Содержание
15.11.2021 г. в Беларуси начал действовать закон “О защите персональных данных”, где собраны и описаны все необходимые меры для соблюдения требований по хранению и обработке персональных данных в Республике Беларусь . НПА о защите личной информации на территории РБ использовались и ранее, однако не были связаны единым законодательным решением.
К личной информации относятся конкретные сведения о гражданах. К их сохранности в секрете выдвинуты значительные требования.
Понятие персональных данных
Персональные данные – это личные сведения о человеке, с помощью которых его можно идентифицировать. К личной информации относятся:
- информация из паспорта конкретного гражданина: ФИО, дата рождения, адрес прописки и проживания, место рождения, пол, серия и номер паспорта, личный код (если есть);
- биометрия: отпечатки пальцев и ладоней, радужная оболочка глаза в высоком качестве, параметры лица и его изображение, иные приметы внешности, по которым человека легко найти;
- генетические сведения – ДНК, группа крови и сведения о резус-факторе;
- особо личная информация – раса и нация, к которой принадлежит человек, политические убеждения, профсоюзная активность, вероубеждения, сведения о здоровье, случаи наступления административной, уголовной ответственности (если таковые были);
- номер сотового или домашнего телефона;
- постоянный IP адрес в Интернете (если имеется);
- e-mail (если есть);
- сведения о геопозиции.
Закон обосновывает понятие о личной информации в общем доступе. Такие сведения о гражданине публикуются с его разрешения. К ним относят, например, информацию, опубликованную в соцсетях.
Аудит информационных систем позволяет улучшить показатели эффективности при управлении информационными ресурсами. Благодаря этому также можно проводить оценку работоспособности и безопасности системы, которая уже используется и внедрена в работу. Своевременный аудит определяет проблемы, которые в большинстве случаев оказывают негативное влияние на бизнес-процессы, происходящие в организации.
Что такое обработка персональных данных?
Обработка персональных данных – любые манипуляции, совершаемые с личной информацией о человеке. К обработке личной информации относятся: рассылки по электронной почте, содержание реестра заказчиков, анализ результатов опросов и т. д.
Ответственность, которую несёт компания, обрабатывающая персональные данные
Компания, сохраняющая и обрабатывающая персональные данные, ответственна за их хранение в базах данных компании, их целевое применение и за их защиту от посторонних лиц.
Обработка личной информации ограничена путём решения определённых, оговоренных изначально целей. К примеру, когда мобильный номер заказчика потребовался для обратного вызова представителем фирмы, фирма не имеет права рассылать собственную информацию на этот номер по SMS или с использованием приложений обмена мгновенными сообщениями. При возникновении такой необходимости гражданин, оставивший свой номер, должен (или не должен) разрешить фирме присылать рассылку.
Как получить согласие на обработку личных данных?
Согласно новым законодательным условиям, гражданин вправе разрешить обработку личной информации в письме, электронным документом или иначе. В качестве примера – отметка в в форме регистрации на определённом сайте.
Когда не требуется согласие гражданина на обработку персональных данных?
Согласно условиям статьи 6 закона, соглашение на обработку личной информации о человеке не потребуется в ряде случаев. Согласие гражданина на предоставление сведений о себе не требуется при наступлении следующих ситуаций:
- При заключении трудовых договоров, контрактов – при устройстве на работу, в процессе исполнения трудовых и служебных обязательств и при уходе с этого же места работы.
- Получение информации по условиям договора, заключённого физ.лицом, для определённых действий, совершённых в рамках этого же договора.
- Обработка личной информации, указанной в документе, который направляется оператору и подписан субъектом персональных данных.
- При нотариальном сопровождении .
- В целях исследований – единственным условием является обезличивание личной информации.
- В целях защиты жизни и здоровья, других жизненно важных интересов гражданина в случаях, когда субъект персональных данных не может дать такое согласие.
Данные условия также выполняются, когда в дело вступают гос.службы, государственные органы, отдельные их представители: в случае голосования на выборах, защите интересов в суде, сборе статистики, осуществление референдумов и т. д.
Что должна сделать компания, чтобы соблюсти закон о защите персональных данных?
Компания, соблюдающая закон о защите персональных данных, обязана сделать следующее:
- Выделить лиц, ответственных за защиту персональных данных.
- Разработать политику по обработке и хранению персональных данных. Политику необходимо выложить в открытый доступ – на сайте компании.
- Разработать формы, позволяющие получить согласие человека на обработку личной информации. В перечень такой информации входит наименование фирмы, цель использования личной информации, срок использования и иные условия – они описаны в статье №5 соответствующего закона.
- Сообщить работникам о новом законе и политике фирмы в отношении личной информации.
- Обучить сотрудников, ответственных за обращение с личной информацией.
- Ввести порядок доступа к личным данным и работе с ними.
- Принять меры по организации технической и криптографической защите персональных данных.
Нормативы о защите персональных данных доступны в содержании приказа оперативно-аналитического центра при Президенте Республики Беларусь от 20.02.2020 г. №66. ИС, где сохраняются и обрабатываются личные данные, обязаны соответствовать множеству требований.
Права субъекта персональных данных
Когда закон начал действовать, любой заказчик или пользователь, чьи личные данные обрабатываются, получил права:
- отозвать согласие на использование личной информации о нём;
- требовать сведения об обработке такой информации – как компания обрабатывает её и зачем использует;
- вносить правки в личную информацию о себе;
- затребовать сведения о предоставлении своих данных третьей стороне (к примеру, фирмам, проводящим маркетинговые исследования);
- потребовать удалить свои личные данные – или прекратить их использовать.
Меры ответственности за нарушение закона “О персональных данных”
В статье 23.7 Кодекса об административных правонарушениях Беларуси указана административная ответственность, равная штрафу в размере 200 БВ. Такая мера применима в следующих случаях.
- Нелегальный сбор, обработка, хранение или выдача личных данных физлица или соответствующее правонарушение, связанное с обработкой его личной информации.
- Нелегальное распространение личной информации по определённому умыслу.
- Пренебрежение компанией мерами по защите персональных данных.
Административная ответственность наступает по отношению к компании или конкретным её работникам, которые заняты обработкой и защитой персональных данных. Уголовная ответственность применима лишь к физлицам.
Компания, разгласившая личную информацию, в результате чего потерпевшее лицо пострадало от ущерба в имущественном или моральном плане, несёт гражданскую ответственность.
Результат безответственного отношения к личной информации о гражданах – утрата служебной репутации. Несоблюдение мер защиты от киберугроз также становится причиной утечки персональной информации в корыстных целях сторонних лиц. Предлагаем в качестве превентивного решения услуги защищенной инфраструктуры “ИС ЗИ БФТ” от ЗАО “Банковско-финансовая телесеть”.