春季末,GDPR法规在欧盟生效。 一个月前,美国
签署了一项法案,要求公司必须在事件发生后一个月内将数据“泄漏”通知客户和当局。
今年,与PD有关的新法案也出现在白俄罗斯。 今年4月,国会议员首先
通过了媒体法修正案,要求用户在论坛上发表评论之前先进行身份验证。 现在,当局已经提交了“关于个人数据”的
法律草案 。
在猫之下,我们谈论它的本质和社区的反应。
/ Pxhere / PD法案的实质
该法案是在白俄罗斯共和国国家立法和法律研究中心(
NZPPI )上提出的。 6月,该中心的一个代表团
前往巴黎会见了法国数据保护委员会(
CNIL )的成员,以汲取欧洲同事的经验,并将其立即付诸实践。
7月初
提出 了法律
草案 。 它有六章和二十二篇文章,描述了在白俄罗斯使用PD的规则。 对该法案的讨论将持续到今年8月11日。
文档中的主要参与者是个人数据的主题和操作者。 PD主体是收集,存储或处理数据的人。 PD操作员是在白俄罗斯处理PD的公司或企业家。 监管者直接通过个人数据了解可识别个人身份的任何信息。 该信息包括生物特征(指纹)和遗传指标(DNA)。
您可以
在白皮书第1和2页的
第一篇文章中找到这些和其他定义。
根据该法案的文本,PD的主题具有以下权利:
- 同意处理PD并将其撤销;
- 需求更改PD,并删除或停止处理它们;
- 接收有关其PD已转移给第三方的信息;
- 向操作员投诉控制器。
反过来,PD运营商有义务征得受试者同意以处理PD,解释该数据用于什么目的并保护其免受损害。
第17条(
该文件的第16-17页 )列出了为此所需的措施。 其中包括:创建安全策略,建立对PD的访问权限,引入信息的技术和密码保护等。 还需要注意的是,为此,公司将需要遵循白俄罗斯共和国总统(
OAC第62号 )下的运营和分析中心的规定-这是白俄罗斯的一个负责信息保护活动的国家机构。
由OAC建立的创建信息安全系统的要求清单非常复杂,包括50多个要点。 而且,必要的安全机制的组织需要时间和金钱。 基于此,可以假定中小企业很难独立满足所有条件。
但是,新法律规定,运营商可以将PD的收集,处理和分发委托给第三方,即将其转移到外包中。 该第三方可以是例如云提供商,它将监视对个人数据安全要求的遵守情况。
“如果云提供商的设备位于具有严格访问控制和备份系统的大型数据中心中,这将自动关闭与物理数据保护有关的部分法规要求,从而确保虚拟基础架构的安全性并进行审核,” 1cloud开发部门负责人Sergey Belkin说。 。
例如,我们最近
将设备放置在位于明斯克郊区的beCloud数据中心的1loud中。 该数据中心已通过Tier III标准认证,可确保按照白俄罗斯共和国的立法确保数据和信息系统的安全性和可访问性。
最初,我们将硬件放置在白俄罗斯数据中心的决定与新法案无关-白俄罗斯的客户较早前就此事向我们提出了要求。 事实是,根据白俄罗斯共和国总统
第60号法令和白俄罗斯共和国部长理事会
第644号法令,白俄罗斯共和国的商业场所应放置在该国的设备上。 但是,现在这些要求已由PD处理任务补充,其中一些任务可以“委托”给本地云提供商:
“通过将部分任务转移到供应商的肩膀上,公司节省了时间和资源,并有机会专注于改善业务流程,” Sergey说。 “但是,重要的是要记住,除了物理安全性之外,您还应该注意云提供商数据中心的基础架构功能:制冷单元的功能,关键系统的重复以及备份组件的可用性-所有这些都会影响数据中心系统的容错能力。”
罚款和罚金
请注意,操作员无需在任何注册表中进行注册。 不必在本地存储白俄罗斯语的数据(根据新法案),但是,必须考虑同一60号法令和644号决议的要求-
不论其域是什么,白俄罗斯的所有法人实体或个人企业家都应改用白俄罗斯语托管。 此外,公司
必须任命一名负责保护PD的人员(例如GDPR),该人员将负责使用个人数据来组织工作(可以是个人员工,也可以是整个部门)。
尚未阐明“因违反法律规定”而罚款的数额,但是,众所周知,违反者将根据法律承担责任,并为PD主体赔偿精神和物质损失(
第20条,第18-19页 )。
如果用户数据被盗,则操作员有义务在事件被发现后三天内通知监管机构该“泄漏”。 但是,如果事件很小,并且不会损害PD主体的权利,则没有必要举报该事件。 在这种情况下,监管机构是保护PD对象权利的授权机构。 根据
第17-18页的第18条,他将保护个人数据所有者的权利,考虑他们的投诉,并监视运营商是否遵守法律(例如删除或阻止不正确的数据)。
例外情况
该法律将影响与PD合作的所有组织(IP,法人,网站所有者和其他组织):他们将需要制定与PD合作的政策,任命DPO,实施保护措施等等。
当在目录和文件柜中收集信息时,法律的要求将适用于自动化数据处理和非自动化。
但是,法律规定了许多例外情况。 例如,如果受试者的生命和健康处于危险中,则不需要获得PD处理的同意。 该例外也适用于记者从事其合法的专业活动时,以及进行统计研究(必须对数据进行去个性化处理)的科学家。 完整的例外清单可以
在官方文件的
第6、9条中找到。
/ Flickr / 图书目录 / CC对账单的意见
参与对提交的法律进行公开讨论的人指出,该法案中的某些措辞是“ lam废”。 例如,一个用户抱怨PD操作的术语重复。 目前尚不完全清楚,为什么每次只能使用“加工”一词时,如GDPR或
俄罗斯联邦法律那样,每次都只选择“收集,加工和存储”等概念。
白俄罗斯法律论坛的另一位用户指出
,第17条第3款和第5款对保护PD的要求存在差异。 第三段要求技术和密码保护的组织应遵循OAC的命令,但是,第五段指出,信息系统的分类(以及相应的保护程度)将由另一个国家机构确定。
用户还认为,PD运营商的定义并不能说明他是谁或做什么。 他们还指出,该法案缺乏确立白俄罗斯共和国总统和部长理事会在这一领域的权力的法律规范,并希望今后在案文中进行适当的补充,澄清和修改。
时机
对该法案的讨论将持续到8月11日。 此后,如果该法律获得通过,运营商将有一年的时间为其生效做准备。
我们还在1cloud的公司博客上写些什么:
来自我们在Yandex.Zen上的博客的帖子: