Защита персональных данных в Республике Беларусь

Персональные данные – это любая информация, с помощью которой можно прямо или косвенно идентифицировать человека.

Согласно ст. 17 Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» персональные данные относятся к информации, распространение и (или) предоставление которой ограничено.
К персональным данным относится следующая информация:
·        паспортные данные: фамилия, собственное имя, отчество (если имеется), пол, дата рождения, идентификационный номер, серия и номер паспорта, данные о гражданстве, данные о регистрации;
·        специальные персональные данные: здоровье, привлечение к административной или уголовной ответственности, расовая или национальная принадлежность, религиозные или другие убеждения, половая жизнь, политические взгляды, членство в профсоюзах, биометрические данные (описание внешности, характеристики лица и его изображение, радужная оболочка глаза, отпечатки пальцев и ладоней), генетические данные (группа крови, ДНК);
·        контактные данные (номер телефона, e-mail);
·        геолокационные данные;
·        IP-адрес.

Общедоступные персональные данные – это информация, которую человек распространяет сам, или дает согласие ее распространение, или распространенная в соответствии с требованиями законодательных актов. К таким данным относятся, например, сведения пользователей на своих страницах в соцсетях или на сайтах знакомств.

• Однако закон не дает пояснений, являются ли персональными данными сведения о поведении пользователя в приложениях и на сайтах, файлы cookie и иная информация, не позволяющая точно определить личность человека.

Обработка персональных данных – это все действия с персональными данными, включающие в себя сбор, хранение, систематизацию, изменение, использование, обезличивание, предоставление, блокирование, распространение, удаление персональных данных.

Хранение и обработка персональных данных накладывает на компанию ответственность за хранение, использование и защиту.

Обработка персональных данных имеет ограничение ранее заявленные целями. Например, если пользователь дает согласие на обратный звонок специалиста компании и предоставляет свой номер телефона, то компания не имеет право включать этот номер в рассылку по СМС, в мессенджерах и т.д. Таким образом, для осуществления рассылки необходимо будет получить новое согласие клиента.

Согласие на обработку персональных данных человек может дать в письменном виде, в виде электронного документа или при заполнении электронной формы, например, с помощью проставления в чекбоксе галочки: ☑.

Однако в статье 6 Закона указаны случаи, в которых согласие на обработку персональных данных не требуется. Большую часть пунктов составляют случаи, связанные с осуществлением деятельности государственных органов (для осуществления правосудия, для ведения административного и (или) уголовного процесса, борьбе с коррупцией, на выборах и референдумах, для статистических наблюдений, учета, расчета и начисления платы за услуги ЖКХ; выплаты пенсий и пособий и т.д.).

В том числе согласие на обработку персональных данных не требуется:
– при трудоустройстве, в процессе трудовой (служебной) деятельности;
– в нотариальной деятельности;
– при получении компанией персональных данных на основании договора с физическим лицом с целью выполнения условий договора;
– при обработке персональных данных, содержащихся в официальных письмах в адрес компании.
– в профессиональной работе журналиста и (или) СМИ.
– в отношении распространенных ранее персональных данных до написания субъектом персональных данных заявления с требованием прекратить обработку распространенных персональных данных, а также об их удалении при отсутствии других оснований для их обработки;
–когда обработка персональных данных необходима для выполнения рабочих обязанностей;
–когда законодательством прямо предусматривается обработка персональных данных человека без согласия;
– в научной или другой исследовательской деятельности при условии обязательного обезличивания персданных;
– для защиты жизни, здоровья или других жизненно важных интересов владельцев персональных данных, если получение согласия на обработку невозможно.

1.     В компании должны быть назначены ответственные за защиту персональных данных. Это может быть отдельный сотрудник компании, например, юрист или же целое подразделение.
2.     Определить порядок доступа к персональным данным и их обработку.
3.     Разработать политика в отношении обработки персональных данных и опубликовать ее на своем официальном сайте.
4.     Для получения согласия человека на обработку персональных данных необходимо создать формы, содержащие название организации, цель обработки персданных, перечень обрабатываемых персональных данных, срок обработки и т.д. Полный список представлен в статье 5 Закона.
5.     Спроектировать и создать систему защиты информации для обеспечения технической и/или криптографической защиты персональных данных, а затем ее аттестовать для соответствия Приказу оперативно-аналитического центра при Президенте Республики Беларусь №66 от 20 февраля 2020 г.
6.     Ознакомить сотрудников компании с Законом. Отправить на обучение ответственных за обработку персональных данных.

