Ende des Frühlings trat die DSGVO-Verordnung in der EU in Kraft. Vor einem Monat haben die USA
eine Gesetzesvorlage unterzeichnet , in der Unternehmen verpflichtet sind, Kunden und Behörden spätestens einen Monat nach dem Vorfall über Datenlecks zu informieren.
In diesem Jahr erschienen auch in Belarus neue Rechnungen im Zusammenhang mit PD. Zum ersten Mal im April dieses Jahres
verabschiedeten die Parlamentarier Änderungen des Mediengesetzes, wonach sich die Benutzer authentifizieren müssen, bevor sie Kommentare in den Foren hinterlassen. Und jetzt haben die Behörden einen
Gesetzesentwurf „Über personenbezogene Daten“ vorgelegt.
Unter der Katze sprechen wir über ihre Essenz und die Reaktion der Gemeinschaft.
/ Pxhere / PDDas Wesentliche der Rechnung
Der Gesetzentwurf wurde im Nationalen Zentrum für Gesetzgebung und Rechtsforschung der Republik Belarus (
NZPPI ) vorgeschlagen. Im Juni
reiste eine Delegation des Zentrums nach Paris, um sich mit Mitgliedern der französischen Datenschutzkommission (
CNIL ) zu treffen, um aus den Erfahrungen europäischer Kollegen zu lernen und diese sofort in die Praxis umzusetzen.
Anfang Juli wurde
ein Gesetzesentwurf
vorgelegt . Es enthält sechs Kapitel und zweiundzwanzig Artikel, in denen die Regeln für die Arbeit mit PD in Belarus beschrieben werden. Die Diskussion über die Gesetzesvorlage wird bis zum 11. August dieses Jahres dauern.
Die Hauptakteure des Dokuments sind das Subjekt und der Betreiber personenbezogener Daten. Ein PD-Subjekt ist eine Person, deren Daten gesammelt, gespeichert oder verarbeitet werden. Ein PD-Betreiber ist ein Unternehmen oder ein einzelner Unternehmer, der PD in Belarus verarbeitet. Direkt unter personenbezogenen Daten versteht die Regulierungsbehörde alle Informationen, anhand derer eine Person identifiziert werden kann. Diese Informationen
können biometrische (Fingerabdrücke) und genetische Indikatoren (DNA) sein.
Sie finden diese und andere Definitionen im
ersten Artikel auf den Seiten 1 und 2 des White Papers .
Nach dem Gesetzestext hat das Thema PD das Recht:
- Geben Sie Ihre Zustimmung zur Verarbeitung von PD und widerrufen Sie diese;
- Fordern Sie Änderungen an der PD an und entfernen Sie sie oder beenden Sie die Verarbeitung.
- Informationen erhalten, dass seine PD an einen Dritten übertragen wurde;
- Beschweren Sie sich beim Bediener beim Controller.
Der PD-Betreiber ist wiederum verpflichtet, die Zustimmung des Subjekts einzuholen, um die PD zu verarbeiten, zu erklären, für welche Zwecke diese Daten verwendet werden, und sie vor Kompromissen zu schützen.
Artikel 17 (
auf den Seiten 16-17 des Dokuments ) listet die hierfür erforderlichen Maßnahmen auf. Dazu gehören die Erstellung von Sicherheitsrichtlinien, die Einrichtung des Zugangs zu PD, die Einführung des technischen und kryptografischen Schutzes von Informationen und andere. Dort wird auch darauf hingewiesen, dass sich Unternehmen hierfür an den Bestimmungen des Betriebs- und Analysezentrums des Präsidenten der Republik Belarus (
OAC Nr. 62 ) orientieren müssen - dies ist eine staatliche Einrichtung in Belarus, die Informationsschutzaktivitäten regelt.
Die vom OAC eingerichtete Liste der Anforderungen für die Erstellung eines Informationssicherheitssystems ist recht kompliziert und umfasst mehr als 50 Punkte. Und die Organisation der notwendigen Sicherheitsmechanismen erfordert Zeit und Geld. Auf dieser Grundlage kann davon ausgegangen werden, dass es für kleine und mittlere Unternehmen schwierig sein wird, alle Bedingungen unabhängig voneinander zu erfüllen.
