26 декабря
Разреши себе вести бизнес по-королевски с Белинвестбанком!
2 | 1 | 2 |
Закон «О защите персональных данных» вступил в силу с 15 ноября и затронул большинство белорусских предпринимателей — от крупных компаний до семейных производств. Вопросов до сих пор больше, чем ответов. Кому и как теперь правильно собирать, хранить и обрабатывать персональные данные? Вместе с Александром Янковским, инженером по информационной безопасности hoster.by, разбираем основные мифы вокруг нового для Беларуси закона и объясняем, что на самом деле важно знать и как нужно действовать.
Что сказано в законе:
Персональные данные — это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Что это значит:
Если мы храним номер паспорта, полное ФИО, адрес — это однозначно персональные данные, так как они относятся к конкретному физическому лицу. Но намного важнее то, что данные, по которым пользователь может быть идентифицирован, также относятся к персональным данным.
Например, Иванов Иван Иванович покупает путевку в турагентстве. Он оставляет свои ФИО, серию и номер паспорта, телефон. Мы понимаем, что это персональные данные, и с ними надо работать в соответствии с законом.
Однако Иванов Иван Иванович подписывается в интернете как «Виктор Михайлов». «Виктор Михайлов» делает заказ в интернет-магазине через форму «купить в 1 клик», где указывает только свой номер телефона и вымышленное имя. Как только эти данные вносятся в базу интернет-магазина, данные «Виктора Михайлова» становятся персональными, и их требуется оберегать согласно закону.
Если человек оставил только номер телефона, но этот телефон не попал в базу и по результатам звонка менеджера никаких записей в CRM интернет-магазина или на любой бумажный носитель не было, эти данные не попадают под требования закона.
Читайте также: В Беларуси вступил в силу Закон «О защите персональных данных»: что нужно знать бизнесу
Что сказано в законе:
Оператор (уполномоченное лицо) обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных.
Что это значит:
Закон о защите персональных данных — это целый ряд юридических и технических мероприятий. В законе прописана юридическая процедура в целом, однако техническую сторону регламентирует приказ ОАЦ № 66. Согласно ему, информационные системы с выходом в интернет, обрабатывающие, хранящие и передающие персональные данные, не включающие фото и биометрию, подпадают под класс защиты информации «3-ин» и, следовательно, должны соответствовать требованиям данного приказа. Поэтому одним антивирусом ограничиться не получится (хотя он тоже нужен).
Для того чтобы быть уверенными, что персональные данные ваших клиентов надежно сохранены и при необходимости доказать это, вам необходимо:
Также рекомендуем:
Что сказано в законе:
Обязательными мерами по обеспечению защиты персональных данных являются:
Что это значит:
Аттестовывать нужно не все сайты. Аттестации подлежит та часть вашей инфраструктуры, благодаря которой обеспечивается получение, хранение и обработка персональных данных ваших клиентов. Например, CRM или любая бухгалтерская система.
Сама аттестация — это процесс, в котором участвуют три стороны: компания, хостинг-провайдер и лицензиар Оперативно-аналитического центра. Лицензиар проводит аудит вашей информационной системы, проектирует систему защиты информации и техническое задание. Хостинг-провайдер предоставляет необходимую инфраструктуру по заявленным в техническом задании требованиям. И лишь после этого можно получить аттестат.
В hoster.by инфраструктура аттестована в соответствии с необходимыми требованиями по защите персональных данных, а благодаря полученной лицензии ОАЦ в hoster.by можно обратиться за проведением всего процесса аттестации, сократив сроки и затраты.
Еще больше бизнеса — в нашем Telegram-канале. Подпишись!
Нет, это не техническая, а, скорее, юридическая должность. И да, этому человеку придется работать в плотной связке с системным администратором, специалистом по информационной безопасности. Но основная часть вопросов будет носить юридический характер.
Ответственное лицо должно точно понимать, что реализованные решения соответствуют требованиям закона. Поэтому лучшим кандидатом на управление этими процессами будет юрист.
Это не так. GDPR (General Data Protection Regulation) — это общий регламент защиты персональных данных граждан Европейского союза. По каждому из сценариев сбора и обработки данных пользователь должен дать согласие, установив галочки в соответствующей форме.
Белорусский закон «О защите персональных данных» в дополнение к этому предусматривает ряд мероприятий по защите информации. Например, пройти процедуру аттестации, которая связана с проектированием системы защиты информации, приобретением сертифицированного ПО (антивирус, фаерволл), оборудования, их внедрением, сопровождением и т.д. Если делать все это самостоятельно, будет сложно, дорого и долго. Намного более простой и дешевый вариант — пользоваться профильными услугами одного из хостинг-провайдеров, у которого инфраструктура аттестована в соответствии с приказом ОАЦ.
Уже есть вполне конкретные требования и дорожные карты, которое можно брать в работу. Чтобы соответствовать закону «О защите персональных данных», прямо сейчас можно предпринять следующие шаги:
1. Назначьте ответственного за работу с персональными данными в компании. Закон предусматривает, что именно на этом человеке будет вся ответственность за этот вопрос.
2. Зафиксируйте все бизнес-процессы, в которых вы получаете и используете персональные данные клиентов, партнеров, подрядчиков.
3. Проанализируйте эти процессы на предмет соответствия требованиям законодательства о персональных данных. При необходимости откорректируйте порядок обработки персональных данных.
4. Разработайте необходимые локальные акты. А именно:
5. Реализуйте организационные и технические меры по обеспечению:
6. Аттестуйте свои информационные системы, которые собирают персональные данные, по нужному классу. Либо работайте с провайдером, который уже прошел такую аттестацию и предоставляет мощности своих серверов в аренду.
26 декабря
Разреши себе вести бизнес по-королевски с Белинвестбанком!
26 декабря
Максимальное вдохновение и мотивация: Беларусбанк выпустил очень добрый корпоративный календарь
26 декабря
Как избежать протечек и износа кровли: почему важна жесткость основания под гидроизоляцию
24 декабря
МТБанк предлагает поделиться частичкой тепла, отправив родным и близким уникальную новогоднюю открытку
23 декабря
Белагропромбанк поможет развивать ваш бизнес
20 декабря
А1 улучшил мобильную связь в 33 районах Беларуси
19 декабря
BYNEX запустила ICO-платформу: новые возможности для инвесторов и бизнеса
19 декабря
В Новый год с новым гаджетом. Гид по устройствам Huawei со скидками до 700 рублей