Персональные данные беларусь

Помощь по теме: "Персональные данные беларусь" с полным описанием проблематики и решением. Ели у вас есть вопросы, то обратитесь к дежурному консультанту.

GDPR — регламент по защите персональных данных. Уже сегодня!

Сегодня, 25 мая 2018, в Европейском Союзе вступает в силу General Data Protection Regulation (GDPR; рус. — Общий регламент защиты персональных данных).

GDPR регламентирует процесс обработки персональных данных и распространяет свое действие не только на компании из ЕС, но и на компании из других стран, в том числе из Беларуси.

Партнер международной юридической компании PETERKA & PARTNERS Наталия Аношка разобралась, что изменилось для белорусских компаний в сфере защиты персональных данных и на что следует обратить внимание, чтобы не нарушать GDPR.

КТО ОБЯЗАН СОБЛЮДАТЬ РЕГЛАМЕНТ?

Все компании, обрабатывающие персональные данные физических лиц находящихся на территории ЕС, и:

  • предлагающие товары или услуги субъектам данных ЕС как на возмездной, так и на безвозмездной основе, или
  • осуществляющие мониторинг субъектов данных ЕС.

Под действие GDPR могут попадать компании из различных индустрий, обрабатывающие персональные данные, в частности, такие как:

  • разработчики онлайн-игр, мобильных приложений и интернет-магазины;
  • финансовые, транспортные и фармацевтические компании;
  • туристические, медиа и телеком-организации;
  • и многие другие.

Справочно: обработка персональных данных включает в себя сбор, запись, организацию, структурирование, хранение, переработку или изменение, восстановление, использование, раскрытие посредством передачи, рассылку или иной способ предоставления для доступа, совмещение или комбинирование, ограничение, стирание или уничтожение информации.

КАКИЕ ШТРАФЫ ГРОЗЯТ ЗА НАРУШЕНИЕ РЕГЛАМЕНТА?

С сегодняшнего дня, каждая компания, обрабатывающая персональные данные и попадающая под действие GDPR, вне зависимости от ее размеров и направления бизнеса, обязана соблюдать требования о защите персональных данных. Несоблюдение GDPR может повлечь не только репутационные риски, но и серьезные административные штрафы за отдельные нарушения предусмотрен штраф в размере до 20 млн евро или 4% от годового оборота (процент может быть посчитан от оборота международной группы компаний, а не одного субъекта-нарушителя).

ЧТО ОТНОСИТСЯ К ПЕРСОНАЛЬНЫМ ДАННЫМ?

Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»), например, имя, адрес электронной почты, местоположение человека, профессия, пол, здоровье, любые связанные с этим элементы данных.

GDPR подразделяет субъекта данных на:

  • идентифицированное физическое лицо (фотография в паспорте человека);
  • идентифицируемое физическое лицо (у вас есть фотография, загрузив которую в поисковик Google, вы может идентифицировать изображенного на ней человека).

ЧТО ОБЯЗАНЫ ДЕЛАТЬ КОМПАНИИ, ЧТОБЫ СОБЛЮДАТЬ GDPR ?

  • Получать согласие на обработку:

Компания должна получить или обеспечить получение согласия субъекта данных на обработку персональных данных. При этом важным фактом является выражение согласия субъекта посредством ясного утвердительного действия, устанавливающего конкретное и однозначное указание на согласие. Согласие не может быть выражено в виде молчания, ранее проставленной галочки при посещении сайта или бездействия. Если обработка данных имеет несколько целей, то согласие нужно запросить для каждой из этих целей. Субъект данных должен иметь право легко предоставить и отозвать свое согласие.

Обработка «чувствительных» персональных данных:

Чувствительные персональные данные (расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения и т.д.) заслуживают особой защиты, поскольку контекст их обработки может создать значительные риски для основных прав и свобод. Их обработка без прямого согласия субъекта данных или в предусмотренных GDPR случаях запрещена.

  • Обеспечить должный уровень защиты:

Для обеспечения безопасности обработки GDPR предлагает такой способ защиты как псевдонимизация, который означает обработку персональных данных таким образом, что персональные данные не могут быть соотнесены с конкретным субъектом данных без использования дополнительной информации.

Источник: http://news.tut.by/probusiness/594101.html

Защита персональных данных в ЕС и Беларуси

Мы регистрируемся в сети Интернет, пишем обращения и др. Наши персональные данные попадают к третьим лицам. Такая информация нуждается в защите от случайного распространения и использования. Что важно знать о защите персональных данных?

Персональные данные жителей Евросоюза

В ЕС с 25 мая 2018 г. применяется Регламент (ЕС) N 2016/679 Европейского парламента и Совета ЕС о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (GDPR). Регламент касается защиты персональных данных жителей Евросоюза. Поэтому о GDPR важно знать:

— белорусским организациям, их представительствам в ЕС, которые сотрудничают на территории ЕС с физическими лицами или нацеливают на них свои продажи товаров, услуг, в том числе проводя мониторинг спроса и т.д.;

— учрежденным в ЕС субъектам, которые обрабатывают персональные данные.

