Похожие презентации:
Персональные данные
1. Закон Республики Беларусь «О защите персональных данных»
2. Рассматриваемые вопросы:
Роль Закона Республики Беларусь «О защите персональных данных» №99-Зот 7 мая 2021г. в регулировании национальных и международных
правоотношений;
Изменения в обработке персональных данных, связанные с вступлением в
силу Закона Республики Беларусь «О защите персональных данных» №99-З
от 7 мая 2021г.;
Права и обязанности операторов и субъектов персональных данных;
Ответственность за нарушение требований законодательства при
обработке персональных данных;
Подготовка операторов, их информационных систем и систем защиты
информации к обработке персональных данных в соответствии с Законом
Республики Беларусь «О защите персональных данных» №99-З от 7 мая
2021г.
3. Роль Закона Республики Беларусь «О защите персональных данных» №99-З от 7 мая 2021г. в регулировании национальных и
международных правоотношенийЕвропейский союз
Конвенция Совета Европы о защите физических лиц в отношении
автоматизированной обработки персональных данных от 28 января 1981 г. ETS
№ 108
25 мая 2018 года во всех государствах-членах Европейского Союза был
введен закон о защите персональных данных GDPR (General Data Protection
Regulation) Общий регламент по защите персональных данных.
Российская Федерация
Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»
4. Роль Закона Республики Беларусь «О защите персональных данных» №99-З от 7 мая 2021г. в регулировании национальных и
международных правоотношенийРеспублика Беларусь
Закон Республики Беларусь «О защите
персональных данных» №99-З от 7 мая 2021г.
опубликован 14.05.2021 г. и полностью вступает в
силу с 15.11.2021г.
Закон направлен на обеспечение защиты
персональных данных, прав и свобод физических
лиц при обработке их персональных данных.
5. Трансграничная передача данных
трансграничная передача персональных данных – передача персональных данныхна территорию иностранного государства;
Статья 9. Трансграничная передача персональных данных
1. Трансграничная передача персональных данных запрещается, если на территории
иностранного государства не обеспечивается надлежащий уровень защиты прав
субъектов персональных данных, за исключением случаев…
2. Уполномоченный орган по защите прав субъектов персональных данных
определяет перечень иностранных государств, на территории которых
обеспечивается надлежащий уровень защиты прав субъектов персональных данных.
6. Что такое персональные данные?
В настоящее время отсутствует единое определениетермина «персональные данные».
Так, например, для целей Закона Республики Беларусь
от 21 июля 2008 г. № 418-З «О регистре населения»
персональные данные определены как совокупность
основных и дополнительных персональных данных, а
также данных о реквизитах документов, подтверждающих
основные и дополнительные персональные данные
конкретных физических лиц.
7. Что такое персональные данные?
Закон Республики Беларусь от 13 июля 2006 г. № 144-З «Опереписи населения» определяет персональные данные как
первичные статистические данные о конкретном респонденте, сбор
которых осуществляется при проведении переписи населения.
Закон Республики Беларусь от 10 ноября 2008 г. № 455-З
«Об информации, информатизации и защите информации» –
базовый нормативный правовой акт в сфере защиты информации –
определяет термин персональные данные как – основные и
дополнительные персональные данные физического лица,
подлежащие в соответствии с законодательными актами РБ внесению
в регистр населения, а также иные данные, позволяющие
идентифицировать такое лицо.
8. Что такое персональные данные?
Закон Республики Беларусь «О защите персональных данных» изменяетподход к определению понятия персональных данных посредством отказа
от четкого перечня сведений, относящихся к персональным данным. Так,
под персональными данными понимается любая информация, относящаяся к
идентифицированному физическому лицу или физическому лицу, которое
может быть идентифицировано.
В тоже время дано и определение физическому лицу, которое может
быть идентифицировано - физическое лицо, которое может быть прямо или
косвенно определено, в частности через фамилию, собственное имя,
отчество, дату рождения, идентификационный номер либо через один или
несколько признаков, характерных для его физической, психологической,
умственной, экономической, культурной или социальной идентичности.
Такое определение сформулировано с учетом положений Конвенции
Совета Европы о защите физических лиц в отношении автоматизированной
обработки персональных данных от 28 января 1981 г. ETS № 108, а также
общепринятых подходов к определению персональных данных в
законодательстве зарубежных государств.
9. Что такое персональные данные?
Например, прямо или косвенно человек может бытьидентифицирован с использованием фамилии,
идентификационного номера, данных о местоположении,
любых онлайн-идентификаторов, а также при помощи
характерных для данного лица физических, физиологических,
генетических, духовных, экономических, культурных факторов
или ссылаясь на факторы социальной идентичности и т.п.
То все данные, которые с ним связаны — это персональные
данные. То есть просто данные становятся персональными
данными, если, используя некую их совокупность, можно
однозначно идентифицировать человека.
10. Что такое персональные данные?
