Автор: Прохор Садков, старший аналитик
Закон Республики Беларусь № 99-З «О защите персональных данных» был принят 7 мая 2021 года. До этого момента в Республике Беларусь отсутствовал нормативный акт, определяющий порядок обработки и защиты персональных данных (ПДн), а было лишь определение ПДн и требование о получении согласия на их обработку в Законе Республики Беларусь № 455-З от 10 ноября 2008 года «Об информации, информатизации и защите информации».
Если российская компания имеет свое представительство на территории Республики Беларусь или осуществляет обработку ПДн от имени или в интересах государственного органа, юридического лица и гражданина Республики Беларусь, то она должна учитывать требования российского и белорусского законов о ПДн.
Применимость закона не установлена в случаях, когда иностранные организации обрабатывают ПДн граждан Белоруссии, но не имеют своего представительства на его территории. Например, если российская компания владеет сайтом рассчитанным на белорусскую аудиторию.
В этой статье мы рассмотрим насколько эти законы отличаются и к каким особенностям белорусского законодательства о ПДн должны быть готовы российские компании.
Закон о защите ПДн Республики Беларусь разрабатывался с учетом положений:
- Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных № 108 от 28 января 1981 года;
- Общего регламента о защите персональных данных Европейского Парламента и Совета Европейского союза от 27 апреля 2016 года (GDPR);
- Законов о ПДн Российской Федерации, Украины, Казахстана, Молдовы, Польши и других.
В связи с чем в белорусском законе можно встретить цитаты российского закона, но также есть и различия, на которые мы обратим внимание в этой статье.
За нарушение белорусского законодательства о ПДн статьей 23.7 Кодекса об административных правонарушениях Республики Беларусь предусмотрена административная ответственность в виде штрафов.
Российское и белорусское законодательства отличаются в требованиях к содержанию формы согласия на обработку ПДн:
- в российском законодательстве, на момент написания статьи, продолжает действовать принцип «одна цель – одно согласие». В соответствии с белорусским законодательством в согласии можно указать несколько целей обработки ПДн;
- отдельной формы согласия на обработку общедоступных ПДн в белорусском законодательстве нет. В российском законодательстве утверждены требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения;
- перечень действий с ПДн в российском законодательстве шире, чем в белорусском. В белорусском законодательстве нет следующих действий: запись, накопление, уточнение, обновление, извлечение, доступ и уничтожение;
- в белорусском законодательстве генетические ПДн выделены в отдельную категорию.
В соответствии с белорусским законодательством не требуется согласие на обработку ПДн, когда ПДн содержатся в документе, адресованном оператору и подписанным субъектом ПДн.
2. Политика обработки персональных данных
Мы сравнили Рекомендации к политике в отношении обработки ПДн Национального центра защиты персональных данных Республики Беларусь и Рекомендации по составлению документа, определяющего политику оператора в отношении обработки ПДн, Роскомнадзора. В результате, чтобы адаптировать политику в отношении обработки ПДн, подготовленную в соответствии с российским законодательством, под требования белорусского законодательства, необходимо указать:
- источники получения ПДн;
- контактные данные лица или подразделения, ответственного за осуществление внутреннего контроля за обработкой ПДн;
- информацию, отнесены ли страны, куда планируется осуществлять трансграничную передачу ПДн, к государствам, на территории которых обеспечивается надлежащий уровень защиты прав субъектов ПДн в соответствии с приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 года № 14.
Законы Республики Беларусь и Российской Федерации отличаются сроками реагирования оператора ПДн на запросы субъектов ПДн. В соответствии с белорусским законодательством у оператора срок реагирования на запросы субъекта ПДн меньше:
- 5 дней на предоставление субъекту ПДн информации об обработке его ПДн. В российском законе установлен срок 30 дней;
- 15 дней на изменение, удаление, блокирование, прекращение обработки ПДн или уведомление субъекта о невозможности удаления его ПДн. В российском законодательстве установлены разные сроки от 7 рабочих дней до 30 дней;
- 15 дней на предоставление информации о том, кому и какие ПДн субъекта ПДн предоставлялись в течение года. Такой запрос субъект ПДн может отправить не больше одного раза в год. В российском законодательстве такая обязанность не установлена, информация о передаче ПДн предоставляется в рамках обычного запроса, срок рассмотрения которого 30 дней.