Положения GDPR стоит учитывать и тем белорусским компаниям, которые оказывают физическим лицам финансовые и иные услуги, продают товары, используя системы международных расчетов, платежную инфраструктуру, расположенную в государствах — членах ЕС. Это важно для поддержания конкурентоспособности компаний на европейском рынке.

Оригинальный текст GDPR можно найти по ссылке. Регулирующий орган по защите данных в ЕС — это Европейский совет по защите данных (EDPB). На сайте EDPB можно найти руководства по применению GDPR и иную информацию о защите персональных данных. По запросу в google можно найти тексты неофициальных переводов GDPR на русский язык.

Под обработкой персональных данных в GDPR понимается любая операция (операции), которая осуществляется с персональными данными. Например, сбор, запись, организация, структурирование, хранение.

Четкого перечня персональных данных GDPR не устанавливает. К ним относится любая информация, которая позволяет идентифицировать физическое лицо, в том числе об имени, местоположении, идентификатор в режиме онлайн и др. В отношении анонимных персональных данных GDRP не применяется, когда невозможно установить кто их предоставил..

GDPR запрещает обработку особых персональных данных: расовое или этническое происхождение, политические взгляды, религиозные убеждения или философские воззрения, членство в профессиональном союзе, а также обработку генетических данных, биометрических данных для однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица. Однако в некоторых случаях обработка таких данных возможна. В частности, когда само физлицо сделало эти данные общедоступными.

Читайте так же:  Порядок подачи жалобы в апелляционную инстанцию

Как обрабатывать персональные данные в ЕС:

1. Получить согласие на обработку.

На каждое действие по обработке нужно получить согласие физлица.

На заметку
Когда персональные данные нужны только для заключения договора с физлицом, его согласие получать не нужно.

Согласие должно быть добровольным и однозначным. Оно может быть письменным или выраженным простановкой галочки/крестика при посещении интернет-сайта; это может быть выбор технических настроек для услуг на сайте или другой способ поведения, который четко указывает на то, что физлицо в указанном контексте согласно на запланированную обработку своих персональных данных. При этом у физлица есть право отозвать свое согласие. Рекомендуют получать отдельное согласие на каждый вид обработки персональных данных: на сбор, хранение, распространение, передачу.

На заметку
Согласием физлица на обработку персональных данных не являются: молчание, уже проставленная галочка/крестик или бездействие.

2. Ознакомить физлицо с информацией.

Нужно ознакомить физлицо как минимум с идентификационными данными организации, которая получает данные, и целью (целями) их обработки. Например, в трудовых отношениях по GDPR персональные данные работников могут обрабатываться на основе их согласия в целях выполнения трудового договора.

Физлицо имеет право получить любую информацию об обработке своих персональных данных; потребовать внесения изменений в свои данные, потребовать их удаления («право на забвение»); передать свои данные другой организации; возражать против обработки своих персональных данных.

На заметку
Необходимо при первом общении с физлицом сообщить ему о его правах на возражения против обработки относящихся к нему персональных данных, а также против обработки относящихся к нему персональных данных для целей прямого маркетинга, включая формирование профиля.

3. Назначить своего представителя в государстве, входящем в Евросоюз.

Белорусским организациям, которые нацеливают продажи своих товаров и услуг на физлиц — граждан государств ЕС, нужно в письменной форме назначить своего представителя в Евросоюзе. Представитель назначается в одном из государств — членов ЕС, в котором находятся физлица, персональные данные которых обрабатываются. Представителя нужно уполномочить решать совместно с представляемой организацией или вместо нее все связанные с обработкой вопросы, особенно с надзорными органами и субъектами данных — физлицами.

4. Вести учет обработки персональных данных.

Организация или ее представитель должны вести учет обработки персональных данных и учет деятельности, связанной с обработкой. В частности, в учетные сведения нужно включить фамилию и контактные сведения обрабатывающего данные лица или лиц и данные об организации, от имени которой действует указанное лицо, ее представителя (при наличии) и инспектора по защите персональных данных. Инспектор — это эксперт, который дает консультации по построению работы согласно GDPR, проводит аудит обработки персональных данных. Это не обязательно сотрудник компании, инспектором может быть сторонний эксперт по договору оказания услуг. Сотрудничество с инспектором обязательно только для некоторых компаний. Например, тех, которые ведут масштабный мониторинг (сбор) персональных данных, в том числе особых. Однако получать консультации инспектора возможно и полезно всем компаниям, которые обрабатывают персональные данные.

Учетные сведения должны сохраняться в письменном виде, в том числе в электронной форме. Такие сведения представляются надзорным органам по их требованию.

На заметку
Вести учетные сведения не нужно, когда в организации работает менее 250 человек, кроме случаев, когда обработка связана с риском для прав и свобод физлиц, обработка не носит случайный характер или включает в себя специальные категории данных (особые данные), или персональные данные, связанные с судимостями и преступлениями.

5. Уведомлять об утечке персональных данных.

Об утечке персональных данных организация должна в течение 72 часов уведомить надзорный орган, действующий на территории соответствующего государства ЕС. Уведомлять физлицо об утечке его персональных данных нужно, когда утечка может привести к высокой степени риска для прав и свобод физических лиц. Когда уведомление каждого физлица требует несоразмерных усилий, делается информирование общественности, например, в СМИ, или рассылка.

А что у нас

К персональным данным относятся основные и дополнительные персональные данные, которые вносятся в регистр населения, а также иные данные, позволяющие идентифицировать лицо . Основные персональные данные — это, в частности, фамилия, собственное имя, отчество, пол, число, месяц, год и место рождения, цифровой фотопортрет. Дополнительные персональные данные — это сведения о высшем образовании, налоговых обязательствах, об исполнении воинской обязанности и др. Если иного не требует законодательство, то на сбор, обработку, хранение информации о частной жизни физического лица и персональных данных, а также пользование ими нужно получить письменное согласие физлица . Однако ответственность за отсутствие такого согласия не установлена.

Для сближения с общемировой практикой защиты персональных данных разработан проект Закона, который вынесен на общественное обсуждение до 11 августа 2018 г. По Проекту к персональным данным принадлежит любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано на основании такой информации. На каждое действие с персональными данными потребуется согласие физлица, выраженное в письменной либо в электронной форме. Организации и физлица, которые имеют дело с персональными данными, названы операторами. Будет определен уполномоченный орган по защите прав субъектов персональных данных.

Источник: http://ilex.by/news/zashhita-personalnyh-dannyh-v-es-i-belarusi/

В ожидании Закона Республики Беларусь «О персональных данных»

ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПО ЗАКОНОДАТЕЛЬСТВУ РЕСПУБЛИКИ БЕЛАРУСЬ ДО ВСТУПЛЕНИЯ В СИЛУ ЗАКОНА «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Конституция Республики Беларусь гарантирует каждому право на защиту от незаконного вмешательства в его личную жизнь, в том числе от посягательства на тайну его корреспонденции, телефонных и иных сообщений, на его честь и достоинство. Все перечисленные гарантии в той или иной мере связаны с понятием «персональные данные» субъекта. Что же такое персональные данные и какие основные аспекты защиты персональных данных в настоящее время урегулировано белорусским законодательством?

  1. Что такое персональные данные?

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Основные персональные данные:

Дополнительные персональные данные:

1. идентификационный номер;

2. фамилия, собственное имя, отчество (если таковое имеется);

4. дата рождения;

5. место рождения;

6. цифровой фотопортрет;

7. данные о гражданстве (подданстве);

8. данные о регистрации по месту жительства и (или) месту пребывания;

9. данные о смерти или объявлении ФЛ умершим, признании безвестно отсутствующим, недееспособным, ограничено дееспособным;

Читайте так же:  Образец поворота исполнения судебного приказа

1. о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) ФЛ;

2. о высшем образовании, ученой степени, ученом звании,

3. о пенсии, ежемесячном денежном содержании по законодательству о гос. службе, ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний;

4. о налоговых обязательствах;

5. об исполнении воинской обязанности;

6. об инвалидности;

а также иные данные, позволяющие идентифицировать такое лицо.

  • К понятию «персональные данные» можно отнести абсолютно любые данные, если с помощью таких данных можно идентифицировать физическое лицо, так как законодательством не установлен перечень «иных данных».

Например, если лицо на законных основаниях может получить доступ к данным, которые в совокупности с IP-адресом позволят идентифицировать физическое лицо (если гос. орган вправе запросить данные аккаунта у интернет-провайдера), в руках такого лица IP-адрес является персональными данными.

  1. Как обрабатываются персональные данные?
  • Персональные данные относятся к информации, распространение и (или) предоставление которой ОГРАНИЧЕНО.

Действия:

Ограничения:

Примеры/исключения:

Никто не вправе требовать предоставления информации о частной жизни и персональных данных

помимо воли физического лица

Исключение: если иное не установлено законодательными актами Республики Беларусь.

Например, в п. 65 Указа Президента Республики Беларусь от 22.12.2018 №490 «О таможенном регулировании», установлено, что таможенные органы вправе без письменного согласия физических лиц:

собирать, обрабатывать, хранить и использовать персональные данные физических лиц;

получать безвозмездно персональные данные физических лиц от государственных органов, иных организаций, в том числе из информационных ресурсов и систем, содержащих персональные данные;

иметь доступ, включая удаленный, к информационным ресурсам и системам, содержащим такие данные.