Примеры персональных данных:- имя, фамилия;
- номер паспорта или удостоверения;
- дата и место рождения;
- место проживания, регистрация, прописка;
- е-мейл, номер телефона, или другая контактная информация;
- IP-адрес и параметры соединения;
- дата и время посещения ресурса, история и параметры
посещений, включая название браузера.
11. Что такое персональные данные?
А также особо охраняемые данные:специальные персональные данные –
персональные данные, касающиеся расовой либо
национальной принадлежности, политических
взглядов, членства в профессиональных союзах,
религиозных или других убеждений, здоровья
или половой жизни, привлечения к
административной или уголовной
ответственности, а также биометрические и
генетические персональные данные;
12. Что такое персональные данные?
А также особо охраняемые данные:биометрические персональные данные – информация,
характеризующая физиологические и биологические особенности
человека,
которая
используется
для
его
уникальной
идентификации (отпечатки пальцев рук, ладоней, радужная
оболочка глаза, запись голоса, характеристики лица и его
изображение и другое);
генетические персональные данные – информация,
относящаяся к наследуемым либо приобретенным генетическим
характеристикам человека, которая содержит уникальные данные
о его физиологии либо здоровье (медицинские анализы и
заключения) и может быть выявлена, в частности, при
исследовании его биологического образца.
13. Что такое персональные данные?
Примеры персональных данных,обрабатываемых в организации:
- работники, кандидаты на работу;
- представители партнеров,
контрагентов, поставщиков и т.п
(физические лица, представители
юридических);
- клиенты, физические лица;
- обращения физических лиц.
14. Что такое персональные данные?
Примеры бизнес-процессов в организации в которыхобрабатываются персональные данные:
- заполнение анкет и проведение опросов;
- составление договоров (гражданско-правовые,
трудовые), получение заявлений;
- сбор информации на сайте компании о пользователях с
помощью cookie-файлов;
- данные приложения или иного продукта (геолокация,
изображения и иные данные пользователей);
- операции с любыми данными о любом человеке в ходе
любой деятельности.
15. Предмет регулирования Закона
Закон регулирует обработку персональныхданных:
- с использованием средств автоматизации (это
обработка в рамках информационных систем и
ресурсов);
- без использования средств автоматизации, если
осуществляется систематизация данных по
определенным критериям (картотеки, списки,
базы данных, журналы).
16. Предмет регулирования Закона
При этом Закон не распространяется наотношения, касающиеся случаев обработки
персональных данных:
- в процессе личного, семейного, домашнего и
иного подобного их использования, не связанного
с профессиональной или предпринимательской
деятельностью (переписка в социальных сетях, с
помощью электронной почты, сохранение и
систематизация адресатов);
- отнесенных к государственным секретам.
17. Основные роли, используемые в Законе:
- субъект персональныхданных;
- оператор;
- уполномоченное лицо;
- уполномоченный орган.
18. Основные роли, используемые в Законе:
субъект персональных данных – физическое лицо, в отношениикоторого
осуществляется обработка персональных данных;
оператор – государственный орган, юридическое лицо Республики
Беларусь, иная организация, физическое лицо, в том числе индивидуальный
предприниматель (далее, если не определено иное, – физическое лицо),
самостоятельно или совместно с иными указанными лицами организующие
и (или) осуществляющие обработку персональных данных;
По сути, оператором может стать любое лицо, которое осуществляет
обработку персональных данных в связи с профессиональной или
предпринимательской деятельностью. При этом не важно, как именно
обрабатываются данные: с помощью автоматизированных средств или без них
(например, картотеки, списки и т. п.)
Если на лицо распространяется статус оператора или уполномоченного
лица, оно обязано соблюдать требования, установленные законодательством
о защите персональных данных.
19. Основные роли, используемые в Законе:
уполномоченное лицо – государственныйорган, юридическое лицо Республики Беларусь,
иная организация, физическое лицо, которые
в соответствии с актом законодательства,
решением государственного органа,
являющегося оператором, либо на основании
договора с оператором осуществляют обработку
персональных данных от имени оператора или в
его интересах;
уполномоченный орган – государственный
орган призванный защищать права субъектов
персональных данных при их обработке.
20. Уполномоченный орган
- осуществляет контроль за обработкой персональныхданных операторами (уполномоченными лицами) в
соответствии с законодательными актами;
- рассматривает жалобы субъектов персональных
данных по вопросам обработки персональных данных;
- требует от операторов (уполномоченных лиц)
изменения, блокирования или удаления недостоверных
или полученных незаконным путем персональных
данных, устранения иных нарушений настоящего Закона;
21. Уполномоченный орган
- определяет перечень иностранных государств,на территории которых обеспечивается
надлежащий уровень защиты прав субъектов
персональных данных;
- выдает разрешения на трансграничную
передачу персональных данных, если на
территории иностранного государства не
обеспечивается надлежащий уровень защиты
прав субъектов персональных данных;
22. Уполномоченный орган
- участвует в подготовке проектов актовзаконодательства о персональных данных;
- дает разъяснения по вопросам применения
законодательства о персональных данных,
проводит иную разъяснительную работу о
законодательстве о персональных данных;
- участвует в работе международных организаций
по вопросам защиты персональных данных;
23. Уполномоченный орган
- ежегодно не позднее 15 марта публикует всредствах массовой информации отчет о своей
деятельности за предыдущий год;
- осуществляет иные полномочия,
предусмотренные настоящим Законом и иными
законодательными актами.
