مشروع قانون بشأن حماية البيانات الشخصية المقدمة في بيلاروس - ما هو "بداخلها"

في نهاية الربيع ، دخلت لائحة اللائحة العامة لحماية البيانات حيز التنفيذ في الاتحاد الأوروبي. قبل شهر ، وقعت الولايات المتحدة على مشروع قانون يلزم الشركات بإبلاغ العملاء والسلطات بشأن "تسرب" البيانات في موعد لا يتجاوز شهرًا بعد الحادث.

هذا العام ، ظهرت أيضًا فواتير جديدة تتعلق ب PD في روسيا البيضاء. أولاً في أبريل من هذا العام ، أقر البرلمانيون تعديلات على قانون الإعلام تطلب من المستخدمين المصادقة قبل ترك التعليقات على المنتديات. والآن قدمت السلطات مشروع قانون "حول البيانات الشخصية".

تحت القط ، نتحدث عن جوهرها ورد فعل المجتمع.


/ Pxhere / PD

جوهر مشروع القانون

تم اقتراح مشروع القانون في المركز الوطني للتشريعات والبحث القانوني لجمهورية بيلاروس ( NZPPI ). في يونيو ، سافر وفد من المركز إلى باريس للاجتماع مع أعضاء لجنة حماية البيانات الفرنسية ( CNIL ) للتعلم من تجربة الزملاء الأوروبيين ووضعها موضع التنفيذ على الفور.

تم تقديم مشروع قانون في أوائل يوليو. لديها ستة فصول واثنان وعشرون مقالة تصف قواعد العمل مع PD في روسيا البيضاء. تستمر مناقشة مشروع القانون حتى 11 أغسطس من هذا العام.

الجهات الفاعلة الرئيسية في الوثيقة هي موضوع ومشغل البيانات الشخصية. موضوع PD هو شخص يتم جمع بياناته أو تخزينها أو معالجتها. مشغل PD هو شركة أو رجل أعمال فردي يعالج PD في روسيا البيضاء. من خلال البيانات الشخصية مباشرة ، يفهم المنظم أي معلومات يمكن على أساسها تحديد هوية الشخص. يمكن أن تكون هذه المعلومات ، بما في ذلك ، البيومترية (بصمات الأصابع) والمؤشرات الجينية (DNA).

يمكنك العثور على هذه التعريفات وغيرها في المقالة الأولى في الصفحتين 1 و 2 من الورقة البيضاء .

وفقا لنص مشروع القانون ، يحق لموضوع PD:

• أعط موافقتك على معالجة PD وسحبه ؛
• طلب التغييرات على PD ، وكذلك إزالتها أو إيقاف معالجتها ؛
• تلقي المعلومات التي تم نقلها إلى طرف ثالث ؛
• يشكو إلى المراقب مع المشغل.

مشغل PD ، بدوره ، ملزم بالحصول على موافقة من الشخص المعني لمعالجة PD ، وشرح الأغراض التي يتم استخدام هذه البيانات وحمايتها من التسوية.

تسرد المادة 17 ( في الصفحات 16-17 من الوثيقة ) التدابير اللازمة لذلك. من بينها: وضع السياسات الأمنية ، وإنشاء الوصول إلى التطوير المهني ، وإدخال الحماية التقنية والتشفيرية للمعلومات وغيرها. ويلاحظ أيضًا أنه من أجل هذا ، ستحتاج الشركات إلى الاسترشاد بأحكام المركز التشغيلي والتحليلي برئاسة رئيس جمهورية بيلاروس ( OAC No. 62 ) - وهي هيئة حكومية في بيلاروسيا تنظم أنشطة حماية المعلومات.

إن قائمة متطلبات إنشاء نظام أمن المعلومات التي أنشأتها OAC معقدة إلى حد ما وتتضمن أكثر من 50 نقطة. ويتطلب تنظيم الآليات الأمنية اللازمة الوقت والمال. وبناءً على ذلك ، يمكن الافتراض أنه سيكون من الصعب على الشركات الصغيرة والمتوسطة تلبية جميع الشروط بشكل مستقل.