Сбор, обработка, хранение, пользование персональных данных

ограничивается письменным согласием физического лица

Порядок получения, передачи, сбора, обработки, накопления, хранения и предоставления персональных данных

устанавливается законодательными актами

Например, порядок установлен для персональных данных, регулируемых Законом Республики Беларусь от 21.07.2008 «О регистре населения».

  • Некоторые организации, работающие с большим потоком персональных данных, самостоятельно разрабатывают локальные нормативные акты, регулирующие порядок работы с персональными данными.
  1. Для каких действийс персональными данныминужно согласие физического лица?

Действия:

Форма согласия:

Исключения:

Сбор персональных данных

ПИСЬМЕННОЕ СОГЛАСИЕ ФИЗИЧЕСКОГО ЛИЦА

Исключение: если иное не установлено законодательными актами Республики Беларусь.

Например, для реализации Декрета Президента Республики Беларусь от 2 апреля 2015 г. № 3 «О содействии занятости населения», предоставление, сбор, обработка, хранение, использование персональных данных граждан осуществляются без их письменного согласия с соблюдением требований, определенных законодательными актами, по защите информации, распространение и (или) предоставление которой ограничено.

Обработка персональных данных

Хранение персональных данных

Пользование персональными данными

Последующая передача персональных данных

Ознакомление с персональными данными

4. Что должно содержать согласие?

  • В законодательство не определенно, что должно содержаться в письменном согласии, предоставляемом физическим лицом. Однако, в согласии целесообразно предусмотреть следующее:
  1. Фамилия, имя, отчество физического лица, чьи данные собираются.

2.Перечень персональных данных, на сбор обработку, хранение, распространение, предоставление которых дается согласие.
3. Цели сбора, обработки, распространения, предоставления персональных данных.

  1. 4. Перечень действий, на совершение которых дается согласие.
  2. 5. Срок, на который дается согласие.
  3. 6. Порядок отзыва согласия.

5. Как защищаются персональные данные?

МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Правовые:

2. Организационные:

3. Технические:

Видео (кликните для воспроизведения).

Заключаемые обладателем информации с пользователем информации договоры, в которых устанавливаются условия пользования информацией, а также ответственность сторон по договору за нарушение указанных условий.

Обеспечение особого режима допуска на территории (в помещения), где может быть осуществлен доступ к информации (материальным носителям информации);

разграничение доступа к информации по кругу лиц и характеру информации.

Понятие:

Деятельность, позволяющая обеспечить конфиденциальность, целостность, доступность и сохранность информации

средств криптографической защиты.

Деятельность, позволяющая обеспечить конфиденциальность, контроль целостности и подлинности информации

средств криптографической защиты.

Средства защиты:

технические, программные, программно-аппаратные средства защиты информации, предназначенные для контроля эффективности защищенности информации и для ее защиты от:

— блокирования правомерного доступа;

— иного неправомерного воздействия.

технические, программные, программно-аппаратные средства защиты информации, реализующие:

— один или несколько криптографических алгоритмов (шифрование, выработка и т.д.);

— функции управления криптографическими ключами;

— механизмы идентификации и аутентификации.

Меры по защите персональных данных от разглашения должны быть приняты с момента, когда персональные данные были предоставлены физическим лицом, к которому они относятся, другому лицу либо, когда предоставление персональных данных осуществляется в соответствии с законодательными актами Республики Беларусь. Меры должны приниматься до:

уничтожения персональных данных,
— обезличивания
персональных данных,
получения письменного согласия

физического лица, к которому эти данные относятся, на их разглашение.

  • Субъекты информационных отношений, получившие персональные данные в нарушение требований настоящего Закона и иных законодательных актов Республики Беларусь, не вправе пользоваться ими.

6. Какая ответственность предусмотрена за нарушение правил обращения с персональными данными?

Виды ответственности:

Действия:

Санкции:

Административная

умышленное незаконное разглашение персональных данных лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, если в этих деяниях нет состава преступления.

штраф в размере от 4 до 20 базовых величин

нарушение требований законодательных актов по осуществлению идентификации абонентских устройств при оказании интернет-услуг и (или) пользователей интернет-услуг в пунктах коллективного пользования интернет-услугами, учету и хранению сведений об абонентских устройствах, персональных данных пользователей интернет-услуг, а также сведений об оказанных интернет-услугах.

  • НЕ УСТАНОВЛЕНА ОТВЕТСВЕННОСТЬ ЗА СБОР, ОБРАБОТКУ, ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОГРАНИЧЕН СУБЪЕКТНЫЙ СОСТАВ.

штраф в размере от 5 до 20 базовых величин

использование не прошедших подтверждение соответствия требованиям технических нормативных правовых актов в области технического нормирования и стандартизации информационных систем, баз и банков данных, а также средств защиты информации, если они в соответствии с законодательством подлежат обязательному подтверждению соответствия (за исключением средств защиты сведений, составляющих государственные секреты),

-штраф от 5 до 20 базовых величин

— штраф от 10 до 20 базовых величин для ИП

— штраф от 100 до 200 базовых величин для ЮЛ

Уголовная

Незаконные собирание либо распространение сведений о частной жизни, составляющих личную или семейную тайну другого лица, без его согласия, повлекшие причинение вреда правам, свободам и законным интересам потерпевшего

Читайте так же:  Пример апелляционной жалобы на районный суд

общественные работы, штраф, или арест

те же действия, совершенные с использованием специальных технических средств, предназначенных для негласного получения информации, либо должностным лицом с использованием своих служебных полномочий

лишение права занимать определенные должности или заниматься определенной деятельностью со штрафом, либо ограничением свободы на срок до 3 лет со штрафом, либо лишением свободы на тот же срок со штрафом

7.Какие изменения планируют внести в работу с персональными данными?

  • Планируется принять закон «О персональных данных», в котором будут урегулированы, в том числе следующие вопросы:
  • общие требования к сбору, обработке, распространению, предоставлению персональных данных;
  • порядок получения согласия, в том числе в виде электронного документа или в иной электронной форме;
  • трансграничная передача персональных данных;
  • права субъектов персональных данных и обязанности операторов;
  • порядок создания уполномоченного органа по защите прав субъектов персональных данных.

Материал подготовлен с использованием правовых актов по состоянию на 1 ноября 2019 г.

Источник: http://itsec.by/ru/articles/law/personal-data

Регулирование персональных данных в Беларуси: что нужно знать

В последнее время вопрос защиты персональных данных все более на слуху: он постоянно фигурирует в СМИ, на него обращают внимание как частный сектор, так и государство. В конечном итоге и обычные граждане задумываются, что происходит с той личной информацией, которую о них собирают государственные органы и частные компании: уж слишком много ситуаций, в которых нашим гражданам необходимо делиться своей частной информацией – от регистрации в поликлинике и до использования большинства интернет-ресурсов.

В зарубежных странах законодательство о защите персональных данных отличается динамичностью – так в Европейском союзе в прошлом году был принят новый Регламент о защите персональных данных взамен старой Директивы, в Российской Федерации значительно увеличился размер административных санкций за нарушения, связанные с неправомерным сбором, хранением, обработкой и использованием персональных данных, в США происходят нескончаемые дебаты о пределах вмешательства государства в личную жизнь человека.

В Беларуси на этом фоне тема защиты персональных данных выглядит побочной повесткой: только в этом году планируется утвердить концепцию закона о персональных данных и в 2018 году уже принять сам закон.

Тимофей Савицкий, юридическая фирма COBALT, рассмотрит основные аспекты защиты персональных данных, которые на настоящий момент урегулированы белорусским законодательством.

Что такое персональные данные?

В соответствии Закон Республики Беларусь от 10.11.2008 N 455-З (ред. от 11.05.2016) «Об информации, информатизации и защите информации» (далее – Закон об информации), персональные данные — основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами Республики Беларусь внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо. Персональные данные относится к информации, распространение и предоставление которой ограничено.

Закон Республики Беларусь от 21.07.2008 N 418-З (ред. от 04.01.2015) «О регистре населения» (далее – Закон о регистре населения) определяет следующие основные персональные данные: идентификационный номер, фамилия, собственное имя, отчество, пол, число, месяц, год рождения, место рождения, цифровой фотопортрет, данные о гражданстве (подданстве), данные о регистрации по месту жительства и (или) месту пребывания, данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным.

Дополнительными персональными данными, в соответствии с Законом о регистре населения, являются: данные о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица, о высшем образовании, ученой степени, ученом звании, о роде занятий, о налоговых обязательствах и некоторые иные.

Закон об информации содержит расширительную формулировку «и иные данные, позволяющие идентифицировать такое лицо», что свидетельствует о том, что белорусское законодательство не ограничивается перечнем, установленным Законом о регистре населения, но распространяет свое действие на любую информацию, способную идентифицировать определенное лицо.

Закон об информации, тем не менее, не уточняет, о какой идентификации идет речь – прямой или косвенной. Некоторые виды данных (например, IP-адрес) могут лишь косвенно идентифицировать субъекта – в совокупности с иными данными. В законодательстве большинства западных государств подобный аспект урегулирован и «косвенные» персональные также подлежат такой же защите, как и «прямые». Белорусское законодательство пока не содержит таких деталей.

Обязательное письменное согласие на сбор, обработку, хранение и пользование

В соответствии с Законом об информации при сборе, обработке, хранении персональных данных необходимо получать согласие физического лица, к которому эти персональные данные относятся. При этом, согласие должно быть дано в письменной форме.

