо может в любой момент отозвать данное им согласие на использование персональных данных. После получения отзыва оператор в 15-дневный срок обязан прекратить сбор персональных данных, удалить их и уведомить об этом пользователя (пп.1 и 2 ст.10 Закона № 99-З).

Если же у оператора нет технической возможности удалить персональные данные, то ему вменяется в обязанность принять меры по недопущению их дальнейших обработки, распространения и предоставления (включая обязанность по блокировке данных) и уведомить пользователя в тот же срок.

Те же последствия, что и отзыв согласия (то есть обязанность прекратить, удалить, уведомить), наступают при окончании срока действия или расторжения договора, в соответствии с которым использовались персональные данные (п.3 ст.10 Закона № 99-З).

ИзображениеИзображениеИзображениеОбязательства компании по защите персональных данных

1. Назначьте лицо или отдел, ответственные за защиту персональных данных в компании.

2. Разработайте политику компании в отношении обработки персональных данных и сделайте ее доступной для неограниченного круга лиц (в том числе посредством сети Интернет).

3. Обучите работников работе с персональными данными.

4. Установите порядок доступа к персональным данным.

5. Осуществите техническую и криптографическую защиту персональных данных (п.3 ст.13 Закона № 99-З).

Оператор - ИП или юрлицо обязан обеспечить неограниченный доступ, в том числе с использованием сети Интернет, к своей политике конфиденциальности до начала соответствующих действий с персональными данными.

Подробнее требования по организации защиты персональных данных (информации ограниченного распространения) указаны в приказе ОАЦ от 20.02.2020 № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449».

Меры по защите информации также зависят от класса системы, в которой она обрабатывается. Класс системы определяется СТБ 34.101.30-2017 «Информационные технологии. Методы и средства безопасности. Информационные системы. Классификация».

Для соблюдения врачебной тайны и обеспечения защиты информации о пациенте в рамках эксплуатации централизованной информационной системы здравоохранения принято постановление Минздрава от 28.05.2021 № 64 «Об утверждении Инструкции о порядке обезличивания персональных данных лиц, которым оказывается медицинская помощь».

список

Дополнительно по теме

• Новые подходы к защите персональных данных с 15 ноября 2021 года. Комментарий к Закону от 07.05.2021 № 99-З «О защите персональных данных».

• Алгоритм действий организации по защите персональных данных.

ИзображениеИзображениеИзображениеТрансграничная передача персональных данных

Для целей трансграничной передачи персональных данных Закон № 99-З разделяет государства на обеспечивающие надлежащий уровень защиты прав субъектов персональных данных и не обеспечивающие такового.

Передача данных за пределы Республики Беларусь в страны, которые не обеспечивают надлежащий уровень защиты данных, будет возможна только при наличии определенных оснований:

• есть согласие субъекта персональных данных;

• персональные данные получены на основании договора с субъектом персональных данных;

• персональные данные могут быть получены любым лицом посредством направления запроса;

• передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

• персональные данные обрабатываются в рамках исполнения международных договоров Республики Беларусь;

• передачу осуществляет орган финансового мониторинга;

• на основании разрешения уполномоченного органа (п.1 ст.9 Закона № 99-З).

Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, пока не сформирован и вскоре будет определен новым регулятором.

ИзображениеИзображениеИзображениеОтветственность за нарушения в сфере персональных данных

ИзображениеИзображениеИзображениеАдминистративная ответственность

Административная ответственность за нарушения в сфере персональных данных

Обратите внимание!

Разница между предоставлением и распространением персональных данных заключается в том, что:

1) под предоставлением понимают ознакомление с такими данными заранее определенного круга лиц (абз.10 ст.1 Закона № 99-З);

2) под распространением - ознакомление неопределенного круга лиц (чаще всего - размещение информации в общем доступе) (абз.11ст.1 Закона № 99-З).

ИзображениеИзображениеИзображениеУголовная ответственность

До недавнего времени уголовный закон не содержал специальных составов об ответственности за действия именно с персональными данными. Законом от 26.05.2021 № 112-З УКдополнен двумя новыми статьями:

• 2031 «Незаконные действия в отношении информации о частной жизни и персональных данных»;

• 2032 «Несоблюдение мер обеспечения защиты персональных данных».

При этом ст.179 из УК исключена, а ст.2031 и 2032размещены в главе о преступлениях против конституционных прав и свобод человека и гражданина (ст.179 ранее размещалась в главе о преступлениях против уклада семейных отношений и интересов несовершеннолетних).

В отличие от зарубежной практики, в Республике Беларусь акцент уголовной ответственности смещается исключительно на разглашающее физлицо.

Незаконные действия Ответственность

Статья 2031. Незаконные действия в отношении информации о частной жизни и персональных данных.

Устанавливается ответственность как за умышленныедействия с персональными данными, так и за действия с информацией о частной жизни

Умышленные незаконные сбор, предоставление информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина Общественные работы, или штраф, или арест, или ограничение свободына срок до 2 лет, или лишение свободы на тот же срок (ч.1)
Умышленное незаконное распространение информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшее причинение существенного вреда правам, свободам и законным интересам гражданина Ограничение свободына срок до 3 лет или лишение свободы на тот же срок со штрафом (ч.2)
Действия, предусмотренные ч.1 или 2 настоящей статьи, совершенные в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга Ограничение свободына срок до 5 лет или лишение свободы на тот же срок со штрафом (ч.3)

Статья 2032. Несоблюдение мер обеспечения защиты персональных данных.

Предусматривает ответственность за несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий

Несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий Штраф, или лишение права занимать определенные должностиили заниматься определенной деятельностью, или исправительные работы на срок до 1 года, или арест, или ограничение свободы на срок до 2 лет, или лишение свободына срок до 1 года

список

Дополнительно по теме

• Ответственность кадровой службы по защите персональных данных.

• Какая предусмотрена ответственность за нарушение работником законодательства о защите персональных данных?

ИзображениеИзображениеИзображениеФормы документов

1. Обязательство о неразглашении персональных данных (пример).

2. Договор поручения на обработку персональных данных третьим лицом (пример).

3. Приказ о назначении ответственного за обработку персональных данных (пример).

4. Приказ о создании комиссии по уничтожению персональных данных (пример).

5. Приказ об определении лиц, имеющих право доступа к персональным данным работников, обрабатываемым организацией (пример).

6. Политика оператора (уполномоченного лица) в отношении обработки персональных данных (вместе с положениями об обработке и защите персональных данных и о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные) (пример).

7. Приказ о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (пример).

ИзображениеИзображениеИзображениеПримечание. Общий регламент защиты персональных данных, Общий регламент по защите данных, Генеральный регламент о защите персональных данных (англ. General Data Protection Regulation, GDPR; Постановление (Европейский Союз) 2016/679) - постановление Европейского Союза, с помощью которого Европейский парламент, Совет Европейского Союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в Европейском Союзе. Постановление также направлено на экспорт данных из ЕС.

GDPR направлен прежде всего на то, чтобы дать гражданам контроль над собственными персональными данными, и на упрощение нормативной базы для международных экономических отношений.

Исключительное право на данный авторский материал принадлежит ООО «Профессиональные правовые системы»

Комментарии:
Оставлять комментарии могут только авторизованные посетители.