RUU tentang perlindungan data pribadi yang disajikan di Belarus - apa yang "di dalamnya"

Pada akhir musim semi, peraturan GDPR mulai berlaku di UE. Sebulan yang lalu, Amerika Serikat menandatangani undang-undang yang mewajibkan perusahaan untuk memberi tahu pelanggan dan pihak berwenang tentang data "kebocoran" selambat-lambatnya sebulan setelah insiden.

Tahun ini, tagihan baru terkait PD juga muncul di Belarus. Pertama pada bulan April tahun ini, anggota parlemen mengesahkan amandemen undang-undang media yang mewajibkan pengguna untuk mengotentikasi sebelum meninggalkan komentar di forum. Dan sekarang pihak berwenang telah mengajukan rancangan undang-undang "Tentang Data Pribadi".

Di bawah kucing, kita berbicara tentang esensinya dan reaksi masyarakat.


/ Pxhere / PD

Inti dari tagihan

RUU tersebut diusulkan di Pusat Nasional untuk Legislasi dan Penelitian Hukum Republik Belarus ( NZPPI ). Pada bulan Juni, sebuah delegasi dari Centre melakukan perjalanan ke Paris untuk bertemu dengan anggota Komisi Perlindungan Data Prancis ( CNIL ) untuk belajar dari pengalaman rekan-rekan Eropa dan segera mempraktikkannya.

Rancangan undang-undang diajukan pada awal Juli. Ini memiliki enam bab dan dua puluh dua artikel yang menggambarkan aturan untuk bekerja dengan PD di Belarus. Pembahasan RUU ini akan berlangsung hingga 11 Agustus tahun ini.

Aktor utama dalam dokumen adalah subjek dan operator data pribadi. Subjek PD adalah orang yang datanya dikumpulkan, disimpan, atau diproses. Operator PD adalah perusahaan atau pengusaha individu yang memproses PD di Belarus. Langsung dengan data pribadi, regulator memahami informasi apa pun yang menjadi dasar identifikasi seseorang. Informasi ini, termasuk, dapat berupa biometrik (sidik jari) dan indikator genetik (DNA).

Anda dapat menemukan definisi ini dan lainnya di artikel pertama di halaman 1 dan 2 dari buku putih .

Menurut teks RUU itu, subjek PD berhak:

• Berikan persetujuan Anda untuk memproses PD dan mencabutnya;
• Menuntut perubahan pada PD, serta menghapus atau berhenti memprosesnya;
• Menerima informasi bahwa PD-nya telah ditransfer ke pihak ketiga;
• Mengadu ke controller dengan operator.

Operator PD, pada gilirannya, berkewajiban untuk mendapatkan persetujuan dari subjek untuk memproses PD, menjelaskan untuk tujuan apa data ini digunakan dan melindungi mereka dari kompromi.

Pasal 17 ( pada halaman 16-17 dokumen ) mencantumkan langkah-langkah yang diperlukan untuk ini. Diantaranya: pembuatan kebijakan keamanan, penetapan akses ke PD, pengenalan perlindungan teknis dan kriptografi informasi dan lainnya. Juga dicatat di sini bahwa untuk ini, perusahaan perlu dipandu oleh ketentuan Pusat Operasional dan Analitik di bawah Presiden Republik Belarus ( OAC No. 62 ) - ini adalah badan negara Belarus yang mengatur kegiatan perlindungan informasi.

Daftar persyaratan untuk membuat sistem keamanan informasi yang didirikan oleh OAC agak rumit dan mencakup lebih dari 50 poin. Dan pengorganisasian mekanisme keamanan yang diperlukan membutuhkan waktu dan uang. Berdasarkan hal ini, dapat diasumsikan bahwa akan sulit bagi usaha kecil dan menengah untuk secara mandiri memenuhi semua persyaratan.

Namun, undang-undang baru menyatakan bahwa operator dapat mempercayakan pengumpulan, pemrosesan, dan distribusi PD ke pihak ketiga, yaitu, mentransfernya ke outsourcing. Pihak ketiga ini mungkin, misalnya, penyedia cloud yang akan memantau kepatuhan dengan persyaratan keamanan data pribadi.

"Jika peralatan penyedia cloud terletak di pusat data besar dengan kontrol akses dan sistem cadangan yang ketat, ini secara otomatis menutup bagian dari persyaratan peraturan terkait perlindungan data fisik, memastikan keamanan infrastruktur virtual dan melakukan audit," kata Sergey Belkin, kepala departemen pengembangan 1cloud .

Misalnya, kami baru - baru ini menempatkan peralatan kami di 1Cloud di pusat data beCloud yang terletak di pinggiran Minsk. Pusat data ini disertifikasi sesuai dengan standar Tier III, yang menjamin keamanan dan aksesibilitas data dan sistem informasi sesuai dengan undang-undang Republik Belarus.

Awalnya, keputusan kami untuk menempatkan perangkat keras kami di pusat data Belarusia tidak terhubung dengan tagihan baru - klien dari Belarus bertanya kepada kami tentang hal ini sebelumnya. Faktanya adalah bahwa menurut Keputusan Presiden Republik Belarus No. 60 dan Keputusan Dewan Menteri Republik Belarus No. 644 , situs komersial di Republik Belarus harus ditempatkan pada peralatan yang terletak di negara itu. Namun, sekarang persyaratan ini telah dilengkapi dengan tugas pemrosesan PD, beberapa di antaranya dapat "didelegasikan" ke penyedia cloud lokal:

"Dengan mengalihkan sebagian tugas ke pundak vendor, perusahaan menghemat waktu dan sumber daya, mendapatkan kesempatan untuk berkonsentrasi pada peningkatan proses bisnis," catat Sergey. "Namun, penting untuk diingat bahwa selain keamanan fisik, Anda juga harus memperhatikan fitur infrastruktur pusat data penyedia cloud: kemampuan unit pendingin, duplikasi sistem kritis dan ketersediaan komponen yang berlebihan - semua ini memengaruhi toleransi kesalahan sistem pusat data."

Denda dan penalti

Perhatikan bahwa operator tidak perlu mendaftar dalam registri apa pun. Tidak perlu untuk menyimpan data Belarusia secara lokal (sesuai dengan undang-undang yang baru), namun, penting untuk memperhitungkan persyaratan Keputusan yang sama No. 60 dan Resolusi No. 644 - terlepas dari domain, semua badan hukum atau pengusaha perorangan di Belarus harus beralih ke hosting Belarusia. Selain itu, perusahaan harus menunjuk orang yang bertanggung jawab untuk melindungi PD (seperti dalam GDPR), yang akan bertanggung jawab untuk mengatur pekerjaan dengan data pribadi (ini dapat berupa karyawan perorangan atau seluruh departemen).

Ukuran denda "untuk inkonsistensi dengan surat hukum" belum dijabarkan, namun, diketahui bahwa pelanggar akan bertanggung jawab berdasarkan undang-undang dan memberikan kompensasi kepada subyek PD atas kerusakan moral dan material ( Pasal 20, hlm . 18–19 ).

Jika data pengguna dicuri, operator wajib memberi tahu regulator tentang "kebocoran" dalam waktu tiga hari setelah insiden diketahui. Namun, jika insiden itu kecil dan tidak membahayakan hak-hak subjek PD, maka tidak perlu melaporkannya. Dalam hal ini, regulator adalah badan yang berwenang untuk melindungi hak-hak subyek PD. Menurut pasal 18 pada halaman 17-18, ia akan melindungi hak-hak pemilik data pribadi, mempertimbangkan keluhan mereka, dan memantau kepatuhan operator terhadap hukum (misalnya, menghapus atau memblokir data yang tidak akurat).

Pengecualian

Undang-undang akan memengaruhi semua organisasi yang bekerja dengan PD (IP, badan hukum, pemilik situs web, dan lainnya): mereka perlu membuat kebijakan untuk bekerja dengan PD, menunjuk DPO, menerapkan tindakan perlindungan, dan sebagainya.

Persyaratan hukum akan berlaku untuk pemrosesan data otomatis dan non-otomatis ketika informasi dikumpulkan dalam katalog dan lemari arsip.

Namun, undang-undang mengatur sejumlah pengecualian. Misalnya, mendapatkan persetujuan untuk pemrosesan PD tidak diperlukan jika nyawa dan kesehatan subjek dalam bahaya. Pengecualian juga berlaku untuk jurnalis ketika mereka melakukan kegiatan profesional mereka yang sah, dan bagi para ilmuwan yang melakukan penelitian statistik (dengan depersonalisasi data wajib). Daftar lengkap pengecualian dapat ditemukan di artikel 6, 9 dari dokumen resmi.


/ Flickr / Katalog Buku / CC

Pendapat tentang tagihan

Orang-orang yang berpartisipasi dalam diskusi publik mengenai undang-undang yang diajukan mencatat bahwa beberapa kata-kata dalam RUU itu "timpang." Satu pengguna, misalnya, mengeluh tentang redundansi ketentuan untuk operasi dengan PD. Tidak sepenuhnya jelas mengapa setiap kali memilih konsep seperti "pengumpulan, pemrosesan, dan penyimpanan", ketika hanya istilah "pemrosesan" yang dapat digunakan, seperti yang dilakukan dalam GDPR atau hukum Federasi Rusia .

Pengguna lain dari Forum Hukum Belarusia mencatat perbedaan dalam persyaratan untuk perlindungan PD dalam paragraf 3 dan 5 Pasal 17 . Paragraf ketiga mengharuskan organisasi perlindungan teknis dan kriptografi dipandu oleh urutan OAC, namun, paragraf kelima mengatakan bahwa klasifikasi (dan, dengan demikian, tingkat perlindungan) sistem informasi akan ditentukan oleh lembaga negara lain.

Pengguna juga menganggap bahwa definisi operator PD tidak memberikan gambaran tentang siapa dia atau apa yang dia lakukan. Mereka juga mencatat bahwa RUU tersebut tidak memiliki norma hukum yang menetapkan kekuasaan Presiden dan Dewan Menteri Republik Belarus di bidang ini, dan berharap bahwa penambahan yang tepat, klarifikasi dan perubahan akan dibuat dalam teks di masa mendatang.

Waktunya

Pembahasan RUU ini akan berlangsung hingga 11 Agustus. Setelah itu, jika undang-undang tersebut diadopsi, operator akan memiliki waktu satu tahun untuk mempersiapkan pemberlakuannya.

---

Apa lagi yang kami tulis di blog perusahaan 1cloud:

• Bagaimana data cloud diamankan
• Yang perlu Anda ketahui tentang prinsip-prinsip netralitas jaringan
• Gambaran Umum Produk Baru Kami: Cisco UCS B480 M5

Posting dari blog kami di Yandex.Zen:

• Mengapa bekerja dengan "cloud" tidak perlu mempekerjakan karyawan tambahan
• Bagaimana perusahaan menghemat uang di cloud