Как российским компаниям соответствовать требованиям закона о защите персональных данных Республики Беларусь?

Закон Республики Беларусь № 99-З «О защите персональных данных» был принят 7 мая 2021 года. До этого момента в Республике Беларусь отсутствовал нормативный акт, определяющий порядок обработки и защиты персональных данных (ПДн), а было лишь определение ПДн и требование о получении согласия на их обработку в Законе Республики Беларусь № 455-З от 10 ноября 2008 года «Об информации, информатизации и защите информации».

Если российская компания имеет свое представительство на территории Республики Беларусь или осуществляет обработку ПДн от имени или в интересах государственного органа, юридического лица и гражданина Республики Беларусь, то она должна учитывать требования российского и белорусского законов о ПДн.

Применимость закона не установлена в случаях, когда иностранные организации обрабатывают ПДн граждан Белоруссии, но не имеют своего представительства на его территории. Например, если российская компания владеет сайтом рассчитанным на белорусскую аудиторию.

В этой статье мы рассмотрим насколько эти законы отличаются и к каким особенностям белорусского законодательства о ПДн должны быть готовы российские компании.

Закон о защите ПДн Республики Беларусь разрабатывался с учетом положений:

• Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных № 108 от 28 января 1981 года;
• Общего регламента о защите персональных данных Европейского Парламента и Совета Европейского союза от 27 апреля 2016 года (GDPR);
• Законов о ПДн Российской Федерации, Украины, Казахстана, Молдовы, Польши и других.

В связи с чем в белорусском законе можно встретить цитаты российского закона, но также есть и различия, на которые мы обратим внимание в этой статье.

За нарушение белорусского законодательства о ПДн статьей 23.7 Кодекса об административных правонарушениях Республики Беларусь предусмотрена административная ответственность в виде штрафов.

Российское и белорусское законодательства отличаются в требованиях к содержанию формы согласия на обработку ПДн:

• в российском законодательстве, на момент написания статьи, продолжает действовать принцип «одна цель – одно согласие». В соответствии с белорусским законодательством в согласии можно указать несколько целей обработки ПДн;
• отдельной формы согласия на обработку общедоступных ПДн в белорусском законодательстве нет. В российском законодательстве утверждены требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения;
• перечень действий с ПДн в российском законодательстве шире, чем в белорусском. В белорусском законодательстве нет следующих действий: запись, накопление, уточнение, обновление, извлечение, доступ и уничтожение;
• в белорусском законодательстве генетические ПДн выделены в отдельную категорию.

В соответствии с белорусским законодательством не требуется согласие на обработку ПДн, когда ПДн содержатся в документе, адресованном оператору и подписанным субъектом ПДн.

2. Политика обработки персональных данных

Мы сравнили Рекомендации к политике в отношении обработки ПДн Национального центра защиты персональных данных Республики Беларусь и Рекомендации по составлению документа, определяющего политику оператора в отношении обработки ПДн, Роскомнадзора. В результате, чтобы адаптировать политику в отношении обработки ПДн, подготовленную в соответствии с российским законодательством, под требования белорусского законодательства, необходимо указать:

• источники получения ПДн;
• контактные данные лица или подразделения, ответственного за осуществление внутреннего контроля за обработкой ПДн;
• информацию, отнесены ли страны, куда планируется осуществлять трансграничную передачу ПДн, к государствам, на территории которых обеспечивается надлежащий уровень защиты прав субъектов ПДн в соответствии с приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 года № 14.

• 5 дней на предоставление субъекту ПДн информации об обработке его ПДн. В российском законе установлен срок 30 дней;
• 15 дней на изменение, удаление, блокирование, прекращение обработки ПДн или уведомление субъекта о невозможности удаления его ПДн. В российском законодательстве установлены разные сроки от 7 рабочих дней до 30 дней;
• 15 дней на предоставление информации о том, кому и какие ПДн субъекта ПДн предоставлялись в течение года. Такой запрос субъект ПДн может отправить не больше одного раза в год. В российском законодательстве такая обязанность не установлена, информация о передаче ПДн предоставляется в рамках обычного запроса, срок рассмотрения которого 30 дней.