ومع ذلك ، ينص القانون الجديد على أنه يمكن للمشغل أن يعهد إلى جمع ومعالجة وتوزيع PD إلى طرف ثالث ، أي نقله إلى الاستعانة بمصادر خارجية. قد يكون هذا الطرف الثالث ، على سبيل المثال ، مزود سحابة يراقب الامتثال لمتطلبات أمان البيانات الشخصية.

يقول سيرجي بلكين ، رئيس قسم التطوير 1cloud: "إذا كانت معدات مزود السحابة موجودة في مراكز بيانات كبيرة ذات أنظمة صارمة للتحكم في الوصول والنسخ الاحتياطي ، فإن هذا يغلق تلقائيًا جزءًا من متطلبات اللائحة المتعلقة بالحماية المادية للبيانات ، ويضمن أمن البنية التحتية الافتراضية وإجراء عمليات التدقيق". .

على سبيل المثال ، وضعنا مؤخرًا معداتنا في 1Cloud في مركز بيانات beCloud الموجود في ضواحي مينسك. تم اعتماد مركز البيانات هذا وفقًا لمعيار المستوى الثالث ، والذي يضمن سلامة أنظمة البيانات والمعلومات وإمكانية الوصول إليها وفقًا لتشريعات جمهورية بيلاروس.

في البداية ، لم يكن قرارنا بوضع أجهزتنا في مركز البيانات البيلاروسي مرتبطًا بالفاتورة الجديدة - سألنا عملاء من بيلاروس عن هذا في وقت سابق. والحقيقة هي أنه بموجب مرسوم رئيس جمهورية بيلاروس رقم 60 ومرسوم مجلس وزراء جمهورية بيلاروس رقم 644 ، ينبغي وضع المواقع التجارية في جمهورية بيلاروس على المعدات الموجودة في البلد. ومع ذلك ، الآن تم استكمال هذه المتطلبات بمهام معالجة PD ، والتي يمكن "تفويض" بعضها إلى مزود السحابة المحلي:

يشير سيرجي إلى أنه "من خلال تحويل جزء من المهام إلى أكتاف المورد ، توفر الشركة الوقت والموارد ، وتتيح لها الفرصة للتركيز على تحسين العمليات التجارية". "ومع ذلك ، من المهم أن نتذكر أنه بالإضافة إلى الأمان المادي ، يجب عليك أيضًا الانتباه إلى ميزات البنية التحتية لمركز بيانات مزود الخدمة السحابية: إمكانات وحدات التبريد ، وتكرار النظم الحيوية وتوافر المكونات الزائدة - كل هذا يؤثر على تحمل الأخطاء لأنظمة مراكز البيانات."

الغرامات والجزاءات

لاحظ أن المشغلين لا يحتاجون إلى التسجيل في أي سجل. ليس من الضروري تخزين بيانات البيلاروسيين محليًا (وفقًا لمشروع القانون الجديد) ، ومع ذلك ، من المهم مراعاة متطلبات نفس المرسوم رقم 60 والقرار رقم 644 - بغض النظر عن المجال ، يجب على جميع الكيانات القانونية أو رجال الأعمال الأفراد في بيلاروسيا التحول إلى الاستضافة البيلاروسية. بالإضافة إلى ذلك ، سيتعين على الشركات تعيين شخص مسؤول عن حماية PD (كما هو الحال في اللائحة العامة لحماية البيانات) ، والذي سيكون مسؤولًا عن تنظيم العمل بالبيانات الشخصية (يمكن أن يكون هذا إما موظفًا فرديًا أو قسمًا كاملاً).

لم يتم حتى الآن تحديد حجم الغرامات "لعدم الاتساق مع نص القانون" ، ومع ذلك ، فمن المعروف أن المخالفين سيكونون مسؤولين بموجب القوانين ويعوضون الأشخاص المتضررين من الأضرار المعنوية والمادية ( المواد 20 ، ص 18 - 19 ).