24. Общие требования к обработке персональных данных
обработка персональных данных – любоедействие или совокупность действий,
совершаемые с персональными данными,
включая сбор, систематизацию, хранение,
изменение, использование, обезличивание,
блокирование, распространение,
предоставление, удаление персональных данных.
25. Общие требования к обработке персональных данных
2. Обработка персональных данных должна бытьсоразмерна заявленным целям их обработки и
обеспечивать на всех этапах такой обработки
справедливое соотношение интересов всех
заинтересованных лиц.
5. Содержание и объем обрабатываемых персональных
данных должны соответствовать заявленным целям их
обработки. Обрабатываемые персональные данные не
должны быть избыточными по отношению к заявленным
целям их обработки.
26. Пример соразмерности заявленным целям и избыточности
Данные работников (в объеме, который требуется законодательством)могут собираться без получения от них на то отдельного согласия. Однако
некоторые сведения не в полной мере связаны со вступлением в трудовые
отношения.
К примеру, работник может прислать резюме, которое не требуется
по трудовому договору. Либо в автобиографии от работника может быть
запрошена/изложена информация о его родственниках (так как они
не вовлекаются в трудовые отношения с нанимателем, может быть поставлен
вопрос о правомерности сбора и обработки соответствующих данных).
В этой связи рекомендуется обратить внимание на то, какие сведения
истребуются от работника, оценить их реальную необходимость для работы
организации. Исключить из шаблонов запрос сведений, которые не касаются
непосредственно работника.
27. Общие требования к обработке персональных данных
3. Обработка персональных данных можетосуществляться как с согласия, так и без
согласия (статья 6) субъекта персональных
данных.
Обработка специальных персональных данных
также может осуществляться как с согласия, так
и без согласия (статья 8) субъекта персональных
данных.
28. Общие требования к обработке персональных данных
4. Обработка персональных данных должнаограничиваться достижением конкретных, заранее
заявленных законных целей. Не допускается
обработка персональных данных, не совместимая с
первоначально заявленными целями их обработки.
В случае необходимости изменения первоначально
заявленных целей обработки персональных данных
оператор обязан получить согласие субъекта
персональных данных на обработку его персональных
данных в соответствии с измененными целями
обработки.
29. Общие требования к обработке персональных данных
6. Обработка персональных данных должнаносить прозрачный характер. В этих
целях субъекту персональных данных в случаях,
предусмотренных настоящим Законом,
предоставляется соответствующая информация,
касающаяся обработки его персональных
данных.
30. Общие требования к обработке персональных данных
7. Оператор обязан принимать меры пообеспечению достоверности обрабатываемых
им персональных данных, при необходимости
обновлять их.
8. Хранение персональных данных должно
осуществляться в форме, позволяющей
идентифицировать субъекта персональных
данных, не дольше, чем этого требуют
заявленные цели обработки персональных
данных.
31. Согласие субъекта персональных данных (статья 5)
Согласие на обработку является базовым основанием дляобработки (п.3 ст.4 Закона № 99-З).
В пункте 1 статьи 5 Закона указано, что согласие субъекта
персональных данных представляет собой свободное, однозначное,
информированное выражение его воли, посредством которого он
разрешает обработку своих персональных данных.
В этой связи, если указанные характеристики не будут
соблюдаться (например, согласие не является свободным) и этот
факт охватывается умыслом лица, то можно констатировать, что
действия совершены без согласия субъекта персональных данных.
Наличие просто подписи на документе еще не свидетельствует о
том, что юридически значимое согласие действительно имеется.
32. Согласие субъекта персональных данных (статья 5)
Исходя из практики реализации схожих норм за рубежом,согласие не будет считаться полученным:
- если лицу не была дана полная и понятная информация об
обработке данных;
- если лицо было вынуждено дать согласие, чтобы
воспользоваться определенной услугой (хотя сама по себе эта
услуга не требует использования персональных данных);
- если невозможно достоверно установить наличие согласия
(например, когда согласием на обработку считается
использование лицом сервиса).
33. Согласие субъекта персональных данных
До принятия Закона № 99-З единственнымоснованием как для сбора и обработки
персональных данных, так и для их передачи
любым третьим лицам, было согласие субъекта
данных, предоставляемое в письменной форме
(ст.18 Закон Республики Беларусь от 10.11.2008 №
455-З (ред. от 01.07.2017) Об информации,
информатизации и защите информации)
34. Согласие субъекта персональных данных (статья 5)
2. Согласие субъекта персональных данных может быть получено вписьменной форме, в виде электронного документа или в иной электронной
форме.
