À la fin du printemps, le règlement GDPR est entré en vigueur dans l'UE. Il y a un mois, les États-Unis ont
signé un projet de loi obligeant les entreprises à informer les clients et les autorités des "fuites" de données au plus tard un mois après l'incident.
Cette année, de nouveaux projets de loi liés à la DP sont également apparus au Bélarus. Tout d'abord en avril de cette année, les parlementaires ont
adopté des amendements à la loi sur les médias exigeant des utilisateurs qu'ils s'authentifient avant de laisser des commentaires sur les forums. Et maintenant, les autorités ont soumis un
projet de loi «sur les données personnelles».
Sous le chat, nous parlons de son essence et de la réaction de la communauté.
/ Pxhere / PDL'essence du projet de loi
Le projet de loi a été proposé au Centre national de législation et de recherche juridique de la République du Bélarus (
NZPPI ). En juin, une délégation du Centre
s'est rendue à Paris pour rencontrer des membres de la Commission française de la protection des données (
CNIL ) afin de tirer parti de l'expérience de collègues européens et de la mettre en pratique immédiatement.
Un projet de loi a été
présenté début juillet. Il comprend six chapitres et vingt-deux articles qui décrivent les règles de travail avec PD au Bélarus. La discussion du projet de loi se poursuivra jusqu'au 11 août de cette année.
Les principaux acteurs du document sont le sujet et l'opérateur des données personnelles. Un sujet PD est une personne dont les données sont collectées, stockées ou traitées. Un opérateur PD est une entreprise ou un entrepreneur individuel traitant PD en Biélorussie. Directement par des données personnelles, le régulateur comprend toute information sur la base de laquelle une personne peut être identifiée. Ces informations, notamment,
peuvent être biométriques (empreintes digitales) et des indicateurs génétiques (ADN).
Vous pouvez trouver ces définitions et d'autres dans le
premier article aux pages 1 et 2 du livre blanc .
Selon le texte du projet de loi, le sujet du PD a le droit:
- Donnez votre consentement au traitement de PD et révoquez-le;
- Demander des modifications au PD, ainsi que les supprimer ou arrêter de les traiter;
- Recevoir des informations selon lesquelles son PD a été transféré à un tiers;
- Se plaindre au contrôleur avec l'opérateur.
L'opérateur PD, à son tour, est obligé d'obtenir le consentement du sujet pour traiter le PD, d'expliquer à quelles fins ces données sont utilisées et de les protéger contre toute compromission.
L'article 17 (
pages 16-17 du document ) énumère les mesures nécessaires à cet effet. Parmi ceux-ci: la création de politiques de sécurité, la mise en place de l'accès au PD, la mise en place d'une protection technique et cryptographique des informations et autres. Il y est également noté que pour cela, les entreprises devront être guidées par les dispositions du Centre opérationnel et analytique du président de la République du Bélarus (
OAC n ° 62 ) - il s'agit d'un organisme d'État du Bélarus qui réglemente les activités de protection des informations.
La liste des exigences pour la création d'un système de sécurité de l'information établie par le CAO est assez compliquée et comprend plus de 50 points. Et l'organisation des mécanismes de sécurité nécessaires demande du temps et de l'argent. Sur cette base, on peut supposer qu'il sera difficile pour les petites et moyennes entreprises de remplir de manière indépendante toutes les conditions.
Cependant, la nouvelle loi prévoit que l'opérateur peut confier la collecte, le traitement et la distribution des PD à un tiers, c'est-à-dire les transférer à l'externalisation. Ce tiers peut être, par exemple, un fournisseur de cloud qui surveillera la conformité aux exigences de sécurité des données personnelles.
«Si l'équipement du fournisseur de cloud est situé dans de grands centres de données dotés de systèmes de contrôle d'accès et de sauvegarde stricts, cela ferme automatiquement une partie des exigences de la réglementation relative à la protection des données physiques, garantissant la sécurité de l'infrastructure virtuelle et effectuant des audits», explique Sergey Belkin, chef du département de développement 1cloud. .
Par exemple, nous avons récemment
placé nos équipements dans 1 cloud dans le centre de données beCloud situé dans la banlieue de Minsk. Ce centre de données est certifié selon la norme Tier III, qui garantit la sécurité et l'accessibilité des systèmes de données et d'information conformément à la législation de la République du Bélarus.