Ни Закон об информации, ни иные нормативно-правовые акты не уточняют, что подразумевается под согласием в «письменной форме». Гражданский кодекс лишь содержит определение того, чем является совершение сделки в письменной форме, – к нему, например, относится и обмен факсимильными подписями и иными аналогами подписей.

Применение подобного положения возможно по аналогии и к выражению согласия на сбор, обработку, хранение и пользование персональными данными. Тем не менее, в отсутствие четкого указание на форму согласия в законодательстве, многие субъекты (например, визовые центры при обработке анкет) вынуждены собирать подписи «вручную» — при помощи форм-согласий, которые подписываются лицом, к которому относятся персональные данные.

Подобное положение, к слову, затрудняет работу многим компаниям – простых кликов «я согласен» в некоторых случаях бывает недостаточно, и формально может возникнуть нарушение Закона об информации. Некоторые компании (в частности, онлайн-магазины) включают согласие на сбор персональных данных в публичные договоры (договоры присоединения), заключение которых возможно простым присоединением (например, покупкой товара в магазине). Законодательно они приравниваются к письменным. Тем не менее, здесь речь опять-таки идет о письменной форме договора, а не согласия как такового.

Принятие мер по защите персональных данных

Закон об информации налагает обязательство на любое лицо, собирающее персональные данные, принимать меры по их надлежащей защите до момента, когда лицо, к которому относятся персональные данные, дает согласие на их разглашение либо до момента обезличивания персональных данных.

Закон не содержит точных указаний на то, какими эти меры должны быть. Тем не менее, исходя из практики и применяемых подзаконных актов, под защитой персональных данных как информации, распространение которой ограничено, понимаются организационные и технические меры защиты (например, предусмотренные приказом ОАЦ № 62). К организационным мерам может относится принятие внутренних положений по работе с персональным, к техническим – применение криптографической защиты.

Читайте так же:  Проблемы комиссий по делам несовершеннолетних

Обязательное письменное согласие на последующую передачу персональных данных

Как и в случае со сбором персональных данных, любой трансфер нуждается в отдельном письменном согласии лица, к которому эти персональные данные относятся. Такое согласие может быть получено непосредственно при сборе персональных данных. Здесь, тем не менее, также возникает вопрос о возможности получения электронного согласия.

С учетом того, что трансграничная передача данных сейчас стала нормальной практикой (особенно в ИТ-сфере), необходимость получения согласия в письменной форме не способствует упрощению и ускорению информационного обмена.

Право на ознакомление с персональными данными

Любое лицо, о котором собираются персональные данные, имеет право на ознакомление с тем, какие и в каком объеме персональные данные содержатся о нем в определенных системах (у определенных лиц).

Ответственность за нарушение законодательства о персональных данных

Административной ответственности за нарушение законодательства о персональных данных пока нет. В настоящий момент известно, что в КоАП будут вноситься изменения, согласно которым за нарушение законодательства о персональных данных будет налагаться штраф до 20 базовых величин.

Уголовный кодекс содержит статью 179 («незаконное собирание либо распространение информации о частной жизни), однако на практике она не применяется для ситуаций по незаконному разглашению и распространению персональных данных.

Что дальше?

Как видно из анализа текущего законодательства Республики Беларусь в области защиты персональных данных, в настоящее время оно достаточно фрагментарно и затрагивает лишь следующие аспекты:

  1. Дефиницию персональных данных;
  2. Необходимость получения письменного согласия при сборе, обработке, хранении, пользовании и последующей передаче персональных данных;
  3. Обязанность по принятию мер по защите персональных данных;
  4. Право субъектов на получение информации о том, какие персональные данные о нем собраны и в каком объеме.

В законодательстве пока не содержится разграничения на чувствительные (например, данные о здоровье) и нечувствительные персональные данные (у чувствительных данных большая защита), конкретных обязанностей обработчиков персональных данных и прав субъектов персональных данных, санкций за нарушение законодательства о персональных данных и многих иных принципов, принятых в европейских государствах, Российской Федерации и многих других странах.

Отсутствие профильного регулирования имеет ряд негативных последствий как для граждан, так и для бизнеса, таких как, например, низкая защита прав и интересов граждан, неопределенность международного бизнеса при выходе на рынок Беларуси, противоречивость применения норм действующего законодательства. Закон о персональных данных (2018) ставит свой целью разрешить выделенные проблемы.

Источник: http://www.kv.by/post/1050760-regulirovanie-personalnyh-dannyh-v-belarusi-chto-nuzhno-znat

Защита персональных данных в Беларуси

О необходимости защиты персональных данных сегодня не говорит только ленивый. В эпоху всеобщего распространения информационных технологий проблема сохранности подобных данных стала особенно волновать специалистов по безопасности практически всех организаций. К сожалению, приходится констатировать, что белорусские организации пока уделяют недостаточно внимания этому вопросу.

