В Беларуси на законодательном уровне планируется определить, как правильно работать компаниям с персональными данными пользователей. Этот вопрос будет отражен в законе «О защите персональных данных», который планируется принять до мая 2020 г, рассказал архитектор по информационной безопасности облачного провайдера ActiveCloud Антон Грецкий.
В рамках бизнес-завтрака, посвященного вопросам защиты персональных данных и законодательству в этой сфере, эксперт поделился мнением о том, кого коснется новый закон и какие изменения должны будут произвести компании.
По словам Грецкого, новый законодательный акт позволит не только обеспечить надлежащий уровень защиты персональных данных в государстве, но и будет способствовать развитию бизнеса и торгово-экономических связей Беларуси с другими государствами.
Что относится к персональным данным
Основные вопросы, которые предполагает урегулировать законопроект, включают определение основных терминов и сферы действия закона. Речь идет о терминах: «персональные данные», «субъект персональных данных», «обработка персональных данных», «распространение персональных данных» и других. Так, персональные данные, согласно законопроекту, – это любая информация, относящаяся к идентифицируемому физическому лицу или физическому лицу, которое может быть идентифицировано на основании этой информации.
«К персональным данным относятся идентификационный номер, фамилия, собственное имя, отчество, пол, дата и место рождения; данные о гражданстве и место жительства, род занятий, образование и другая информация», — рассказал Грецкий.
При этом, по словам эксперта, закон будет регулировать отношения, связанные со сбором, обработкой, распространением и предоставлением персональных данных как с использованием средств автоматизации, так и без их использования. Однако, в последнем случае, должен быть обеспечен поиск персональных данных и (или) доступ к таким персональным данным по определенным критериям (картотеки, списки, базы данных и т.д.).
Антон Грецкий подчеркнул, что закон не будет распространяться на случаи сбора, обработки, представления персональных данных физическими лицами в исключительно личной или бытовой деятельности. Т.е. из сферы действия будущего закона исключаются отдельные общественные отношения: личная переписка по e-mail и сохранение адресов, активность в социальных сетях.
Законопроект должен урегулировать закрепление общих и других требований к сбору, обработке, распространению и предоставлению персональных данных, прав субъектов персональных данных, обязанностей операторов, в том числе по защите личной информации граждан.Базовое условие – получение согласия
При этом базовым условием совершения каких-либо действий с персональными данными будет являться получение свободного, конкретного и информированного согласия субъекта персональных данных на их обработку.
Так, например, с разработчиками сайта для интернет-магазина, которые находятся на аутсорсе, нужно будет заключать соглашение о неразглашении, поскольку обработка данных поручается третьим лицам. Или же, если данные предоставляются третьим лицам – например, если для доставки товара из интернет-магазина курьеру сообщается адрес и ФИО клиента. Сделать это без согласия клиента будет нельзя.
В то же время в законопроекте определено, в каких случаях сбор, обработка, распространение и предоставление персональных данных могут совершаться без согласия гражданина. Например, в ходе административного или уголовного процесса, а также в целях защиты жизни и здоровья.
Также в новом законе планируется закрепить возможность получения согласия физического лица на определенные действия с его персональными данными не только письменно, но и в электронной форме.
При этом, оператор обязан получить согласие на обработку данных в виде электронного документа или в иной электронной форме через:
- СМС-сообщение;
- письмо по электронной почте;
- галочку или иную отметку на интернет-ресурсе в соответствующем поле;
- другие способы, которые позволяют установить факт получения согласия.
«Согласие с заранее автоматически проставленной галочкой, которое сейчас часто встречается в интернете, больше не будет иметь силы. Закон требует, чтобы галочку поставил сам человек», — подчеркнул Грецкий.
Расширится ответственность за защиту персональных данных
По словам эксперта, компании, которые работают с персональными данными (а это и крупные торговые сети, интернет-магазины, медицинские учреждения, банки и страховые компании), должны будут привести свои системы защиты информации в соответствие новым законом. Который, в свою очередь, расширит ответственность компаний за сбор, хранение и защиту персональных данных.
«Закон обязывает операторов принимать правовые, организационные и технические меры по защите данных от несанкционированного доступа или случайного доступа к ним — удаления, модификации, блокирования, копирования, распространения и других иных неправомерных действий», — рассказал Грецкий.
Обязательным может стать создание структурного подразделения или лица, ответственного за организацию обработки данных.
Также компания может издать документ, который определяет политику в отношении обработки данных, в котором прописаны процедуры по поиску и предотвращению нарушений. При этом все сотрудники, которые работают с персональными данными, должны быть ознакомлены с положениями законодательства, а также с локальными нормативными актами по вопросам обработки данных.
Кроме этого, владельцам информационных систем, в которых обрабатывается информация ограниченного распространения, в том числе коммерческая, банковская тайна и персональные данные, может помочь использование систем криптографической защиты данных, а также, например, хранение данных в защищенных облачных сервисах.
В любом случае, по мнению эксперта, правовое регулирование защиты персональных данных приведет к упорядочению и систематизации бизнес-процессов в любой компании, а также повысит доверие потребителей. Кроме этого, с вступлением в силу нового закона будут созданы очевидные препятствия для быстрого получения личной информации клиентов и тем более – для свободного ее использования.
Но бизнесу необходимо быть готовым к этим изменениям, ведь когда правила будут установлены, то их придется соблюдать.