إذا سُرقت بيانات المستخدم ، فإن المشغل ملزم بإبلاغ المنظم بـ "التسرب" في غضون ثلاثة أيام بعد أن أصبح الحادث معروفًا. ومع ذلك ، إذا كان الحادث طفيفًا ولا يضر بحقوق شخص PD ، فلن يكون من الضروري الإبلاغ عنه. في هذه الحالة ، الهيئة التنظيمية هي الهيئة المخولة لحماية حقوق موضوعات التطوير المهني. وفقًا للمادة 18 في الصفحات 17-18 ، سيحمي حقوق مالكي البيانات الشخصية ، وينظر في شكاواهم ، ويراقب امتثال المشغلين للقانون (على سبيل المثال ، حذف البيانات غير الدقيقة أو حظرها).

الاستثناءات

سيؤثر القانون على جميع المنظمات التي تعمل مع PD (IP والكيانات القانونية ومالكي مواقع الويب وغيرها): سيحتاجون إلى إنشاء سياسات للعمل مع PD وتعيين DPO وتنفيذ تدابير الحماية وما إلى ذلك.

ستنطبق متطلبات القانون على كل من معالجة البيانات المؤتمتة وغير الآلية عندما يتم جمع المعلومات في الكتالوجات وخزانات الملفات.

ومع ذلك ، ينص القانون على عدد من الاستثناءات. على سبيل المثال ، لا يلزم الحصول على الموافقة على معالجة PD إذا كانت حياة وصحة الشخص في خطر. ينطبق الاستثناء أيضًا على الصحفيين عند قيامهم بأنشطتهم المهنية المشروعة ، وعلى العلماء الذين يجرون أبحاثًا إحصائية (مع نزع الطابع الإلزامي عن البيانات). يمكن الاطلاع على قائمة كاملة من الاستثناءات في المادتين 6 و 9 من الوثيقة الرسمية.


/ Flickr / Book Catalogue / CC

آراء حول مشروع القانون

لاحظ الأشخاص الذين شاركوا في مناقشة عامة للقانون المقدم أن بعض الصياغة في مشروع القانون "عرجاء". اشتكى أحد المستخدمين ، على سبيل المثال ، من تكرار المصطلحات للعمليات مع PD. ليس من الواضح تمامًا لماذا في كل مرة يتم فيها تحديد مفاهيم مثل "التجميع والمعالجة والتخزين" ، عندما يمكن استخدام مصطلح "المعالجة" فقط ، كما هو الحال في اللائحة العامة لحماية البيانات أو قانون الاتحاد الروسي .

وأشار مستخدم آخر للمنتدى القانوني البيلاروسي إلى وجود تباين في متطلبات حماية PD في الفقرتين 3 و 5 من المادة 17 . تتطلب الفقرة الثالثة تنظيم الحماية التقنية والتشفيرية للاسترشاد بأمر OAC ، ومع ذلك ، فإن الفقرة الخامسة تنص على أن تصنيف (وبالتالي درجة الحماية) لنظم المعلومات سيتم تحديده من قبل وكالة حكومية أخرى.

اعتبر المستخدمون أيضًا أن تعريف عامل PD لا يعطي فكرة عن من هو أو ماذا يفعل. وأشاروا أيضا إلى أن مشروع القانون يفتقر إلى القواعد القانونية التي تحدد سلطات الرئيس ومجلس وزراء جمهورية بيلاروس في هذا المجال ، وأعربوا عن أملهم في أن يتم إدخال الإضافات والتوضيحات والتغييرات المناسبة في النص في المستقبل.

التوقيت

تستمر مناقشة مشروع القانون حتى 11 أغسطس. بعد ذلك ، إذا تم تبني القانون ، فسيكون أمام المشغلين عام للتحضير لدخوله حيز التنفيذ.

---

ماذا نكتب أيضًا على مدونة شركة 1cloud:

• كيف يتم تأمين البيانات السحابية
• كل ما تحتاج لمعرفته حول مبادئ حيادية الشبكة
• نظرة عامة على منتجاتنا الجديدة: Cisco UCS B480 M5

منشورات من مدونتنا على Yandex.Zen:

• لا يحتاج سبب العمل مع "السحابة" إلى توظيف موظفين إضافيين
• كيف توفر الشركات المال في السحابة