Операторы должны ежегодно до 15 ноября отчитываться в Национальный центр защиты персональных данных о количестве лиц, которым необходимо пройти обучение в Национальном центре защиты персональных данных.

В российском законодательстве подобных требований по обучению и повышению квалификации ответственных лиц нет.

5. Меры защиты персональных данных

Алгоритм приведения деятельности операторов в соответствие требованиям Закона Республики Беларусь о защите ПДн размещен на официальном сайте Национального центра защиты персональных данных. Алгоритм не противоречит требованиям российского законодательства по организации обработки ПДн за исключением требований к техническим мерам защиты информации.

Требования к системе технической и криптографической защиты ПДн формируются на основании класса информационной системы, содержащей ПДн. На данный момент существует две разные системы классификации информационных систем.

Первая: в зависимости от категории содержащихся в них ПДн в соответствии с приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 года № 12 – меры защиты в соответствии с такой классификацией еще не утверждены, но должны появиться в ближайшее время.

Вторая:  в зависимости от доступа к открытым каналам передачи данных (сети Интернет) и категории обрабатываемой информации в соответствии с приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 года № 66. Информационные системы, обрабатывающие ПДн и не подключенные к открытым каналам передачи данных, относятся к классу 4-фл, а подключенные к открытым каналам – к 3-фл. Указанный приказ похож по своему содержанию на приказ ФСТЭК России от 18 февраля 2013 года № 21. В обоих приказах для каждого класса или уровня защищенности определен базовый перечень технических мер, которые оператор может адаптировать в зависимости от используемых информационных технологий или наличия компенсирующих мер. Базовый перечень мер в приказах отличается, поэтому потребуется проверка полноты реализации технических мер защиты, требуемых белорусским законодательством.

6. Уведомление о нарушении системы защиты персональных данных

В соответствии с белорусским законодательством установлен срок 3 дня на уведомление Национального центра защиты персональных данных Республики Беларусь о нарушении систем защиты ПДн. Уведомление отправляется в соответствии с приказом директора Национального центра защиты персональных данных от 15 ноября 2021 года № 13. В российском законодательстве требование уведомления уполномоченного органа по защите ПДн о нарушении системы защиты не предусмотрено.

7. Реестр операторов персональных данных

Операторы ПДн в Республике Беларусь с 1 января 2024 года обязаны вносить в реестр операторов ПДн сведения об информационных системах, содержащих ПДн, и поддерживать сведения в реестре в актуальном состоянии.

До 1 августа 2022 года Оперативно-аналитическим центром при Президенте Республики Беларусь будут определены виды информационных систем, сведения о которых подлежат внесению в реестр, а также перечень включаемых в него сведений и сроки их внесения в реестр. Основания для обработки ПДн без внесения сведений в реестр операторов ПДн не определены в отличие от российского законодательства.

Заключение

Даже если компания выполняет все требования российского законодательства по ПДн, то для соответствия требованиям белорусского законодательства потребуется внести изменения в процессы обработки и защиты ПДн. Для соответствия белорусскому законодательству о защите ПДн российской компании необходимо:

• скорректировать форму согласия на обработку ПДн и документы, определяющие политику в отношении обработки ПДн;
• учитывать иные сроки реагирования на запросы субъектов ПДн;
• уведомлять Национальный центр защиты ПДн Республики Беларусь о нарушении систем защиты ПДн;
• проводить обучение работников по вопросам обработки ПДн 1 раз в 5 лет;
• отправить на обучение ответственного за осуществление внутреннего контроля за обработкой ПДн в Национальный центр защиты ПДн Республики Беларусь, если ваша компания относится к организациям, упомянутым ранее;
• провести категорирование информационных систем, содержащих ПДн;
• применять технические и криптографические меры защиты информации в соответствии с белорусским законодательством.

При необходимости эксперты Аналитического центра УЦСБ готовы проконсультировать вас по вопросам белорусского законодательства о защите ПДн и разработать необходимые документы. Свои обращения можно направлять по адресу compliance@ussc.ru