Каждый человек, чьи персональные данные обрабатывает Ваша организация (партнер, клиент, пользователь и т.д.), имеет право:
- получать информацию, как вы обрабатываете его персональные данные и с какой целью используете;
- вносить изменения в свои персональные данные;
- получать сведения о предоставлении своих персональных данных другим организациям или третьим лицам;
- отзывать согласие на использование своих персданных;
- требовать прекращения использования своих персональных данных или их удаления.

Данные требования должны быть выполнены организацией, которая хранит и обрабатывает персональные данные, в течение 15 календарных дней. Предоставление информации, касающейся обработки персональных данных – в течение 5 рабочих дней после получения требования.

АДМИНИСТРАТИВНАЯ ОТВЕТСТВЕННОСТЬ

Согласно Кодексу Республики Беларусь об Административных Правонарушениях, ст. 23.7. «Нарушение законодательства о защите персональных данных» предусмотрена следующая ответственность:

1. Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных – штраф до 50 б.в.

2. Деяния, предусмотренные частью 1 настоящей статьи, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью – штраф от 4 до 100 б.в.

3. Умышленное незаконное распространение персональных данных физических лиц – штраф до 200 б.в.

4. Несоблюдение мер обеспечения защиты персональных данных физических лиц – штраф для ИП от 10 до 20 б.в., для юридических лиц – от 20 до 50 б.в.

К административной ответственности может быть привлечена как организация, так и руководители или сотрудники, ответственные за обработку и защиту персональных данных.

УГОЛОВНАЯ ОТВЕТСТВЕННОСТЬ

Согласно ст. 203-1 ч. 3 Уголовного кодекса Республики Беларусь:

Умышленные незаконные сбор, предоставление, распространение информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина в связи с осуществлением им служебной деятельности или выполнением общественного долга наказываются ограничением свободы на срок до 5 лет или лишением свободы на тот же срок со штрафом.

К уголовной ответственности могут быть привлечены только физические лица.

ГРАЖДАНСКАЯ ОТВЕТСТВЕННОСТЬ

Также для организаций предусмотрена гражданская ответственность: возмещение пострадавшему от утечки персональных данных морального или имущественного ущерба, если данное требование потерпевшим будет заявлено.

РЕПУТАЦИЯ

Утечка персональных данных может привести к потере деловой репутации компании, к снижению доверия клиентов и партнеров.

Да. В соответствии с Законом Республики Беларусь от 7 мая 2021 г. № 99-З
«О защите персональных данных» одной из обязательных мер по обеспечению защиты персональных данных является осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

Для этого необходимо провести аудит, проектирование и создание системы защиты информации. Организация имеет право выполнить данные работы самостоятельно или заключить договор с организацией, которая имеет лицензию на право осуществления деятельности по технической и (или) криптографической защите информации, в т.ч. на проектирование, создание и аттестацию систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено.

ОДО «ВИРУСБЛОКАДА» готова помочь Вам с решением всех вопросов, связанных с защитой персональных данных. Компания имеет лицензию № 01019/50 от 24 ноября 2008 г. на право осуществления деятельности по технической и (или) криптографической защите информации, в т.ч. на проектирование, создание и аттестацию систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесённой к государственным секретам.

Да. Согласно ст. 28 Закона Республики Беларусь от 10 ноября 2008 № 455-З «Об информации, информатизации и защите информации» информация, распространение и (или) предоставление которой ограничено, не отнесенная к государственным секретам, должна обрабатываться в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь в приказе №66 от 20 февраля 2020 г.

Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации» определяется, что аттестация систем защиты информации проводится до ввода в эксплуатацию информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено (Глава 3, ч. 11).

Аттестация системы защиты информации – комплекс организационно-технических мероприятий, в результате которых документально подтверждается соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации» (Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449»).