3. В иной электронной форме согласие субъекта персональных данных
может быть получено посредством:
- указания (выбора) субъектом персональных данных определенной информации
(кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
- проставления субъектом персональных данных соответствующей отметки
(например: «я согласен»)на Интернет-ресурсе;
- других способов, позволяющих установить факт получения согласия субъекта
персональных данных.
35. Пример согласие субъекта персональных данных
Приложение 8к Инструкции о порядке
выписки
рецепта врача и
создания
электронных рецептов
врача
(в редакции
постановления
Министерства
здравоохранения
Республики Беларусь
17.06.2019 No 60)
36. Отзыв согласия
Субъект персональных данных имеет право в любое время без объяснения причинотозвать свое согласие на обработку данных, а если такое согласие не давалось (либо
отсутствуют иные законные основания для обработки) - потребовать прекращения их
обработки и (или) удаления (п.1 ст.10 Закона № 99-З).
При этом отзыв согласия действует только на будущее время: персональные данные,
которые обрабатывались пока действовало согласие, считаются обрабатывавшимися на
законной основе (а соответствующие материалы, в которых могли бы быть зафиксированы
данные лица, не подлежат изъятию из гражданского оборота) (п.4 ст.10 Закона № 99-З).
В случае отзыва субъектом персональных данных своего согласия оператору
желательно организовать работу по учету времени, на которое предоставлялось согласие
т.к. обязанность доказывания получения согласия возлагается на оператора (п.7 ст.5 Закона
№ 99-З).
37. Обработка персональных данных без согласия
Законодатель учел разнообразие ситуаций, при которых могут собираться иобрабатываться персональные данные, указав случаи, при которых обработка персональных
данных будет законной и без получения на это согласия.
Перечень таких случаев достаточно широкий и в основном связан с деятельностью
государственных структур при осуществлении ими своих функций (ст.6 Закона № 99-З).
Однако некоторые изъятия важны и непосредственно применимы в деятельности для
субъектов хозяйствования. Так, например, согласие на обработку персональных данных не
требуется при оформлении трудовых (служебных) отношений, а также в процессе трудовой
(служебной) деятельности субъекта персональных данных в случаях, предусмотренных
законодательством (абз.8 ст.6 Закона № 99-З).
Также отдельное согласие не требуется, если оператор получает персональные данные
на основании договора, заключенного (заключаемого) с субъектом персональных данных, в
целях совершения действий, установленных этим договором (абз.15 ст.6 Закона № 99-З).
Случай, когда физическое лицо указывает персональные данные в документе,
подписанном им и адресованном оператору (запрос, заявление, обращение и т. п.), также
подпадает под изъятие (абз.16 ст.6 Закона № 99-З).
38. Обработка персональных данных по поручению оператора
1. Уполномоченное лицо обязано соблюдать требования к обработке персональныхданных, предусмотренные настоящим Законом и иными актами законодательства.
В договоре между оператором и уполномоченным лицом, акте законодательства либо
решении государственного органа должны быть определены:
- цели обработки персональных данных;
- перечень действий, которые будут совершаться с персональными данными
уполномоченным лицом;
- обязанности по соблюдению конфиденциальности персональных данных;
- меры по обеспечению защиты персональных данных в соответствии со статьей 17
настоящего Закона.
2. Уполномоченное лицо не обязано получать согласие субъекта персональных
данных. Если для обработки персональных данных по поручению оператора необходимо
получение согласия субъекта персональных данных, такое согласие получает оператор.
3. В случае, если оператор поручает обработку персональных данных
уполномоченному лицу, ответственность перед субъектом персональных данных
за действия указанного лица несет оператор. Уполномоченное лицо несет ответственность
перед оператором.
39. Обработка специальных персональных данных
1. Обработка специальных персональных данных без согласия субъектаперсональных данных запрещается, за исключением случаев, предусмотренных пунктом 2
настоящей статьи.
2. Согласие субъекта персональных данных на обработку специальных
персональных данных не требуется:
- если специальные персональные данные сделаны общедоступными персональными
данными самим субъектом персональных данных;
- при оформлении трудовых (служебных) отношений, а также в процессе трудовой
(служебной) деятельности субъекта персональных данных в случаях, предусмотренных
законодательством;
…, а также иных действия связанных с государственной деятельностью.
Обработка специальных персональных данных допускается лишь при условии принятия
комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при
обработке таких персональных данных для прав и свобод субъектов персональных данных.
40. Права и обязанности операторов и субъектов персональных данных
№Обязанность
Норма Закона
№ 99-З
1
Обеспечивать на всех этапах обработки персональных
данных справедливое соотношение интересов всех
заинтересованных лиц
Пункт 2 ст.4
2
Обеспечивать соразмерность обработки персональных
данных заявленным целям их обработки
Пункт 2 ст.4
3
При изменении целей обработки персональных данных
получать на это отдельное согласие
Пункт 2 ст.4
4
Принимать меры по обеспечению достоверности
обрабатываемых им персональных данных, при
необходимости обновлять их (а также корректировать
по запросам субъектов данных)
Пункт 7 ст.4,
п.1 ст.16
5
Хранить персональные данные не дольше, чем это
требуют заявленные цели обработки
Пункт 8 ст.4
41. Права и обязанности операторов и субъектов персональных данных
№Обязанность
6
Предоставлять субъекту данных информацию обо всех
условиях обработки персональных данных.
