В ближайшее время вступит в действие новый закон о персональных данных, который будет актуален для всех организаций, работающих с клиентами. Архитектор по информационной безопасности ActiveCloud Антон Грецкий рассказал о том, кого коснется новый закон, что будет относиться к персональным данным, какие изменения должны будут произвести компании после вступления закона в силу.
Так что же такое персональные данные? Закон определяет их следующим образом:
Как любой закон, закон о персональных данных имеет свою область применения. Это важно понимать при работе с персональными данными. Так в каких случаях он работает?
А в каких нет? Вот они: Например, вы спокойно можете фотографировать своих друзей на вечеринке, а потом обмениваться фотографиями, а если на фотосессии в парке к вам в кадр попал человек – вы не нарушили закон, так как он не запрещает вести фотосъемку в общественных местах.
В отдельных случаях обрабатывать персональные данные субъекта можно без его согласия.
-
Во-первых, это касается обработки данных в рамках оперативной и следственной деятельности.
-
Во-вторых, в рамках налогового законодательства – ваша налоговая не только про вас не забудет, но имеет право собирать информацию о вашей финансовой активности.
-
И в третьих в случаях, когда субъект не может как предоставить информацию о себе, так и дать согласие на ее обработку – например, когда человек поступает в больницу после тяжелого ДТП. Также без согласия можно обрабатывать персональные данные, которые стали общедоступными – например, когда человек сам выложил в открытый доступ в социальных сетях свой номер телефона, адрес или дату рождения.
С вступлением в силу нового закона у нас появится новое действующее лицо – оператор персональных данных. Кто он такой?
То есть новый закон о персональных данных придется соблюдать любой организации и физическому лицу, которые собирают и обрабатывают данные.
Оператор персональных данных имеет право:
Поручать обработку данных третьим лицам. Например, вы можете допустить обработку данных аутсорс-разработчикам сайта для интернет-магазина, при условии получения согласия на обработку от субъектов данных. Чтобы реализовать это требование, наниматели и работники, так же будут заключать соглашения о неразглашении;
Предоставлять информацию третьим лицам. Но если, например, для доставки товара из интернет-магазина оператор должен сообщить адрес и ФИО клиента своему курьеру, сделать это без согласия клиента будет нельзя.
Обязанности оператора персональных данных будут следующие:
Важно запомнить, что обработка персональных данных будет невозможна без получения согласия субъекта данных. Это основное законное основание. Как правильно получать согласие на обработку?
Согласие субъекта имеет обязательный перечень информации, которую оно должно включать:
Субъект персональных данных - это физическое лицо, в отношении которого осуществляется сбор, обработка, распространение, предоставление персональных данных. Какие права будут у субъекта персональных данных согласно новому законодательству?
А как теперь защищать персональные данные? Как и к защите любой информации ограниченного распространения, не отнесенной к государственным секретам, требования к защите персональных данных определены в законе «Об информации информатизации и защите информации», а требования к системам защиты информации в приказе ОАЦ №62.
Однако в части защиты персональных данных закон определяет перечень обязательных мер.
Закон устанавливает, что уполномоченный орган по защите прав субъектов данных вправе требовать от оператора изменения, удаления или блокирования недостоверных, или полученных незаконным путем данных и устранения прочих нарушений закона. Других мер реагирования, которые может применить уполномоченный орган в отношении нарушителей, закон не содержит.
Меры ответственности за неправомерные действия в отношении данных уже предусмотрены в законодательстве. Согласно статье 22.13 Кодекса Республики Беларусь об административных правонарушениях (далее — КоАП) умышленное незаконное разглашение данных человеком, которому они стали известны в связи с его профессиональной деятельностью, — влечет штраф от четырех до двадцати базовых величин.
Это то, что необходимо знать о Законе о персональных данных уже сейчас. Возможно, до его вступления в силу произойдут другие изменения. Будем наблюдать. И обязательно расскажем об этом вам.
Часто задаваемые вопросы:
1. Когда планируется вступление в силу нового закона о персональных данных с РБ?
Закон после второго чтения был направлен на доработку. К примеру, изменится название закона. Планируется, что он будет называться «Закон о ЗАЩИТЕ персональных данных». Ожидается, что закон вступит в силу в марте 2020г.
2. Можно ли публиковать в открытом доступе серию и номер паспорта клиента?
Конечно, нет. Это один из видов персональных данных, который подлежит защите. В случае, если сам клиент опубликует где-то в открытых источниках эти данные, то они автоматически станут общедоступными персональными данными и требования по их защите предъявляться не будут, но это частный случай и вряд ли такое произойдет.