Initialement, notre décision de placer notre matériel dans le centre de données biélorusse n'était pas liée à la nouvelle facture - des clients biélorusses nous ont posé des questions à ce sujet plus tôt. Le fait est que, conformément au décret du Président de la République du Bélarus
no 60 et au décret du Conseil des ministres de la République du Bélarus
no 644 , les sites commerciaux de la République du Bélarus devraient être placés sur des équipements situés dans le pays. Cependant, ces exigences ont maintenant été complétées par des tâches de traitement PD, dont certaines peuvent être «déléguées» au fournisseur de cloud local:
"En déplaçant une partie des tâches sur les épaules du fournisseur, l'entreprise économise du temps et des ressources, ce qui lui permet de se concentrer sur l'amélioration des processus commerciaux", note Sergey. "Cependant, il est important de se rappeler qu'en plus de la sécurité physique, vous devez également prêter attention aux fonctionnalités d'infrastructure du centre de données du fournisseur de cloud: les capacités des unités de réfrigération, la duplication des systèmes critiques et la disponibilité des composants de sauvegarde - tout cela affecte la tolérance aux pannes des systèmes du centre de données."
Amendes et sanctions
Notez que les opérateurs n'ont pas besoin de s'inscrire dans un registre. Il n'est pas nécessaire de stocker les données des Biélorusses localement (selon le nouveau projet de loi), cependant, il est important de prendre en compte les exigences du même décret n ° 60 et de la résolution n ° 644 -
quel que soit le domaine, tous les sites d'entités juridiques ou d'entrepreneurs individuels en Biélorussie devraient passer à l'hébergement biélorusse. En outre, les entreprises
devront désigner une personne chargée de la protection de la PD (comme dans le RGPD), qui sera chargée d'organiser le travail avec des données personnelles (il peut s'agir d'un employé individuel ou d'un service entier).
Le montant des amendes «pour incompatibilité avec la lettre de la loi» n'est pas encore précisé, cependant, il est connu que les contrevenants seront responsables en vertu des actes législatifs et rembourseront les sujets PD pour préjudice moral et matériel (
articles 20, p .
18 à 19 ).
En cas de vol des données utilisateur, l'opérateur est tenu d'informer le régulateur de la «fuite» dans les trois jours suivant la découverte de l'incident. Cependant, si l'incident était mineur et ne porte pas atteinte aux droits du sujet de la DP, il ne sera pas nécessaire de le signaler. Dans ce cas, le régulateur est l'organisme autorisé pour la protection des droits des sujets PD. Selon l'
article 18, pages 17-18, il protégera les droits des propriétaires de données personnelles, examinera leurs plaintes et contrôlera la conformité des opérateurs avec la loi (par exemple, la suppression ou le blocage de données inexactes).
Exceptions
La loi affectera toutes les organisations qui travaillent avec PD (IP, entités juridiques, propriétaires de sites Web et autres): elles devront créer des politiques pour travailler avec PD, nommer un DPD, mettre en œuvre des mesures de protection, etc.
Les exigences de la loi s'appliqueront à la fois au traitement automatisé des données et non automatisé lorsque les informations sont collectées dans des catalogues et des classeurs.
Cependant, la loi prévoit un certain nombre d'exceptions. Par exemple, l'obtention du consentement au traitement de la DP n'est pas requise si la vie et la santé du sujet sont en danger. L'exception s'applique également aux journalistes lorsqu'ils exercent leurs activités professionnelles légitimes et aux scientifiques qui effectuent des recherches statistiques (avec dépersonnalisation obligatoire des données). Une liste complète des exceptions figure
aux articles 6, 9 du document officiel.
/ Flickr / Catalogue de livres / CCAvis sur le projet de loi
Les personnes qui ont
participé à un débat public sur la loi soumise notent que certains termes du projet de loi sont "boiteux". Un utilisateur, par exemple, s'est plaint de la redondance des termes pour les opérations avec PD. Il n'est pas tout à fait clair pourquoi chaque fois mettre en évidence des concepts tels que «collecte, traitement et stockage», alors que seul le terme «traitement» peut être utilisé, comme c'est le cas dans le RGPD ou la
loi de la Fédération de Russie .
Un autre utilisateur du Forum juridique biélorusse a noté une divergence dans les exigences de protection des DP
énoncées aux
paragraphes 3 et 5 de l'article 17 . Le troisième paragraphe exige que l'organisation de la protection technique et cryptographique soit guidée par l'ordre de l'OAC, cependant, le cinquième paragraphe dit que la classification (et, par conséquent, le degré de protection) des systèmes d'information sera déterminée par une autre agence d'État.
Les utilisateurs ont également considéré que la définition d'un opérateur de DP ne donne pas une idée de qui il est ou de ce qu'il fait. Ils ont également noté que le projet de loi ne comportait pas de normes juridiques établissant les pouvoirs du Président et du Conseil des ministres de la République du Bélarus dans ce domaine, et ils espéraient que des ajouts, des clarifications et des changements appropriés seraient apportés dans le texte à l'avenir.
Le timing
La discussion du projet de loi se poursuivra jusqu'au 11 août. Après cela, si la loi est adoptée, les opérateurs disposeront d'un an pour préparer son entrée en vigueur.
Que écrivons-nous d'autre sur le blog d'entreprise de 1cloud:
Messages de notre blog sur Yandex.Zen: