Um projeto de lei sobre a proteção de dados pessoais apresentado na Bielorrússia - o que está “dentro” dele

No final da primavera, o regulamento GDPR entrou em vigor na UE. Há um mês, os Estados Unidos assinaram uma lei obrigando as empresas a informar clientes e autoridades sobre "vazamentos" de dados o mais tardar um mês após o incidente.

Este ano, novos projetos de lei relacionados à DP também apareceram na Bielorrússia. Primeiro em abril deste ano, os parlamentares aprovaram emendas à lei da mídia exigindo que os usuários se autentiquem antes de deixar comentários nos fóruns. E agora as autoridades apresentaram um projeto de lei "Sobre dados pessoais".

Sob o gato, falamos sobre sua essência e a reação da comunidade.


/ Pxhere / PD

A essência da conta

O projeto de lei foi proposto no Centro Nacional de Legislação e Pesquisa Jurídica da República da Bielorrússia ( NZPPI ). Em junho, uma delegação do Centro viajou a Paris para se reunir com membros da Comissão Francesa de Proteção de Dados ( CNIL ) para aprender com a experiência de colegas europeus e colocá-la em prática imediatamente.

Um projeto de lei foi apresentado no início de julho. Possui seis capítulos e vinte e dois artigos que descrevem as regras para trabalhar com a PD na Bielorrússia. A discussão do projeto durará até 11 de agosto deste ano.

Os principais atores do documento são o sujeito e o operador de dados pessoais. Um sujeito de DP é uma pessoa cujos dados são coletados, armazenados ou processados. Um operador de PD é uma empresa ou empresário individual que processa PD na Bielorrússia. Diretamente por dados pessoais, o regulador entende qualquer informação com base na qual uma pessoa possa ser identificada. Essas informações, inclusive, podem ser biométricas (impressões digitais) e indicadores genéticos (DNA).

Você pode encontrar essas e outras definições no primeiro artigo nas páginas 1 e 2 do white paper .

De acordo com o texto da lei, o sujeito da DP tem o direito de:

• Dê seu consentimento para o processamento da DP e revogue-o;
• Exija alterações no PD e remova ou pare de processá-las;
• Receba informações de que seu PD foi transferido para terceiros;
• Reclame com o controlador com o operador.

O operador de PD, por sua vez, é obrigado a obter o consentimento do sujeito para processar o PD, explicar para que fins esses dados são usados ​​e protegê-los de comprometimentos.

O artigo 17 ( nas páginas 16-17 do documento ) lista as medidas necessárias para isso. Entre eles: a criação de políticas de segurança, o estabelecimento de acesso ao PD, a introdução de proteção técnica e criptográfica de informações e outros. Observe-se também que, para isso, as empresas precisarão ser orientadas pelas disposições do Centro Operacional e Analítico do Presidente da República da Bielorrússia ( OAC No. 62 ) - este é um órgão estatal da Bielorrússia que regula as atividades de proteção de informações.

A lista de requisitos para a criação de um sistema de segurança da informação estabelecido pelo OAC é bastante complicada e inclui mais de 50 pontos. E a organização dos mecanismos de segurança necessários requer tempo e dinheiro. Com base nisso, pode-se supor que será difícil para as pequenas e médias empresas cumprirem independentemente todas as condições.

No entanto, a nova lei estabelece que o operador pode confiar a coleta, processamento e distribuição do PD a terceiros, ou seja, transferi-lo para a terceirização. Esse terceiro pode ser, por exemplo, um provedor de nuvem que monitorará a conformidade com os requisitos de segurança de dados pessoais.

"Se o equipamento do provedor de nuvem estiver localizado em grandes data centers com sistemas rígidos de controle de acesso e backup, isso fechará automaticamente parte dos requisitos da regulamentação relacionada à proteção de dados físicos, garantindo a segurança da infraestrutura virtual e realizando auditorias", diz Sergey Belkin, chefe do departamento de desenvolvimento 1cloud .

Por exemplo, recentemente colocamos nossos equipamentos no 1loud no data center beCloud localizado nos subúrbios de Minsk. Este data center é certificado de acordo com a norma Tier III, que garante a segurança e acessibilidade dos sistemas de dados e informações de acordo com a legislação da República da Bielorrússia.

