Защита персональных данных

КОНСАЛТИНГ

КОМПЛЕКСНОЕ СОПРОВОЖДЕНИЕ БИЗНЕСА ОТ СОЗДАНИЯ И ДО УСПЕХА. КОМПЛЕКСНЫЕ УСЛУГИ ДЛЯ БИЗНЕА ОТ ООО «Самые смелые мечты» (SSM — consulting): КОНСУЛЬТАЦИИ (КОНСАЛТИНГ), ПЕРЕВОДЧЕСКИЕ УСЛУГИ (30 ЯЗЫКОВ), ДИЗАЙН — СПЕЦИАЛЬНЫЙ ПРОЕКТ. Консультанты по бизнесу…Подробнее — Continue readingКОНСАЛТИНГ

Как осуществляется защита персональных данных в связи с новым блоком законодательства в этой сфере.

15.11.2021 вступил в силу новый Закон Республики Беларусь “О защите персональных данных” (далее — Закон о персональных данных).

Согласно Закону Республики Беларусь “О защите персональных данных” (далее — Закон о персональных данных) субъектами правоотношений по данному Закону являются оператор обработки данных ( абзац восьмой ст. 1 ст. 16,17 Закона о персональных данных), уполномоченное лицо (абзац 16 ст. 1 ст 18 Закона о персональных данных) и собственно физическое лицо (абз. 17 ст.1 Закона), данные которого обрабатываются и систематизируются и вносятся в регистр населения, иные аналогичные перечни. Также обработка персональных данных может быть связана с получением от физического лица этих данных коммерческими и некоммерческими организациями любой формы собственности или ИП для целей ( в случаях, указанных в ст. 5-8 Закона).

Справочно: Абзац 16 ст. 1 Закона о защите персональных данных определяет уполномоченное лицо — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах.

Абзац 8 ст. 1 определяет оператора, как  государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, — физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;

Закон о персональных данных связан с иным законодательством в этой сфере и не регулирует какие-то сами по себе возникающие отношения по сбору персональных данных.

Т.е. блок законодательства  регулирует порядок, основания, способы порядок получения персональных данных, их включения в единые базы данные, иные базы данных, которые ведутся определенными госорганами (уполномоченными организациями), а также при создании каких-либо информационных перечней и т.п. персональных данных для использования их в каких-либо целях.

Первичным в этом блоке был Закон Об информации, информатизации и защите информации.

Другими словами Закон о защите персональных данных регулирует отношения между оператором и уполномоченным лицом, а также вводит правила передачи данных за пределы Республики Беларусь, вводит уполномоченный орган по защите прав субъектов персональных данных.

Так  организация может поручить обработку данных другому лицу от ее имени (уполномоченное лицо). Тогда заключается  договор между организацией и уполномоченным, где должны быть предусмотрены (1) цели обработки данных, (2) действия, совершаемые с данными, (3) обязательство о конфиденциальности, (4) меры по защите данных.

К таким уполномоченным, в частности, можно при определенных условиях отнести сервисы аналитики, рекламы, платежные сервисы и другие.  

Т.е. Закон о защите персональных данных распространяется на  субъектов, которые: 1 — являются уполномоченными или операторами и 2 — используют персональные данные из регистра населения, любых банков данных (государственных и не государственных) для целей, определенных в статьями 5-8 Закона о персональных данных или формируют эти перечни, регистры и т.д.

В соответствии с УКАЗОМ ПРЕЗИДЕНТА РЕСПУБЛИКИ БЕЛАРУСЬ от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных»  (далее – Указ) создан Национальный центр защиты информации. Национальный центр наделяется статусом уполномоченного органа по защите прав субъектов персональных данных. Определены его основные права, задачи, функции и полномочия.

В частности, центр наделен правом проводить проверки соблюдения законодательства о персональных данных, выносить письменные требования (предписания) об устранении выявленных нарушений, требовать прекращения обработки персональных данных, если иными способами невозможно обеспечить защиту прав субъектов персональных данных.

