Авторизуйтесь Чтобы скачать свежий номер №24(2718) от 29.03.2024 Смотреть архивы


USD:
3.2498
EUR:
3.5019
RUB:
3.5223
Золото:
229.1
Серебро:
2.56
Платина:
93.62
Палладий:
101.66
Назад
Распечатать с изображениями Распечатать без изображений

Законодательство о защите персональных данных: оценка юриста

Кирилл Лаптев. Фото: Sorainen

Ровно три месяца действует Закон от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон). Партнер международной юридической фирмы Sorainen, член Консультативного совета при Национальном центре защиты персональных данных (НЦЗПД) Кирилл Лаптев во время вебинара поделился профессиональным мнением о законодательных новшествах и первом опыте их применения.

По мнению специалиста, правоприменительная практика в отношении норм нового Закона нарабатывается «с одной стороны, постепенно, с другой – стремительно».

«Постепенность заключается в том, что регулятор не начал применять жесткие меры при нарушениях, а перешел к разъяснениям и образовательной работе», – пояснил спикер.

По информации юриста, в ближайшее время в план проверок НЦЗПД намерен включить 6 крупных организаций, представляющих основные сектора, в которых используется обработка персональных данных: электронную торговлю, ритейл, банковскую сферу, вопросы найма (рекрутинг), сектор телекоммуникаций и сферу ЖКХ. План должен быть опубликован на сайте НЦЗПД.

Кирилл Лаптев выделил три ключевых направления работы Центра защиты персональных данных:

­– контрольная функция;

– реагирование на обращения и жалобы;

– методическая и образовательная функция.

Обучение: кто, где и когда?

В последней части есть новшество, которое в регулировании отличает Беларусь, например, от практики России, пояснил юрист. Оно заключается в обязательном прохождении обучения специалистами организаций, работающих с персональными данными. При этом внутреннее обучение силами самих организаций должно проводиться для всех сотрудников, имеющих доступ к персональным данным.

Согласно Закону собственники (владельцы) информационных систем обеспечивают обучение в НЦЗПД не реже одного раза в три года своих работников, обеспечивающих информационную безопасность.

До 15 ноября ежегодно они должны предоставлять регулятору информацию о количестве таких работников.

Не реже одного раза в пять лет должно быть обеспечено прохождение обучения ответственным за осуществление внутреннего контроля за обработкой данных, а также лицами, непосредственно осуществляющими их обработку, – в НЦЗПД, учреждениях образования и иных организациях, которым предоставлено такое право, или у самих операторов персональных данных.

Непосредственно в Центре защиты данных должны учиться ответственные за осуществление внутреннего контроля в банках и НКФО, страховых организациях, организациях здравоохранения, у операторов электросвязи (кроме ИП), в риелторских организациях, а также у операторов персональных данных, осуществляющих их обработку в отношении не менее 10 тысяч физлиц, за исключением данных работников.

Вопросы обучения регулируются отдельным Указом от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных».

Ответственность: дисциплинарная, административная, уголовная

Говоря об ответственности за несоблюдение Закона, специалист подчеркнул, что к ней разработчики подошли комплексно.

Еще до принятия НПА, с 1 марта 2021 г., в КоАП добавлена ст. 23.7, посвященная персональным данным. Большинство ее пунктов относятся к действиям физлиц и только один – к юрлицам. Полномочия на составление протоколов по ней есть у органов внутренних дел. Что важно, НЦЗПД как регулятор не наделен компетенцией на их составление.

В частности, умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, влекут наложение штрафа в размере до 50 базовых величин (БВ). Те же деяния, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, влекут наложение штрафа в размере от 4 до 100 БВ.

Умышленное незаконное распространение персональных данных физлиц может повлечь за собой штраф до 200 БВ. Несоблюдение мер обеспечения защиты персональных данных физлиц – наложение штрафа в размере от 2 до 10 БВ, на ИП – от 10 до 25 БВ, а на юрлицо – от 20 до 50 БВ.

В июне 2021 г. в УК введены две новые статьи – 203-1 и 203-2. Первая из них касается незаконного распространения данных, вторая – несоблюдения мер их защиты. Ответственность применяется только к физическим лицам, как и любая уголовная ответственность в рамках белорусского законодательства.

Так, умышленные незаконные сбор, предоставление информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина, наказываются общественными работами, или штрафом, или арестом, или ограничением свободы на срок до 2 лет, или лишением свободы на тот же срок.

Умышленное незаконное распространение информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшее причинение существенного вреда правам, свободам и законным интересам гражданина, – ограничением свободы на срок до 3 лет или лишением свободы на тот же срок со штрафом.

Эти же действия в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга наказываются ограничением свободы на срок до 5 лет или лишением свободы на тот же срок со штрафом.

Несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим их обработку, повлекшее по неосторожности их распространение и причинение тяжких последствий, наказывается штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или исправительными работами на срок до 1 года, или арестом, или ограничением свободы на срок до 2 лет, или лишением свободы на срок до 1 года.

Юристам известно о возбуждении уголовных дел по первой из двух статей.

Также предусмотрена дисциплинарная ответственность за нарушение законодательства о защите персональных данных. В ТК внесено положение о том, что сотрудника можно уволить по инициативе нанимателя, если он допустил соответствующее нарушение (п. 10 ч. 1 ст. 47 ТК).

Обеспечить сохранность

Важным аспектом в работе с персональными данными, по словам Кирилла Лаптева, является предотвращение их утечек.

Установлено, что любой оператор должен уведомить регулятора о нарушении системы их защиты – незамедлительно, но не позднее трех рабочих дней от момента, когда стало известно об этом факте.

Исключениями являются ситуации, когда такая утечка не повлекла за собой распространение этих данных либо когда, несмотря на произошедшее, удалось обеспечить их сохранность и неизменность.

Установлены порядок и форма сообщения, включающая в т.ч. примерное количество субъектов, персональные данные которых были распространены, указание предпринятых оператором мер и оценку последствий утечки.

Уже фиксируются случаи привлечения к административной ответственности из-за утечек персональных данных по ст. 23.4. КоАП (несанкционированный доступ к компьютерной информации). Она предусматривает наложение штрафа в размере от 20 до 30 БВ.

Подготовка рекомендаций

На данный момент регулятор подготовил и презентовал свои Рекомендации по обработке персональных данных в связи с трудовой (служебной) деятельностью и по назначению в организациях ответственных лиц за осуществление внутреннего контроля за их обработкой.

Кирилл Лаптев рассказал, что уже состоялись два заседания Консультативного совета при НЦЗПД. На них обсуждались вопросы, наиболее часто задаваемые при обращениях граждан и субъектов хозяйствования.

Речь идет о разработке подхода к тем персональным данным, которые собирались еще до вступления в силу нового Закона, т.е. до 15.11.2021, – каким образом следует продолжать их обработку. Второй вопрос касается обработки персональных данных иностранных организаций, у которых есть представительства в Беларуси. По ним возможно появление разъяснений регулятора.

Использование материала без разрешения редакции запрещено. За разрешением обращаться на op@neg.by

Распечатать с изображениями Распечатать без изображений