В настоящее время в большинстве стран мира под персональными данными принято понимать любую информацию, относящуюся к определяемому с её помощью человеку (физическому лицу). К подобным сведениям относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, номера паспорта и карточки социального страхования и т.д. Кроме того, к персональным данным относятся сведения о семейном, социальном, имущественном положении, образовании, профессии, доходах.

Персональные данные относятся к сведениям конфиденциального характера, и потому должны защищаться от посторонних глаз. Защита их регламентируется в белорусском законодательстве законом «Об информации, информатизации и защите информации». В частности, именно в 32-й стать этого закона оговаривается необходимость защиты персональных данных:

«Меры по защите персональных данных от разглашения должны быть приняты с момента, когда персональные данные бы ли предоставлены физическим лицом, к которому они относятся, другому лицу либо когда предоставление персональных данных осуществляется в соответствии с законодательными актами Республики Беларусь.

Последующая передача персональных данных разрешается только с согласия физического лица, к которому они относятся, либо в соответствии с законодательными актами Республики Беларусь. Меры, указанные в части первой на стоящей статьи, должны приниматься до уничтожения персональных данных, либо до их обезличивания, либо до получения согласия физического лица, к которому эти данные относятся, на их разглашение».

Впрочем, даже если бы в законодательстве не была прописана необходимость защиты персональных данных, их все равно стоило бы защищать в силу высокой вероятности негативных последствий, сопровождающих каждую утечку информации – в том числе, и утечку персональных данных.

Чем чреваты утечки персональных данных

Любая утечка информации в конечном итоге оборачивается финансовыми потерями для допустившей её организации – это подтверждается многолетними данными, собранными производителями средств защиты от утечек информации. Утечки персональных данных не являются в этом смысле исключениями из правил.

При этом, как правило, убытки от утечек данных весьма ощутимы: так, согласно отчетам британской исследовательской организации Ponemon Institute, средняя стоимость утечки информации в 2008 г. составила около 2,7 млн. долларов. При этом такая «цена» характерна для сравнительно небольшой по своим масштабам утечки данных, поскольку крупные инциденты, связанные с обнародованием конфиденциальной информации, обходятся допустившим их организациям куда дороже. К примеру, в 2008-м году Bank of New York допустил утечку информации о нескольких десятках тысяч своих клиентах, обошедшуюся ему в $866 млн. А в 2009-м три подразделения британской группы компаний HSBC были оштрафованы на сумму более £3 млн. за неспособность обеспечить адекватную защиту данных своих клиентов от утечки и кражи.

Из чего складывается «стоимость» утечки персональных данных? Основными факторами, приводящими к убыткам, являются следующие:

  • штрафы за утечки данных от контролирующих органов;
  • ущерб в результате действий злоумышленников, завладевших персональными данными клиентов;
  • судебные иски от пострадавших в результате утечки информации клиентов;
  • отток клиентов и партнеров, опасающихся новых утечек данных;
  • уход компетентных сотрудников, утративших доверие к руководству организации;
  • долгосрочные последствия ущерба, нанесенного утечкой персональных данных репутации организации.

Белорусские реалии

У читателя может возникнуть впечатление, что все угрозы, связанные с утечками информации, актуальны только для западных компаний, в то время как государственным и коммерческим организациям, работающим в Беларуси, убытки в результате утечек персональных данных вовсе не грозят. Тем не менее, как показывают исследования, проведенные совместно ООО «НПТ», компанией-интегратором комплексных систем информационной безопасности, и «Компьютерными вестями», отечественным организациям также не стоит расслабляться и откладывать на потом защиту персональных данных.

Читайте так же:  Министр по делам несовершеннолетних

На вопрос «По вашему мнению, может ли повредить утечка персональных данных обычному человеку?» белорусы ответили следующим образом: «Скорее да, чем нет» ? 77.2%; «Скорее нет, чем да» ? 18.6%; «Затрудняюсь ответить» ? 4.2%. Вопрос «Опасаетесь ли вы утечки персональных данных из организаций, которым вы их доверили?» также продемонстрировал общую обеспокоенность респондентов этой проблемой: 61.9% опрошенных ответили «Да, меня это беспокоит», 10.7% ? «Нет, я доверяю операторам персональных данных», и 27.4% ? «Не вижу смысла беспокоиться об этом». А при ответе на вопрос «Подадите ли вы в суд на организацию, допустившую утечку ваших персональных данных?» голоса респондентов распределились следующим образом: «Да, поскольку ущемлены мои права» ? 63.7%; «Да, это легкий способ «срубить денег»» ? 11.2%; «Нет, я не считаю, что это мне чем-то грозит» ? 14.4%; «Нет, нужно уметь прощать подобные ошибки» ? 10.6%.

Таким образом, не стоит надеяться на то, что утечка персональных данных будет воспринято клиентами и партнерами как что-то само собой разумеющееся. Как показывает опрос, жители нашей страны уже в полной мере осознают угрозы, которые несут в себе утечки персональных данных, а потому готовы бороться за свои права, которые подобного рода инциденты нарушают.

