Право
24 декабря 2021Будет сложно, дорого и долго? Разрушаем 6 главных мифов вокруг закона «О защите персональных данных»
Закон «О защите персональных данных» вступил в силу с 15 ноября и затронул большинство белорусских предпринимателей — от крупных компаний до семейных производств. Вопросов до сих пор больше, чем ответов. Кому и как теперь правильно собирать, хранить и обрабатывать персональные данные? Вместе с Александром Янковским, инженером по информационной безопасности hoster.by, разбираем основные мифы вокруг нового для Беларуси закона и объясняем, что на самом деле важно знать и как нужно действовать.
Миф 1. «Персональные данные — это только паспортные данные»
Что сказано в законе:
Персональные данные — это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Что это значит:
Если мы храним номер паспорта, полное ФИО, адрес — это однозначно персональные данные, так как они относятся к конкретному физическому лицу. Но намного важнее то, что данные, по которым пользователь может быть идентифицирован, также относятся к персональным данным.
Например, Иванов Иван Иванович покупает путевку в турагентстве. Он оставляет свои ФИО, серию и номер паспорта, телефон. Мы понимаем, что это персональные данные, и с ними надо работать в соответствии с законом.
Однако Иванов Иван Иванович подписывается в интернете как «Виктор Михайлов». «Виктор Михайлов» делает заказ в интернет-магазине через форму «купить в 1 клик», где указывает только свой номер телефона и вымышленное имя. Как только эти данные вносятся в базу интернет-магазина, данные «Виктора Михайлова» становятся персональными, и их требуется оберегать согласно закону.
Если человек оставил только номер телефона, но этот телефон не попал в базу и по результатам звонка менеджера никаких записей в CRM интернет-магазина или на любой бумажный носитель не было, эти данные не попадают под требования закона.
Читайте также: В Беларуси вступил в силу Закон «О защите персональных данных»: что нужно знать бизнесу
Миф 2. «Для защиты персональных данных достаточно хорошего антивируса, а аттестация — это по желанию»
Что сказано в законе:
Оператор (уполномоченное лицо) обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных.
Что это значит:
Закон о защите персональных данных — это целый ряд юридических и технических мероприятий. В законе прописана юридическая процедура в целом, однако техническую сторону регламентирует приказ ОАЦ № 66. Согласно ему, информационные системы с выходом в интернет, обрабатывающие, хранящие и передающие персональные данные, не включающие фото и биометрию, подпадают под класс защиты информации «3-ин» и, следовательно, должны соответствовать требованиям данного приказа. Поэтому одним антивирусом ограничиться не получится (хотя он тоже нужен).
Для того чтобы быть уверенными, что персональные данные ваших клиентов надежно сохранены и при необходимости доказать это, вам необходимо:
- Назначить ответственного за работу с персональными данными
- Описать регламенты работы с персональными данными
- Побеспокоиться о специализированном защищенном хостинге для своего сайта
- Провести ряд мероприятий для аттестации информационной системы.
Также рекомендуем:
- Отказаться от почты в gmail, yandex, mail в пользу профессиональных защищенных решений
- Использовать лицензионное ПО вместо Google Docs и подобных бесплатных сервисов
- Регулярно проводить аудит безопасности в компании.
Миф 3. «Нужно аттестовать все сайты, которые у меня есть»
Что сказано в законе:
Обязательными мерами по обеспечению защиты персональных данных являются:
- Осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
Что это значит:
Аттестовывать нужно не все сайты. Аттестации подлежит та часть вашей инфраструктуры, благодаря которой обеспечивается получение, хранение и обработка персональных данных ваших клиентов. Например, CRM или любая бухгалтерская система.
Сама аттестация — это процесс, в котором участвуют три стороны: компания, хостинг-провайдер и лицензиар Оперативно-аналитического центра. Лицензиар проводит аудит вашей информационной системы, проектирует систему защиты информации и техническое задание. Хостинг-провайдер предоставляет необходимую инфраструктуру по заявленным в техническом задании требованиям. И лишь после этого можно получить аттестат.
В hoster.by инфраструктура аттестована в соответствии с необходимыми требованиями по защите персональных данных, а благодаря полученной лицензии ОАЦ в hoster.by можно обратиться за проведением всего процесса аттестации, сократив сроки и затраты.
Еще больше бизнеса — в нашем Telegram-канале. Подпишись!
Миф 4. «Ответственным за работу с персональными данными может быть только специалист по инфобезопасности»
Нет, это не техническая, а, скорее, юридическая должность. И да, этому человеку придется работать в плотной связке с системным администратором, специалистом по информационной безопасности. Но основная часть вопросов будет носить юридический характер.
Ответственное лицо должно точно понимать, что реализованные решения соответствуют требованиям закона. Поэтому лучшим кандидатом на управление этими процессами будет юрист.
Миф 5. «Это то же самое, что GDPR. Если пользователь дает согласие на сбор данных, нам больше ничего не нужно»
Это не так. GDPR (General Data Protection Regulation) — это общий регламент защиты персональных данных граждан Европейского союза. По каждому из сценариев сбора и обработки данных пользователь должен дать согласие, установив галочки в соответствующей форме.
Белорусский закон «О защите персональных данных» в дополнение к этому предусматривает ряд мероприятий по защите информации. Например, пройти процедуру аттестации, которая связана с проектированием системы защиты информации, приобретением сертифицированного ПО (антивирус, фаерволл), оборудования, их внедрением, сопровождением и т.д. Если делать все это самостоятельно, будет сложно, дорого и долго. Намного более простой и дешевый вариант — пользоваться профильными услугами одного из хостинг-провайдеров, у которого инфраструктура аттестована в соответствии с приказом ОАЦ.
Миф 6. «Пока нет конкретных требований, будем смотреть по обстоятельствам»
Уже есть вполне конкретные требования и дорожные карты, которое можно брать в работу. Чтобы соответствовать закону «О защите персональных данных», прямо сейчас можно предпринять следующие шаги:
1. Назначьте ответственного за работу с персональными данными в компании. Закон предусматривает, что именно на этом человеке будет вся ответственность за этот вопрос.
2. Зафиксируйте все бизнес-процессы, в которых вы получаете и используете персональные данные клиентов, партнеров, подрядчиков.
3. Проанализируйте эти процессы на предмет соответствия требованиям законодательства о персональных данных. При необходимости откорректируйте порядок обработки персональных данных.
4. Разработайте необходимые локальные акты. А именно:
- Порядок доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе)
- Перечень информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых он является
- Категории персональных данных, подлежащих включению в такие ресурсы (системы)
- Срок хранения персональных данных
- Перечень уполномоченных лиц, если обработка персональных данных осуществляется такими лицами
- Порядок внутреннего контроля за соблюдением в организации законодательства о персональных данных (законодательством данная мера не предусмотрена).
5. Реализуйте организационные и технические меры по обеспечению:
- Отзыва согласия субъекта персональных данных в электронной форме, если согласие субъекта было получено в такой форме
- Подтверждения информации о способе полученного согласия и условиях, при которых оно было дано (например, сохранение информации о сеансе, во время которого было получено согласие, вместе с копией информации, которая была предоставлена субъекту в это время)
- Фиксации и хранения информации о предоставлении персональных данных третьим лицам.
6. Аттестуйте свои информационные системы, которые собирают персональные данные, по нужному классу. Либо работайте с провайдером, который уже прошел такую аттестацию и предоставляет мощности своих серверов в аренду.