3. Какие требования (обязанности/ответственность) будут предъявлены к владельцам систем безопасности на объектах (системы контроля и управления доступом, системы видеонаблюдения) после принятия Закона о персональных данных?
После принятия Закона о защите персональных данных владельцы систем, в случае, если они будут являться операторами, будут обязаны реализовать меры по защите информации, указанные в данном законе. Подробнее требования по организации защиты персональных данных (информации ограниченного распространения) указаны в приказе ОАЦ №62. Помните, что предпринимаемые меры по защите информации также зависят от класса системы, в которой она обрабатывается. Класс системы определяется согласно СТБ 34.101.30-2017г.
4. Как в соответствии с нормами планируемого закона о персональных данных построить процесс обработки и хранения персональных данных при получении их по электронным каналам, например, данных из резюме кандидата на работу?
Во-первых, необходимо получить согласия субъекта на обработку данных. Удобнее всего разместить его на сайте вашей компании. После ознакомления с перечнем обрабатываемой вами информации и целями обработки, субъект может дать осознанное согласие. Далее субъект сможет загрузить резюме или заполнить форму прямо на вашем сайте. Помните, что вы обязаны в любой момент удалить всю информацию о субъекте и прекратить обработку его данных, как только он этого потребует. Так же, без согласия субъекта резюме, к примеру, не может быть передано из одной компании в другую с той же целью – найма на работу.
5. Какие действия в рамках планируемого к принятию закона необходимы при получении от клиента заявления об отзыве/запрете на обработку персональных. Например, клиент-физлицо является должником компании, после начала процесса досудебного взыскания (письма, телефонные звонки и т.д.) компания получает от клиента-должника заявление об отзыве/запрете на обработку персональных данных. Какие действия и каким образом может далее предпринимать компания?
В случае, если клиент является должником компании, но в процессе досудебного взыскания вдруг решает заявить об отзыве/запрете на обработку своих персональных данных вам следует обратиться в суд. В таком случае сразу же начнут действовать иные нормы законодательства, а предоставление персональных данных судебным органам в рамках процесса, даже в случае если субъект данных против (а это всегда так) не противоречит нормам Закона.
6. Произошло слияние двух компаний А и В. Вся клиентская база компании А перешла в компанию В. У компании А были письменные (или иные) разрешения от клиентов на обработку персональных данных. У компании В нет разрешений на обработку клиентов компании А. Каким образом и на основании каких норм законодательства компания В может осуществлять обработку персональных данных пула клиентов компании А?
Для осуществления компанией B обработки персональных данных пула клиентов компании А ей необходимо получить согласие каждого клиента из пула. Процедура получения согласия и его содержание описано выше. В случае отсутствия согласия каждого конкретного клиента, обработка его персональных данных невозможна.
7. Будет ли установлена по новому закону:
- необходимость аттестации негосударственной информационной системы в связи с хранением в ней персональных данных.
- необходимость аттестации негосударственной информационной системы если планируется ее взаимодействие с государственными информационными системами.
Нет, данные нормы закон не затрагивает. Они регулируются Законом «Об информации, информатизации и защите информации» и приказом ОАЦ №62.
8. Предусмотрена ли новым законом о персональных данных ОБЯЗАТЕЛЬНАЯ аттестация уполномоченными организациями используемых информационных систем субъектов хозяйствования РБ (например таких как: CRM, 1С, собственные кадровые БД и т.п.), содержащих персональные данные (или их отдельные элементы: имя, фамилию, телефон)? Если да, то в какие сроки?
Данный закон не касается вопросов, связанных с аттестацией. Хочу обратить внимание, что аттестации подлежит не информационная система, а система защиты информации информационной системы. Закон «Об информации, информатизации и защите информации» говорит о том, что системы защиты информации любых информационных систем (не зависимо от формы собственности) должны быть аттестованы, если в информационных системах обрабатывается информация ограниченного распространения. В то числе и персональные данные.
Вопрос о защите персональных данных в соответствии с требованиями нового закона становится все более актуальным. Как правильно реализовать поставленную задачу?
Компания ActiveCloud окажет вам услуги по IT-консалтингу, проведет аудит и поможет построить эффективную и экономически обоснованную систему защиты информации, проведет аттестацию уже существующей системы защиты информации или выполнит работы по актуализации в связи с изменениями в законодательстве.
Присылайте свои вопросы по информационной безопасности и защите персональных данных на е-мейл: infosec@activecloud.com