Недостаточная защищенность организаций

Стоит отметить, что это же исследование показало не только заинтересованность участников опроса в защите своих персональных данных от утечек, но также и недостаточную защищенность организаций от утечек информации и, в частности, персональных данных. При этом сотрудники демонстрируют практически единодушную готовность делиться закрытой корпоративной информацией со всеми желающими за вознаграждение, что еще больше усугубляет проблему.

На вопрос «Используют ли в вашей организации систему защиты от утечек информации?» положительно ответили только 27,9% всех респондентов. Уверенность в том, что такой системы в тех организациях, где они работают, нет, выразили 47.4% опрошенных, и ещё 24.7% сообщили о том, что не знают, есть такая система или нет. Впрочем, даже если предположить, что хотя бы на половину случаев «не знаю» приходится реально действующая в организации система защиты от утечек, защищенность от подобного рода угроз в среднем по нашей стране оставляет желать лучшего. Более того, подавляющее большинство организаций проявляет вопиющее пренебрежение к вопросам обеспечения информационной безопасности, что показывает распределение ответов на вопрос «Кто отвечает за вопросы информационной безопасности в вашей организации?». Подавляющее большинство респондентов (34.7%) выбрали вариант «Никто не отвечает», второй по популярности ответ – «ИТ-отдел» (32.6%), на третьем месте – «Затрудняюсь ответить» (13.5%). Ещё 6.7% сотрудников, участвовавших в исследовании, ответили, что в их организациях такими вопросами занимается отдел внутренней безопасности, и только 12.4% опрошенных сообщили о том, что в их организациях есть специальный отдел информационной безопасности.

Не менее интересна статистика и по вопросам, связанным с готовностью сотрудников способствовать распространению конфиденциальной информации, и, в том числе, персональных данных. На вопрос «Готовы ли вы перейти на работу с большей зарплатой к конкурентам, при условии передачи им конфиденциальных данных?» участники опроса отвечали следующим образом: «Да, но я ничего не знаю» ? 10.1%; «Жаль только не предлагают» ? 20.2%; «Я уже так делал» ? 5.3%; «Нет. Боюсь, меня оттуда быстро уволят» ? 11.5%; «Нет, это аморально» ? 52.8%. Как видите, больше трети сотрудников проявляют готовность к распространению конфиденциальной информации. Ответы на вопрос «Использовали ли вы в личных целях служебную информацию?» распределились так: «Нет» ? 50.8%; «Не было возможности, но хотелось» ? 8.9%; «Никогда не обладал такой информацией» ? 13.4%; «Использовал» ? 26.8%.

Впрочем, как считает Александр Барановский, генеральный директор ООО «НПТ», проблема защиты персональных данных пока что не стоит в Беларуси так остро, как, например, в соседней России, хотя в данном случае это скорее плохо, чем хорошо. Российские организации уже сейчас задумываются о том, как защитить своих клиентов от утечек информации, а себя – от штрафов со стороны Роскомнадзора. Думаю, не за горами то время, когда за небрежное отношение с персональными данными клиентов организации будут нести реальную ответственность и в Беларуси. Тогда гораздо дешевле будет предотвратить утечку персональных данных, чем выплачивать штрафы и нести судебные издержки из-за неё.

Нужно сказать, что сами компании, работающие с большим количеством персональных данных – это, в первую очередь, финансово-кредитные учреждения, туристические операторы, операторы мобильной связи и прочие компании – сегодня уже в большинстве своем серьезно занимаются проблемами защиты информации о своих клиентах. Тем, кто еще не внедрил у себя систем защиты от утечек информации, можно порекомендовать остановить свой выбор на проверенных в белорусских условиях решениях, уже успешно внедренных в различных организациях.

Выводы

Таким образом, в то время как значительная часть сотрудников готовы разглашать не только персональные данные клиентов, но и другие сведения, не предназначенные для посторонних глаз, организации в большинстве своем не пытаются сделать ничего, чтобы противостоять утечкам. А с учетом готовности среднестатистического человека бороться за свои права в случае утечек персональных данных, все это выглядит несколько пугающе. Конечно, пока что в нашей стране не было громких утечек персональных данных, приведших к большим неприятностям крупные государственные или коммерческие организации. Но глядя на частоту утечек информации в той же России, сложно предполагать, что так будет продолжаться до бесконечности – рано или поздно гром грянет, и тогда тем, кто окажется в эпицентре бури, придется нелегко. Так что белорусским организациям вряд ли имеет смысл откладывать внедрение системы защиты от утечек информации до лучших времен – вполне может случиться так, что времена из-за этого как раз настанут не самые лучшие.

Видео (кликните для воспроизведения).

Источник: http://www.kv.by/content/zashchita-personalnykh-dannykh-v-belarusi

Персональные данные беларусь
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here