Рекомендуется разработать стандартные формы для
различных категорий персональных данных
Абзацы 2, 5
п.1 ст.16
7
Предоставлять пользователю отдельный документ (в
письменном или электронном виде), в котором
простым и ясным языком разъяснить субъекту данных
его права, связанные с обработкой персональных
данных, механизм реализации таких прав, а также
последствия дачи согласия субъекта персональных
данных или отказа в даче такого согласия
Часть 2 п.5
ст.5
8
Получать согласие на обработку персональных данных
от субъектов данных.
Абзац 3 п.1
ст.16
Рекомендуется обеспечить фиксацию и хранение соответствующих данных, так
как согласно п.7 ст.5 Закона № 99-З обязанность доказывания получения согласия
субъекта персональных данных возлагается на оператора
Норма Закона
№ 99-З
42. Права и обязанности операторов и субъектов персональных данных
№Обязанность
Норма Закона
№ 99-З
9
Обеспечивать защиту персональных данных
Абзац 4 п.1
ст.16
10
При обработке специальных персональных данных
Пункт 3 ст.8
принимать комплекс мер, направленных на
предупреждение рисков, которые могут возникнуть при
этом для прав и свобод субъектов персональных
данных
11
Соблюдать процедуры и условия трансграничной
передачи данных
12
При получении заявления от субъекта персональных
Абзац 7 п.1
данных при наличии установленных оснований
ст.16
прекратить обработку данных, осуществить их
удаление (или, в зависимости от технических
возможностей, блокирование) и уведомить субъекта об
этом
Статья 9
43. Права и обязанности операторов и субъектов персональных данных
№Обязанность
Норма Закона
№ 99-З
13
По запросу субъекта персональных данных
предоставлять ему в доступной форме информацию о
том, какие его данные обрабатываются и как
(категории, сроки, источники и т. п.), кому они
передавались
Абзац 5 п.1
ст.16
14
В установленном порядке уведомлять уполномоченный
орган по защите прав субъектов персональных данных
о нарушениях систем защиты персональных данных
Абзац 8 п.1
ст.16
15
Выполнять указания уполномоченного органа по защите Абзац 9 п.1
прав субъектов персональных данных по изменению,
ст.16
блокированию или удалению недостоверных или
полученных незаконным путем персональных данных
44. Ответственность за нарушение требований законодательства при обработке персональных данных
Административная ответственностьСтатья 23.7. Нарушение законодательства о защите персональных данных
1. Умышленные незаконные сбор, обработка, хранение или предоставление
персональных данных физического лица либо нарушение его прав, связанных с
обработкой персональных данных, – влекут наложение штрафа в размере до пятидесяти
базовых величин.
2. Деяния, предусмотренные частью 1 настоящей статьи, совершенные лицом, которому
персональные данные известны в связи с его профессиональной или служебной
деятельностью, – влекут наложение штрафа в размере от четырех до ста базовых величин.
3. Умышленное незаконное распространение персональных данных физических лиц –
влечет наложение штрафа в размере до двухсот базовых величин.
4. Несоблюдение мер обеспечения защиты персональных данных физических лиц – влечет
наложение штрафа в размере от двух до десяти базовых величин, на индивидуального
предпринимателя – от десяти до двадцати пяти базовых величин, а на юридическое лицо – от
двадцати до пятидесяти базовых величин.
45. Ответственность за нарушение требований законодательства при обработке персональных данных
Уголовная ответственностьДо недавнего времени уголовный закон не содержал специальных
составов об ответственности за действия именно с персональными
данными.
Статья 179 Уголовного кодекса Республики Беларусь (УК)
предусматривала лишь ответственность за незаконные собирание
либо распространение сведений о частной жизни, составляющих
личную или семейную тайну другого лица, без его согласия,
повлекшие причинение вреда правам, свободам и законным
интересам потерпевшего. Кроме того, ряд статей УК предусматривал
ответственность за умышленное разглашение отдельных видов
охраняемой законом тайны (ст.ст. 177, 178, 203, 205).
46. Ответственность за нарушение требований законодательства при обработке персональных данных
Уголовная ответственностьЗаконом от 26 мая 2021 г. № 112-З УК дополнен двумя
новыми статьями: 203-1 «Незаконные действия в
отношении информации о частной жизни и персональных
данных» и 203-2 «Несоблюдение мер обеспечения защиты
персональных данных». При этом статья 179 из УК
исключена, а статьи 203-1 и 203-2 размещены в главе о
преступлениях против конституционных прав и свобод
человека и гражданина (статья 179 ранее размещалась в
главе о преступлениях против уклада семейных
отношений и интересов несовершеннолетних).
