01 Окт Защита Персональных Данных: Требования Законодательства и Комплексный Подход
Если ваша организация имеет сайт, клиентов или сотрудников, вы, вероятнее всего, работаете с
персональными данными (ПД). Законодательство Республики Беларусь строго регулирует этот процесс , а нарушения могут повлечь штрафы (до 50 базовых величин) и приостановку деятельности информационных ресурсов.
Что Относится к Персональным Данным?
Согласно Закону Республики Беларусь «О защите персональных данных», это «любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано».
Наиболее распространенные, но не единственные примеры:
- Имя, фамилия, паспортные данные, адрес, номер телефона, email.
- Менее очевидные данные: cookie-файлы, история заказов, IP-адрес устройства, данные GPS-трекера.
- Данные сотрудников (личные дела, больничные листы), даже при отсутствии онлайн-ресурсов.
- Данные, обрабатываемые при видеонаблюдении в офисе или магазине.
Практически всем организациям необходимо позаботиться о защите ПД, особенно если есть формы обратной связи, личные кабинеты, CRM-системы или email-рассылки.
Законодательные Требования и Меры Защиты
Все необходимые меры по защите ПД делятся на две основные группы:
- Организационно-правовые меры: Регулируются Законом № 99-З и Указом Президента № 422. Включают разработку политик по обработке ПД, определение порядка доступа, перечня уполномоченных лиц, оформление отношений с аутсорсинговыми организациями.
- Технические меры: Регулируются приказом ОАЦ при Президенте РБ № 66. Это аттестация системы защиты информации (СЗИ), подтверждающая, что она соответствует требованиям к технической и криптографической защите.
Нарушения, выявленные Национальным центром защиты персональных данных (НЦЗПД), часто связаны с
обработкой данных без правовых оснований и хранением ПД свыше необходимого срока (хранить данные бессрочно нельзя).
Этапы Приведения Системы в Соответствие
Процесс приведения информационной системы в полное соответствие с законодательством включает:
1. Правовые и Организационные Шаги
- Определение правового основания обработки ПД.
- Определение объема обрабатываемых данных.
- Определение периода хранения ПД.
- Разработка документов, определяющих политику компании в отношении ПД.
- Определение порядка доступа к данным.
- Заключение соглашений об обработке ПД с уполномоченными лицами (включая обслуживающие организации).
2. Технические Шаги
- Проектирование и создание Системы Защиты Информации (СЗИ).
- Разработка политики информационной безопасности, технического задания и схем.
- Аттестация созданной СЗИ.
Важно: Аттестация СЗИ является только одной из восьми обязательных мер по защите ПД. Комплексный подход, объединяющий организационно-правовые и технические меры, необходим для минимизации рисков.
- Как Реализовать Защиту ПД?
- Выделяют три основных подхода к реализации этих мер:
| Вариант | Описание | Плюсы | Минусы | |
| Силами штатных специалистов | Юристы занимаются организационно-правовой частью, IT-специалисты — аттестацией. | Отсутствие дополнительных затрат. | Высокий риск ошибок, формальное выполнение требований, отсутствие глубокого понимания процесса. | |
| Аутсорс части работ | Подрядчикам доверяют аудит или саму аттестацию. | Меньшая нагрузка на штатных специалистов, формальное соблюдение процедур. | Риск шаблонных решений, несоответствие аттестованной СЗИ организационно-правовым требованиям (самый распространенный сценарий). | |
| Максимум работ на аутсорс (Единый подрядчик) | Один подрядчик проводит аудит, формирует отчет с рекомендациями, помогает в реализации СЗИ и проводит аттестацию. | Глубокое погружение, индивидуальный подход, минимальный риск ошибок, экономия времени. | Сложность найти компанию, способную выполнить разноплановые работы комплексно и профессионально. |
Подготовлено экспертами hoster.by
Полную версию статьи по данной теме Вы сможете прочитать в нашем журнале “Генеральный директор”