Согласно пп. 3.2. Указа собственники (владельцы) информационных систем* и владельцы критически важных объектов информатизации, а также организации, осуществляющие лицензируемую деятельность по технической и (или) криптографической защите информации, обеспечивают:

обучение в Национальном центре защиты персональных данных не реже одного раза в три года своих работников и (или) иных лиц, в обязанности которых входит обеспечение информационной безопасности, по образовательной программе повышения квалификации руководящих работников и специалистов по вопросам технической и (или) криптографической защиты информации; ежегодное до 15 ноября представление Национальному центру защиты персональных данных информации о количестве работников и (или) иных лиц, в обязанности которых входит обеспечение информационной безопасности, для повышения их квалификации.

При этом собственники (владельцы) понимаются в значении, указанном в части первой пункта 3 Положения о технической и криптографической защите информации, утвержденного Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196.

Согласно п. 3 Положения собственники (владельцы) являются владельцы критически важных объектов информатизации; собственниками (владельцами) информационных систем, в которых обрабатывается служебная информация ограниченного распространения; собственниками (владельцами) информационных систем, в которых обрабатываются информация о частной жизни физического лица и персональные данные, за исключением информационных систем, созданных с участием резидента Парка высоких технологий либо третьими лицами и используемых резидентом Парка высоких технологий при осуществлении деятельности в соответствии с пунктом 3 Положения о Парке высоких технологий, утвержденного Декретом Президента Республики Беларусь от 22 сентября 2005 г. № 12, которая связана с разработкой и (или) применением технологии реестра блоков транзакций (блокчейн); собственниками (владельцами) информационных систем, в которых обрабатываются электронные документы; государственными органами и иными государственными организациями, а также хозяйственными обществами, в уставных фондах которых 50 и более процентов акций (долей) находится в собственности Республики Беларусь и (или) ее административнотерриториальных единиц, являющимися собственниками (владельцами) информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено; организациями, оказывающими услуги по распространению открытых ключей проверки электронной цифровой подписи, аккредитованными в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь.

Иные собственники (владельцы) информационных систем, за исключением указанных в части первой настоящего пункта, вправе руководствоваться требованиями настоящего Положения, если иное не предусмотрено законодательными актами.

Также в этой части нужно учитывать нормы Приказа ОАЦ № 66, утвердившего Положение  о порядке технической и криптографической защиты информации:

в ИС, предназначенных для обработки информации, распространение

и (или) предоставление которой ограничено, и связанные с ним НПА, исходя из которых технической и криптографической защите подлежит  информация в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам.

В пп. 3.3. Положения определяет, что операторы (уполномоченные лица)* организуют не реже одного раза в пять лет прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных. При этом согласно подстрочному примечанию к этому пункту  для целей настоящего Указа: под оператором понимается государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных; под уполномоченным лицом понимается государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах.

Согласно документу (приказ № 194) в Национальном центре защиты персональных данных будут проходить соответствующее обучение по образовательной программе повышения квалификации руководящих работников и специалистов лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, выполняющие эти функции:

в банках и небанковских кредитно-финансовых организациях;

в страховых организациях;

у операторов электросвязи (за исключением индивидуальных предпринимателей);

в республиканской и территориальных организациях по государственной регистрации недвижимого имущества, прав на него и сделок с ним;

в Белорусской нотариальной палате, областных (Минской городской) нотариальных палатах;

в риэлтерских организациях;

в организациях здравоохранения;

в местных исполнительных и распорядительных органах (за исключением сельских (поселковых) исполнительных комитетов), их структурных подразделениях с правами юридического лица;

у операторов (уполномоченных лиц), организующих и (или) осуществляющих обработку персональных данных не менее 10 тыс. физических лиц, за исключением персональных данных работников этих операторов (уполномоченных лиц) в процессе осуществления трудовой (служебной) деятельности.

Также следует обратить внимание на то, что реализация норм, изложенных в Указе № 422, в том числе дача разъяснений по вопросам применения законодательства о персональных данных и проведение иной разъяснительной работы, закреплена за уполномоченным органом по защите прав субъектов персональных данных, которым согласно Указу Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных» определен Национальный центр защиты персональных данных Республики Беларусь. Поэтому во избежание неоднозначного или субъективного толкования норм законодательства о защите персональных данных целесообразным будет обратиться с официальным запросом для получения разъяснения в Национальный центр защиты персональных данных.

Материал подготовлен для ООО «ЮрCпектр»