47. Ответственность за нарушение требований законодательства при обработке персональных данных
Уголовная ответственностьСтатья 2031. Незаконные действия в отношении информации о частной жизни
и персональных данных
1. Умышленные незаконные сбор, предоставление информации о частной жизни
и (или) персональных данных другого лица без его согласия, повлекшие причинение
существенного вреда правам, свободам и законным интересам гражданина, –
наказываются общественными работами, или штрафом, или арестом, или
ограничением свободы на срок до двух лет, или лишением свободы на тот же срок.
2. Умышленное незаконное распространение информации о частной жизни и (или)
персональных данных другого лица без его согласия, повлекшее причинение
существенного вреда правам, свободам и законным интересам гражданина, –
наказывается ограничением свободы на срок до трех лет или лишением свободы
на тот же срок со штрафом.
3. Действия, предусмотренные частями 1 или 2 настоящей статьи, совершенные
в отношении лица или его близких в связи с осуществлением им служебной
деятельности или выполнением общественного долга, –
наказываются ограничением свободы на срок до пяти лет или лишением свободы
на тот же срок со штрафом.
48. Ответственность за нарушение требований законодательства при обработке персональных данных
Уголовная ответственностьПо статье 203-1.
В части 1 рассматриваемой статьи криминализируются
умышленные незаконные сбор, предоставление информации о
частной жизни и (или) персональных данных другого лица без его
согласия, повлекшие причинение существенного вреда правам,
свободам и законным интересам гражданина.
После вступления в силу Закона (15 ноября 2021 г.) для данной
статьи уголовного кодекса должно применяться определение
персональных данных, содержащееся именно в этом Законе.
https://pravo.by/novosti/analitika/2021/june/65306/
49. Ответственность за нарушение требований законодательства при обработке персональных данных
Уголовная ответственностьВ рассматриваемой статье устанавливается ответственность как за
действия с персональными данными, так и за действия с
информацией о частной жизни. Исходя из положений Закона о
персональных данных, можно представить следующее соотношение
указанных категорий.
Сведения о частной жизни, которые обрабатываются с помощью
средств автоматизации и не предназначены для личного, семейного,
домашнего и иного подобного пользования, фактически будут
функционировать в режиме удвоения режима правовой защиты,
подпадая одновременно под режим как персональных данных, так и
под режим информации о частной жизни.
50. Ответственность за нарушение требований законодательства при обработке персональных данных
Уголовная ответственностьСведения о частной жизни, которые обрабатываются без
использования средств автоматизации (например, вручную) и
без создания системы поиска (например,
систематизированных картотек), либо сведения о частной
жизни, которые предназначены для личного, семейного,
домашнего и иного подобного пользования (например,
письма, справочник контактов в телефоне или список e-mail в
почтовом браузере), будут подпадать лишь под правовой
режим информации о частной жизни.
51. Ответственность за нарушение требований законодательства при обработке персональных данных
Уголовная ответственностьНаконец, сведения, которые относятся к лицу идентифицированному (то
есть, уже известному лицу, в отношении которого мы знаем ФИО, место
рождения, работы и др.), но не касаются его частной жизни, например,
информация об образовании, уровне заработной платы и др. будут
подпадать лишь под режим персональных данных.
Ответственность по рассматриваемой норме наступает лишь за два
действия, а именно – сбор или предоставление. Сбор персональных данных
предполагает собирание, получение таких данных независимо от того, от
кого получаются такие данные и на какой основе (возмездно или
безвозмездно). Предоставление персональных данных, в свою очередь,
согласно Закону, представляет собой действия, направленные на
ознакомление с персональными данными определенных лица или круга
лиц.
52. Ответственность за нарушение требований законодательства при обработке персональных данных
Уголовная ответственностьОбязательным элементом объективной стороны рассматриваемого
состава преступления является отсутствие согласия субъекта персональных
данных на действия с персональными данными.
Рассматриваемый состав сформулирован в виде материального состава.
Иными словами, преступление будет окончено лишь при наступлении
перечисленных общественно-опасных последствий, а именно –
существенного вреда правам, свободам и законным интересам
гражданина. При этом должна быть доказана причинно-следственная связь
между совершенными действиями с персональными данными и
наступившими последствиями.
В отличие от самих действий по сбору и предоставлению персональных
данных, которые совершаются только умышленно, по отношению к
наступлению последствий возможна как умышленная, так и неосторожная
форма вины.
53. Ответственность за нарушение требований законодательства при обработке персональных данных
Уголовная ответственностьСтатья 2032. Несоблюдение мер обеспечения защиты
персональных данных
Несоблюдение мер обеспечения защиты персональных
данных лицом, осуществляющим обработку персональных
данных, повлекшее по неосторожности их распространение и
причинение тяжких последствий, – наказывается штрафом, или
лишением права занимать определенные должности или
заниматься определенной деятельностью, или
исправительными работами на срок до одного года, или
арестом, или ограничением свободы на срок до двух лет, или
лишением свободы на срок до одного года.
54. Ответственность за нарушение требований законодательства при обработке персональных данных
Уголовная ответственностьЕсли статья 203-1 устанавливает ответственность за умышленные
действия с персональными данными, то статья 203-2 – за действия с
персональными данными, совершенные по неосторожности.
Данная статья предусматривает ответственность за несоблюдение мер
обеспечения защиты персональных данных лицом, осуществляющим
обработку персональных данных, повлекшее по неосторожности их
распространение и причинение тяжких последствий.
Закон о персональных данных не предусматривает конкретного перечня
мер, принятие которых было бы достаточным для обеспечения защиты
персональных данных. Перечень таких мер определяет сам оператор, исходя
из характера обрабатываемых персональных данных, круга лиц, имеющих
доступ к таким данным, и иных обстоятельств, связанных с обработкой
персональных данных.
55. Ответственность за нарушение требований законодательства при обработке персональных данных
Уголовная ответственностьВместе с тем несколько мер являются обязательными для всех
операторов во всех случаях. Их перечень определен в пункте 3 статьи
17 Закона о персональных данных.
Как уже отмечалось, распространение персональных данных
представляет собой действия, направленные на ознакомление с
персональными данными неопределенного круга лиц.
Рассматриваемый состав будет окончен с момента наступления
тяжких последствий. К тяжким последствиям могут быть отнесены, в
частности, потеря работы, ухудшение состояния здоровья, распад
семьи и др.
56. Ответственность за нарушение требований законодательства при обработке персональных данных
Статья 19. Ответственность за нарушение настоящего Закона1. Лица, виновные в нарушении настоящего Закона, несут
ответственность,
предусмотренную законодательными актами.
2. Моральный вред, причиненный субъекту персональных данных
вследствие
нарушения его прав, установленных настоящим Законом, подлежит
возмещению.
Возмещение морального вреда осуществляется независимо от возмещения
имущественного вреда и понесенных субъектом персональных данных
убытков.
57. Ответственность за нарушение требований законодательства при обработке персональных данных
Подводя итог сказанному, можно сделать вывод, чтопринятие Закона от 26 мая 2021 г. № 112-З,
установившего уголовную ответственность за
незаконные действия с персональными данными,
стало важным эволюционным этапом развития
законодательства о персональных данных и
необходимым условием для обеспечения действия
Закона о персональных данных.
58. Подготовка информационных систем и систем защиты информации операторов к обработке персональных данных
Меры по обеспечению защиты персональных данныхСт.17 ч.1 Оператор (уполномоченное лицо) обязан
принимать правовые, организационные и
технические меры по обеспечению защиты
персональных данных.
То есть фактически речь идет о создании системы
защиты информации.
59. Подготовка информационных систем и систем защиты информации операторов к обработке персональных данных
Меры по обеспечению защиты персональных данныхСт.17 ч.1 Оператор (уполномоченное лицо) определяет состав и
перечень мер, необходимых и достаточных для выполнения
обязанностей по обеспечению защиты персональных данных…
Может вводить в заблуждение право самостоятельно определять
состав и перечень мер, необходимых и достаточных для выполнения
обязанностей по обеспечению защиты персональных данных, но не
стоит забывать что минимальные требования регламентированы в
приказе Оперативно-аналитического центра при Президенте
Республики Беларусь от 20 февраля 2020 г. № 66 "О мерах по
реализации Указа Президента Республики Беларусь от 9 декабря 2019
г. № 449" с добавлением требований настоящего закона (ст.17 ч.3).
60. Подготовка информационных систем и систем защиты информации операторов к обработке персональных данных
Меры по обеспечению защиты персональных данныхОбязательные меры по обеспечению защиты персональных данных:
1)
Т.к. персональные данные являются подвидом информации
ограниченного распространения, то реализация требований данной
статьи должна выполнятся в соответствии с требованиями приказа
Оперативно-аналитического центра при Президенте Республики Беларусь
от 20 февраля 2020 г. № 66 "О мерах по реализации Указа Президента
Республики Беларусь от 9 декабря 2019 г. № 449" по осуществлению
технической и криптографической защиты персональных данных.
В случае, когда информационная система классифицирована как КВОИ,
то построение системы защиты идет в соответствии с требованиями для
КВОИ.
61. Подготовка информационных систем и систем защиты информации операторов к обработке персональных данных
Меры по обеспечению защиты персональных данныхОбязательные меры по обеспечению защиты персональных данных:
Кроме того, согласно ст. 17 п.3 обязательными мерами являются:
- назначение оператором (уполномоченным лицом), являющимся государственным органом,
юридическим лицом Республики Беларусь, иной организацией, структурного подразделения или
лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
- издание оператором (уполномоченным лицом), являющимся юридическим лицом Республики
Беларусь, иной организацией, индивидуальным предпринимателем, документов, определяющих
политику оператора (уполномоченного лица) в отношении обработки персональных данных;
- ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно
осуществляющих обработку персональных данных, с положениями законодательства о персональных
данных, в том числе с требованиями по защите персональных данных, документами, определяющими
политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также
обучение указанных работников и иных лиц в порядке, установленном законодательством;
- установление порядка доступа к персональным данным, в том числе обрабатываемым в
информационном ресурсе (системе).
62. Подготовка информационных систем и систем защиты информации операторов к обработке персональных данных
Меры по обеспечению защиты персональных данныхРекомендуемые меры по обеспечению защиты персональных данных:
При наличии в организации внедренной системы менеджмента
информационной безопасности в соответствии с СТБ ISO/IEC 27001-2016
Информационные технологии. Методы обеспечения безопасности. Системы
менеджмента информационной безопасности. Требования,
можно пробовать использовать рекомендации ISO/IEC 27701:2019 Методы
обеспечения безопасности. Дополнение к ISO/IEC 27001 и ISO/IEC 27002 по
менеджменту конфиденциальной информации. Требования и руководящие
указания. (ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC
27001 and ISO/IEC 27002 for privacy information management — Requirements
and guidelines)
63. Организация работ по обработке персональных данных
Задачи, связанные с реализациейтребований данного закона, должны
решаться не только специалистами по
информационной безопасности, но и
специалистами ИТ, юристами, бизнесаналитиками, руководителями
подразделений.
64. Общие задачи, связанные с реализацией требований данного закона
- Назначить структурное подразделение или лицо,ответственного за:
1) осуществление внутреннего контроля за
обработкой персональных данных;
2) взаимодействие с уполномоченным органом.
- Обеспечить согласование с данным структурным
подразделением или лицом всех основных решений в
деятельности организации, которые могут затронуть
обработку персональных данных.
65. Задачи по адаптации бизнес-процессов организации
- Определить виды персональных данных, получаемые, обрабатываемые ихранимые в организации (как с использованием, так и без использования средств
автоматизации). В случае обработки специальных персональных данных, определить
возникновение возможных рисков и определить комплекс мер, направленный на их
предупреждение.
Среди наиболее часто встречающихся - данные о работниках, представителях
контрагентов, клиентах (например, физические лица могут оставить свои данные
при заполнении информации для аккаунтов на веб-сайтах, в приложениях,
при заполнении карт лояльности или при обращении в организацию по любому
вопросу);
- Определить категории персональных данных, которые могут собираться по
упрощенной процедуре (то есть без получения согласия субъекта данных) в силу
прямого указания закона;
66. Задачи по адаптации бизнес-процессов организации
- Провести анализ бизнес-процессов, в которых обрабатываются ПД.Формализовать порядок сбора персональных данных во внутренних документах
организации. Определить цели, для которых собираются персональные данные,
а также их объем. С учетом проведенного анализа оценить, насколько эти данные
необходимы, чтобы максимально сократить объем собираемой и обрабатываемой
информации, ограничить сроки их хранения. Предусмотреть периодический анализ
собираемых и хранимых персональных данных, чтобы исключить хранение
информации, которая более не является необходимой для организации;
- Актуализировать и внедрить бизнес-процессы организации в соответствии с
требованиями закона (заключаемые договора, сайты).
67. Задачи по организации работы с субъектом персональных данных
- Разработать и ввести в действие документ(-ы), определяющиеполитику оператора в отношении обработки ПД для «внешнего
контура», то есть раскрывающую достаточно подробно информацию
о том, как, для чего, на каких условиях и на какой срок собираются
данные, а также как можно отказаться от их сбора или потребовать
удаления информации (в том числе формы согласий с учетом
собираемых персональных данных и целей их сбора);
- Обеспечить неограниченный доступ к таким документам до
начала обработки ПД;
- Обеспечить оперативную работу с ПД (получение/отзыв
согласия субъекта ПД на обработку, работа с заявлениями субъектов
ПД)
68. Задачи по адаптации информационной системы
- Адаптировать прикладное программноеобеспечение (системы документооборота, базы
данных), для выполнения требований по обработке
персональных данных.
- Провести мониторинг и адаптацию частей
информационной системы, где происходит (может
происходить) сбор персональных данных. Например,
формы обращений и обратной связи на сайтах,
мобильные приложения.
69. Задачи по адаптации системы информационной безопасности
- Уточнить (разработать) документы (положения, политики,инструкции) с учетом обязательств по выполнению требований
закона. В том числе, политику обработки персональных данных,
регулирующую процедурные вопросы их сбора, обработки
внутри организации, а также передачи третьим лицам, в том
числе с учетом деятельности;
- Описать и установить в информационной системе порядок
доступа к ПД при ее обработке (ролевой доступ, матрицы
доступа);
70. Задачи по адаптации системы информационной безопасности
- Провести ознакомление, обучение сотрудников с требованиямизаконодательства в области защиты ПД, с документом(-ами),
определяющим политику оператора в отношении обработки ПД. Все
лица, работающие с персональными данными, должны понимать,
какую информацию они имеют право раскрывать третьим лицам,
как следует реагировать на инциденты безопасности, связанные
с угрозой персональным данным, а также какие шаги должны быть
приняты после такого инцидента;
- Провести внутренний аудит, направленный на проверку
результатов изменений связанных с обработкой ПД;
- Добавить данный тип аудита в перечень периодических
внутренних аудитов.
Право