Ответственный за организацию обработки ПДн в белорусском законе называется ответственным за осуществление внутреннего контроля за обработкой ПДн. Конкретные квалификационные требования к ответственному за осуществление внутреннего контроля за обработкой ПДн не определены. Если оператор относится к организациям, перечисленным в приказе Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 года № 194, то лица, ответственные за осуществление внутреннего контроля за обработкой ПДн, обязаны проходить обучение в Национальном центре защиты персональных данных.
Лица, осуществляющие обработку ПДн, должны проходить обучение не реже 1 раза в 5 лет. Порядок обучения определяется оператором и может проходить у оператора в форме собеседования, опроса, тестирования и других формах, а также в образовательных учреждениях или в Национальном центре защиты ПДн.
Операторы должны ежегодно до 15 ноября отчитываться в Национальный центр защиты персональных данных о количестве лиц, которым необходимо пройти обучение в Национальном центре защиты персональных данных.
В российском законодательстве подобных требований по обучению и повышению квалификации ответственных лиц нет.
5. Меры защиты персональных данных
Алгоритм приведения деятельности операторов в соответствие требованиям Закона Республики Беларусь о защите ПДн размещен на официальном сайте Национального центра защиты персональных данных. Алгоритм не противоречит требованиям российского законодательства по организации обработки ПДн за исключением требований к техническим мерам защиты информации.
Требования к системе технической и криптографической защиты ПДн формируются на основании класса информационной системы, содержащей ПДн. На данный момент существует две разные системы классификации информационных систем.
Первая: в зависимости от категории содержащихся в них ПДн в соответствии с приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 года № 12 – меры защиты в соответствии с такой классификацией еще не утверждены, но должны появиться в ближайшее время.
Вторая: в зависимости от доступа к открытым каналам передачи данных (сети Интернет) и категории обрабатываемой информации в соответствии с приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 года № 66. Информационные системы, обрабатывающие ПДн и не подключенные к открытым каналам передачи данных, относятся к классу 4-фл, а подключенные к открытым каналам – к 3-фл. Указанный приказ похож по своему содержанию на приказ ФСТЭК России от 18 февраля 2013 года № 21. В обоих приказах для каждого класса или уровня защищенности определен базовый перечень технических мер, которые оператор может адаптировать в зависимости от используемых информационных технологий или наличия компенсирующих мер. Базовый перечень мер в приказах отличается, поэтому потребуется проверка полноты реализации технических мер защиты, требуемых белорусским законодательством.
6. Уведомление о нарушении системы защиты персональных данных
В соответствии с белорусским законодательством установлен срок 3 дня на уведомление Национального центра защиты персональных данных Республики Беларусь о нарушении систем защиты ПДн. Уведомление отправляется в соответствии с приказом директора Национального центра защиты персональных данных от 15 ноября 2021 года № 13. В российском законодательстве требование уведомления уполномоченного органа по защите ПДн о нарушении системы защиты не предусмотрено.
7. Реестр операторов персональных данных
Операторы ПДн в Республике Беларусь с 1 января 2024 года обязаны вносить в реестр операторов ПДн сведения об информационных системах, содержащих ПДн, и поддерживать сведения в реестре в актуальном состоянии.
До 1 августа 2022 года Оперативно-аналитическим центром при Президенте Республики Беларусь будут определены виды информационных систем, сведения о которых подлежат внесению в реестр, а также перечень включаемых в него сведений и сроки их внесения в реестр. Основания для обработки ПДн без внесения сведений в реестр операторов ПДн не определены в отличие от российского законодательства.
Заключение
Даже если компания выполняет все требования российского законодательства по ПДн, то для соответствия требованиям белорусского законодательства потребуется внести изменения в процессы обработки и защиты ПДн. Для соответствия белорусскому законодательству о защите ПДн российской компании необходимо:
- скорректировать форму согласия на обработку ПДн и документы, определяющие политику в отношении обработки ПДн;
- учитывать иные сроки реагирования на запросы субъектов ПДн;
- уведомлять Национальный центр защиты ПДн Республики Беларусь о нарушении систем защиты ПДн;
- проводить обучение работников по вопросам обработки ПДн 1 раз в 5 лет;
- отправить на обучение ответственного за осуществление внутреннего контроля за обработкой ПДн в Национальный центр защиты ПДн Республики Беларусь, если ваша компания относится к организациям, упомянутым ранее;
- провести категорирование информационных систем, содержащих ПДн;
- применять технические и криптографические меры защиты информации в соответствии с белорусским законодательством.
При необходимости эксперты Аналитического центра УЦСБ готовы проконсультировать вас по вопросам белорусского законодательства о защите ПДн и разработать необходимые документы. Свои обращения можно направлять по адресу compliance@ussc.ru