Аттестация проводится в случаях:
- создания системы защиты информации;
- истечения срока действия аттестата соответствия;
- изменения технологии обработки защищаемой информации;
- изменения технических мер, реализованных при создании системы защиты информации» (Приказ ОАЦ №66 от 20 февраля 2020 г.).

«Аттестация проводится организациями, имеющими лицензии на осуществление деятельности по технической и (или) криптографической защите информации. Собственники (владельцы) информационных систем вправе самостоятельно проводить аттестацию» (Приказ ОАЦ №66 от 20 февраля 2020 г.).

Результатом проведения аттестации будет являться «аттестат соответствия системы защиты информации информационной системы требованиям по защите информации – документ установленной формы, подтверждающий соответствие системы защиты информации требованиям законодательства об информации, информатизации и защите информации» (Приказ ОАЦ №66 от 20 февраля 2020 г.).

Таким образом, для защиты информации ограниченного распространения, в том числе персональных данных, необходимо сделать:
1.     аудит информационной системы;
2.     проектирование системы защиты информации информационной системы;
3.     создание системы защиты информации информационной системы;
4.     аттестация системы защиты информации информационной системы.
После выполнения данных пунктов организация получит право в соответствии с законодательством Республики Беларусь хранить и обрабатывать персональные данные.

ОДО «ВИРУСБЛОКАДА» готова помочь Вам с решением всех вопросов, связанных с защитой персональных данных. Компания имеет лицензию № 01019/50 от 24 ноября 2008 г. на право осуществления деятельности по технической и (или) криптографической защите информации, в т.ч. на проектирование, создание и аттестацию систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесённой к государственным секретам.

При осуществлении технической и криптографической защиты информации
используются средства защиты информации, имеющих сертификат соответствия Национальной системы подтверждения соответствия Республики Беларусь или положительное экспертное заключение по результатам государственной экспертизы, проводимой ОАЦ. (Глава 3, п. 13 Указа Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по совершенствованию защиты информации»)

Также эти сертифицированные средства защиты информации в комплексе должны закрывать требования Приказа ОАЦ №66 от 20 февраля 2020 г.

Компания «ВИРУСБЛОКАДА» предлагает своим клиентам «Комплекс программный «КАНОЭ» собственной разработки, специально созданный в соответствии с требованиями законодательства для защиты информации ограниченного распространения от несанкционированного доступа и сертифицированный для защиты всех типовых классов информационных систем без исключения. «КАНОЭ» закрывает значительную часть требований Приказа ОАЦ №66 от 20 февраля 2020 г.

Да, организации могут защищать информацию собственными силами, однако для качественной и надежной защиты необходимо иметь сотрудников по информационной безопасности, которые будут закупать, устанавливать и настраивать средства защиты информации, контролировать работу средств защиты информации, а также реагировать на инциденты и, в случае необходимости, устранять последствия инцидентов. Сотрудникам необходимо платить зарплату, их необходимо отправлять на курсы повышения квалификации, семинары и конференции. Как можно сэкономить и надёжно защитить информацию в соответствии с законодательством Республики Беларусь?

ОДО «ВИРУСБЛОКАДА» предлагает услуги по комплексному обслуживанию систем защиты информации:

- комплексные решения и услуги по обеспечению информационной безопасности для защиты корпоративных и ведомственных информационных систем любого назначения и уровня сложности;

- проектирование и внедрение широкого спектра решений с учетом отраслевой специфики и бизнес-задач заказчиков;

- особое внимание вопросам сопровождения внедренных решений на этапе эксплуатации, а также развитию и модернизации систем информационной безопасности в соответствии с потребностями заказчиков;

- комплекс услуг по обеспечению нормативно-правовой базой, которая включает разработку, актуализацию нормативной документации, контроль за выполнением требований действующих нормативных документов по вопросам обеспечения информационной безопасности;

- внутренний аудит защищенности, который позволяет выявить уязвимости и недостатки в конфигурации сетевой инфраструктуры и существующих средств защиты информации, а также разработать рекомендации по их устранению;

- организация настройки и сопровождения в процессе эксплуатации средств защиты информации, основных технических средств и систем для обеспечения безопасного и непрерывного функционирования;

- диагностика и устранение неисправностей в работе средств информационной безопасности;

- помощь в расследовании инцидентов и проблем, предоставление рекомендаций по их устранению.