Inicialmente, nossa decisão de colocar nosso hardware no data center da Bielorrússia não estava conectada à nova conta - os clientes da Bielorrússia nos perguntaram sobre isso antes. O fato é que, de acordo com o Decreto do Presidente da República da Bielorrússia nº 60 e o Decreto do Conselho de Ministros da República da Bielorrússia nº 644 , os locais comerciais na República da Bielorrússia devem ser colocados em equipamentos localizados no país. No entanto, agora esses requisitos foram complementados por tarefas de processamento de PD, algumas das quais podem ser "delegadas" ao provedor de nuvem local:

"Ao transferir parte das tarefas para os ombros do fornecedor, a empresa economiza tempo e recursos, tendo a oportunidade de se concentrar na melhoria dos processos de negócios", observa Sergey. “No entanto, é importante lembrar que, além da segurança física, você também deve prestar atenção aos recursos de infraestrutura do data center do provedor de nuvem: os recursos das unidades de refrigeração, a duplicação de sistemas críticos e a disponibilidade dos componentes de backup - tudo isso afeta a tolerância a falhas dos sistemas de data center.”

Multas e sanções

Observe que os operadores não precisam se registrar em nenhum registro. Não é necessário armazenar os dados dos bielorrussos localmente (de acordo com o novo projeto de lei), no entanto, é importante levar em conta os requisitos do mesmo Decreto nº 60 e Resolução nº 644 - independentemente do domínio, todos os sites de entidades legais ou empresários individuais na Bielorrússia devem mudar para hospedagem na Bielorrússia. Além disso, as empresas deverão nomear uma pessoa responsável por proteger a DP (como no RGPD), que será responsável por organizar o trabalho com dados pessoais (pode ser um funcionário individual ou um departamento inteiro).

O tamanho das multas “por inconsistência com a letra da lei” ainda não foi definido, no entanto, sabe-se que os infratores serão responsáveis ​​sob as leis e compensarão os sujeitos do PD por danos morais e materiais ( artigos 20, pp . 18–19 ).

Se os dados do usuário forem roubados, o operador é obrigado a informar o regulador sobre o “vazamento” dentro de três dias após o incidente se tornar conhecido. No entanto, se o incidente foi menor e não prejudica os direitos do sujeito da DP, não será necessário denunciá-lo. Nesse caso, o regulador é o órgão autorizado para a proteção dos direitos dos indivíduos com DP. De acordo com o artigo 18 nas páginas 17-18, ele protegerá os direitos dos proprietários de dados pessoais, considerará suas reclamações e monitorará a conformidade da operadora com a lei (por exemplo, exclusão ou bloqueio de dados imprecisos).

Exceções

A lei afetará todas as organizações que trabalham com PD (PI, entidades legais, proprietários de sites e outros): elas precisarão criar políticas para trabalhar com a PD, nomear um DPO, implementar medidas de proteção e assim por diante.

Os requisitos da lei se aplicarão ao processamento automatizado de dados e não automatizados quando as informações forem coletadas em catálogos e arquivos.

No entanto, a lei prevê uma série de exceções. Por exemplo, obter consentimento para o processamento de DP não é necessário se a vida e a saúde do sujeito estiverem em perigo. A exceção também se aplica a jornalistas quando eles realizam suas atividades profissionais legítimas e a cientistas que realizam pesquisas estatísticas (com despersonalização obrigatória dos dados). Uma lista completa de exceções pode ser encontrada nos artigos 6, 9 do documento oficial.


/ Flickr / Catálogo de livros / CC

Opiniões sobre o projeto de lei

As pessoas que participaram de uma discussão pública sobre a lei submetida observam que parte da redação do projeto é "manca". Um usuário, por exemplo, reclamou da redundância de termos para operações com PD. Não está completamente claro por que, sempre, destacar conceitos como “coleta, processamento e armazenamento”, quando apenas o termo “processamento” pode ser usado, como é feito no GDPR ou na lei da Federação Russa .

Outro usuário do Fórum Jurídico da Bielorrússia observou uma discrepância nos requisitos para a proteção da DP nos parágrafos 3 e 5 do artigo 17 . O terceiro parágrafo exige que a organização da proteção técnica e criptográfica seja guiada pela ordem da OAC; no entanto, o quinto parágrafo diz que a classificação (e, consequentemente, o grau de proteção) dos sistemas de informação será determinada por outro órgão estadual.

Os usuários também consideraram que a definição de um operador de PD não dá uma idéia de quem ele é ou o que ele faz. Eles também observaram que o projeto carece de normas legais que estabeleçam os poderes do Presidente e do Conselho de Ministros da República da Bielorrússia nessa área, e esperam que adições, esclarecimentos e mudanças sejam feitos no texto no futuro.

O momento

A discussão do projeto durará até 11 de agosto. Depois disso, se a lei for adotada, os operadores terão um ano para se preparar para sua entrada em vigor.

---

O que mais estamos escrevendo no blog corporativo da 1cloud:

• Como os dados na nuvem são protegidos
• Tudo o que você precisa saber sobre os princípios de neutralidade da rede
• Visão geral de nossos novos produtos: Cisco UCS B480 M5

Publicações do nosso blog no Yandex.Zen:

• Por que trabalhar com a "nuvem" não precisa contratar funcionários adicionais
• Como as empresas economizam dinheiro na nuvem