Das neue Gesetz sieht jedoch vor, dass der Betreiber die Sammlung, Verarbeitung und Verteilung von PD an Dritte übertragen, dh an das Outsourcing übertragen kann. Dieser Dritte kann beispielsweise ein Cloud-Anbieter sein, der die Einhaltung der Sicherheitsanforderungen für personenbezogene Daten überwacht.
„Wenn sich die Geräte des Cloud-Anbieters in großen Rechenzentren mit strengen Zugriffskontroll- und Sicherungssystemen befinden, werden automatisch Teile der Anforderungen der Verordnung zum physischen Datenschutz geschlossen, wodurch die Sicherheit der virtuellen Infrastruktur gewährleistet und Audits durchgeführt werden“, sagt Sergey Belkin, Leiter der Entwicklungsabteilung 1cloud .
Zum Beispiel haben wir kürzlich
unsere Geräte in 1loud im beCloud-Rechenzentrum in den Vororten von Minsk platziert. Dieses Rechenzentrum ist nach dem Tier III-Standard zertifiziert, der die Sicherheit und Zugänglichkeit von Daten- und Informationssystemen gemäß den Rechtsvorschriften der Republik Belarus gewährleistet.
Ursprünglich war unsere Entscheidung, unsere Hardware im belarussischen Rechenzentrum zu platzieren, nicht mit der neuen Rechnung verbunden - Kunden aus Weißrussland haben uns zuvor danach gefragt. Tatsache ist, dass gemäß dem Dekret des Präsidenten der Republik Belarus
Nr. 60 und dem Dekret des Ministerrates der Republik Belarus
Nr. 644 Gewerbeflächen in der Republik Belarus auf Geräten im Land platziert werden sollten. Jetzt wurden diese Anforderungen jedoch durch PD-Verarbeitungsaufgaben ergänzt, von denen einige an den lokalen Cloud-Anbieter „delegiert“ werden können:
„Durch die Verlagerung eines Teils der Aufgaben auf die Schultern des Anbieters spart das Unternehmen Zeit und Ressourcen und erhält die Möglichkeit, sich auf die Verbesserung der Geschäftsprozesse zu konzentrieren“, erklärt Sergey. „Es ist jedoch wichtig zu bedenken, dass Sie neben der physischen Sicherheit auch die Infrastrukturfunktionen des Rechenzentrums des Cloud-Anbieters berücksichtigen sollten: die Funktionen von Kühlgeräten, die Verdoppelung kritischer Systeme und die Verfügbarkeit von Sicherungskomponenten - all dies wirkt sich auf die Fehlertoleranz von Rechenzentrumsystemen aus.“
Geldstrafen und Strafen
Beachten Sie, dass sich die Bediener in keiner Registrierung registrieren müssen. Es ist nicht erforderlich, die Daten der Weißrussen vor Ort zu speichern (gemäß dem neuen Gesetzentwurf). Es ist jedoch wichtig, die Anforderungen desselben Dekrets Nr. 60 und des Beschlusses Nr. 644 zu berücksichtigen.
Unabhängig von der Domäne sollten alle Standorte von juristischen Personen oder einzelnen Unternehmern in Weißrussland auf belarussisches Hosting umsteigen. Darüber hinaus müssen Unternehmen
eine Person
ernennen , die für den Schutz der PD verantwortlich ist (wie in der DSGVO) und für die Organisation der Arbeit mit personenbezogenen Daten verantwortlich ist (dies kann entweder ein einzelner Mitarbeiter oder eine gesamte Abteilung sein).
Die Höhe der Geldbußen „wegen Unvereinbarkeit mit dem Gesetzbuchstaben“ wurde noch nicht festgelegt. Es ist jedoch bekannt, dass Verstöße nach den Gesetzgebungsakten haftbar gemacht werden und den PD-Betroffenen moralische und materielle Schäden erstattet werden (
Artikel 20, S. 18–19 ).
