Законопроект «О защите персональных данных» в начале июля был рассмотрен Палатой представителей во втором чтении, далее он выносится в Совет республики и на подпись президенту. Вступление в силу закона ожидается через год после подписания.
В соответствии с новым законом, персональные данные – это любая информация о физическом лице (субъекте персональных данных), которая позволяет его идентифицировать. Они включают в себя специальные персональные данные: данные о расовой либо национальной принадлежности, политических взглядах, религиозных или других убеждениях, здоровье или половой жизни, судимости, а также биометрические и генетические персональные данные. С принятием закона юрлицо, ИП или физлицо в случае осуществления сбора или обработки таких данных будет считаться оператором.
Источник фото: arzinger.by
Для корректной работы в рамках предлагаемого закона оператору необходимо предпринять ряд шагов. О них рассказала юрист Arzinger Law Offices Вероника Павловская.
Шаг 1: анализ собираемых данных и потоков их передачи, обезличивание данных. Оператору необходимо разработать data mapping (карта данных), чтобы понять, какие категории данных он уже обрабатывает и для каких целей, у кого из работников есть доступ к этим данным, есть ли передача данных любым третьим лицам (например, подрядчикам) и в другие страны. Еще одним примером такой передачи может быть использование «облачных» сервисов. Необходимо задуматься о возможности обезличить персональные данные и использовать их именно в таком виде.
Шаг 2: проверка систем и сетей на предмет уязвимости, аттестация информационных систем. Здесь необходимо определить, какие угрозы существуют для информационных систем и баз, в которых вы обрабатываете персональные данные и постараться устранить эти угрозы или хотя бы минимизировать их. Законопроект указывает на обязанность осуществлять техническую и криптографическую защиту таких данных в соответствии с порядком, установленным Оперативно-аналитическим центром при президенте Республики Беларусь (ОАЦ). Информационные системы, в которых обрабатываются персональные данные, должны быть аттестованными. Порядок аттестации также установлен ОАЦ.
Шаг 3: анализ документов с контрагентами, работниками и пользователями услуг на предмет положений о защите данных, получение согласия субъекта персональных данных. Необходимо провести анализ правовых средств защиты персональных данных – трудовых договоров и должностных инструкций работников, договоров с контрагентами, а также пользовательских соглашений на предмет наличия в них норм о защите персональных данных. Если такие положения отсутствуют, то их необходимо добавить. Кроме того, в отношении пользовательских соглашений одним из ключевых понятий нового закона становится получение согласия субъекта персональных данных для их обработки: согласие пользователя обязательно для всех операторов. Согласие не требуется для выполнения публично-правовых функций, заключения трудового или гражданско-правового договора, профессиональной деятельности журналиста, направленной на защиту общественного интереса.
Шаг 4: разработка политик обработки данных, иных локальных нормативных правовых актов для защиты персональных данных. Документ, определяющий политику оператора в отношении сбора, обработки, распространения, предоставления персональных данных, до начала осуществления соответствующих действий с персональными данными должен быть размещен в сети Интернет.
Шаг 5: работа с кадрами - назначение ответственного лица, обучение работников. Оператору обязательно необходимо назначить структурное подразделение или отдельное лицо в качестве ответственного за организацию сбора, обработки, распространения, предоставления персональных данных (по аналогии с GDPR, data protection officer). Доступ к персональным данным может предоставляться работникам только в связи с их трудовыми, договорными и иными обязанностями. При этом всем работникам запрещается распространять персональные данные без письменного согласия субъектов таких данных даже после завершения трудовых или договорных отношений с компанией.
Шаг 6: проведение оценки хранимых данных на предмет соответствия целям использования, необходимости дальнейшего хранения, удаление ненужного, информирование об утечках.
Для корректной работы компании в условиях предлагаемого законопроекта необходимо постоянно контролировать действующую систему работу с персональными данными в организации, а также необходимость сбора и обработки персональных данных, соответствие первоначальным целям получения таких данных. Если данные становятся не нужными для первоначальных целей, то такие данные должны быть удалены, либо у субъекта персональных данных нужно получить согласие для обработки данных в новых целях.