Wenn die Benutzerdaten gestohlen werden, ist der Betreiber verpflichtet, die Aufsichtsbehörde innerhalb von drei Tagen nach Bekanntwerden des Vorfalls über das „Leck“ zu informieren. Wenn der Vorfall jedoch geringfügig war und die Rechte des Betroffenen der PD nicht beeinträchtigt, ist es nicht erforderlich, ihn zu melden. In diesem Fall ist die Regulierungsbehörde die autorisierte Stelle zum Schutz der Rechte von PD-Patienten. Gemäß
Artikel 18 auf den Seiten 17 bis
18 schützt er die Rechte der Eigentümer personenbezogener Daten, prüft deren Beschwerden und überwacht die Einhaltung der Gesetze durch die Betreiber (z. B. Löschen oder Blockieren ungenauer Daten).
Ausnahmen
Das Gesetz betrifft alle Organisationen, die mit PD arbeiten (geistiges Eigentum, juristische Personen, Website-Eigentümer und andere): Sie müssen Richtlinien für die Arbeit mit PD erstellen, einen Datenschutzbeauftragten ernennen, Schutzmaßnahmen ergreifen und so weiter.
Die gesetzlichen Anforderungen gelten sowohl für die automatisierte als auch für die nicht automatisierte Datenverarbeitung, wenn Informationen in Katalogen und Aktenschränken gesammelt werden.
Das Gesetz sieht jedoch eine Reihe von Ausnahmen vor. Beispielsweise ist eine Einwilligung zur PD-Verarbeitung nicht erforderlich, wenn Leben und Gesundheit des Patienten in Gefahr sind. Die Ausnahme gilt auch für Journalisten, die ihre legitimen beruflichen Tätigkeiten ausüben, und für Wissenschaftler, die statistische Untersuchungen durchführen (mit der obligatorischen Depersonalisierung von Daten). Eine vollständige Liste der Ausnahmen finden Sie
in Artikel 6, 9 des offiziellen Dokuments.
/ Flickr / Buchkatalog / CCMeinungen zur Rechnung
Personen, die
an einer öffentlichen Diskussion über das eingereichte Gesetz
teilgenommen haben, stellen fest, dass ein Teil des Wortlauts in der Gesetzesvorlage "lahm" ist. Ein Benutzer beschwerte sich beispielsweise über die Redundanz von Begriffen für Operationen mit PD. Es ist nicht ganz klar, warum jedes Mal Konzepte wie „Sammlung, Verarbeitung und Lagerung“ herausgegriffen werden müssen, wenn nur der Begriff „Verarbeitung“ verwendet werden kann, wie dies in der DSGVO oder im
Recht der Russischen Föderation der Fall ist.
Ein anderer Nutzer des belarussischen Rechtsforums stellte in
Artikel 17 Absätze 3 und 5 eine Diskrepanz bei den Anforderungen für den Schutz der Parkinson-
Krankheit fest . Der dritte Absatz verlangt, dass sich die Organisation des technischen und kryptografischen Schutzes an der Anordnung des OAC orientiert. Der fünfte Absatz besagt jedoch, dass die Klassifizierung (und dementsprechend der Schutzgrad) von Informationssystemen von einer anderen staatlichen Behörde festgelegt wird.
Benutzer waren auch der Ansicht, dass die Definition eines PD-Operators keine Vorstellung davon gibt, wer er ist oder was er tut. Sie stellten auch fest, dass dem Gesetzentwurf gesetzliche Normen fehlen, mit denen die Befugnisse des Präsidenten und des Ministerrates der Republik Belarus in diesem Bereich festgelegt werden, und hofften, dass der Text in Zukunft angemessen ergänzt, präzisiert und geändert wird.
Das Timing
Die Diskussion der Rechnung wird bis zum 11. August dauern. Wenn das Gesetz verabschiedet wird, haben die Betreiber danach ein Jahr Zeit, sich auf das Inkrafttreten vorzubereiten.
Was schreiben wir noch auf 1clouds Unternehmensblog:
Beiträge aus unserem Blog auf Yandex.Zen: