Ответственность за нарушения в области защиты персональных данных

от: 11-10-2023 19:27 | раздел: 4Бизнес
---

Нормативно-правовая база в области защиты персональных данных в нашей стране еще не до конца проработана. При этом, отдельные специалисты полагают необходимым регламентировать законодательно юридические аспекты GDPR. Говоря языком профильных специалистов, агрегация, использование и хранение персональных данных должны быть законодательно утверждены на уровне соответствующих госорганов. Подробнее об этом - в нашем обзоре...

Нарушение законодательных актов РБ, регламентирующих правовые отношения, касаемые персональных данных, влечет следующие последствия:
• привлечение, как к административной, так и к уголовной ответственности должностных лиц и организаций, занимающихся обработкой персональных данных;
• постановление о прекращении обработки персональных данных субъекта, что влечет за собой прекращение деятельности организации;
• направление материалов в органы прокуратуры и возбуждение уголовного дела по результатам проверки;
• приостановление деятельности оператора при отсутствии у него лицензии на осуществление деятельности по технической защите персональных данных, при условии оказания данных услуг;
• изъятие несертифицированных средств защиты информации.
Ниже приведены меры ответственности за нарушение требований законодательства по защите персональных данных;

1. Нарушение требований закона «Об информации, информационных технологиях и о защите информации» влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством. 

Юридическая ответственность - это применение мер государственного принуждения к виновному лицу за совершение противоправного деяния.
Уголовная ответственность - применяется в судебном порядке к лицу, виновному в совершении преступления. 
Дисциплинарная ответственность - заключается в наложении на виновное лицо дисциплинарного взыскания за неисполнение или ненадлежащее исполнение лицом своих трудовых или служебных обязанностей властью руководителя. 
Гражданско-правовая ответственность - вытекает из нарушения имущественных и личных неимущественных прав граждан и организаций.

Статья 13.12. Нарушение правил защиты информации

Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), влечет наложение административного штрафа.

Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), влечет наложение административного штрафа:
• на граждан в размере от 1500 до 2500 рублей + конфискация несертифицированных СЗИ;
• на должностных лиц - от 2500 до 3000 рублей;
• на юридических лиц - от 20 000 до 25 000 рублей + конфискация несертифицированных СЗИ.
• за аналогичное нарушение при обработке государственной тайны штрафы немного выше: для должностных лиц от 3000 до 4000 р, для юридических лиц - от 20 000 до 30 000 рублей.

Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), влечет:
• для индивидуальных предпринимателей - штраф от 2000 до 3000 рублей или административное приостановление деятельности на срок до 90 суток;
• для должностных лиц - штраф от 2000 до 3000 рублей;
• для юридических лиц - от 20 000 до 25 000 рублей или административное приостановление деятельности на срок до 90 суток.

Статья 13.14. Разглашение информации с ограниченным доступом

Разглашение информации, доступ к которой ограничен (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа.

Статья 137. Нарушение неприкосновенности частной жизни

Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации наказывается:
• штрафом в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев;
• обязательными работами на срок до 360 часов;
• либо арест на срок до 4 месяцев;
• либо лишение свободы на срок до 2 лет с лишением права;
• занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет.

Те же деяния, совершенные лицом с использованием своего служебного положения наказываются:
• штрафом в размере от 100 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет;
• либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет;
• либо принудительными работы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового;
• либо арестом на срок до 6 месяцев;
• либо лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.

Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений

Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан наказывается:
• штраф в размере до 80 000 рублей или в размере заработной платы, или иного дохода осужденного за период до 6 месяцев;
• либо обязательные работы на срок до 360 часов;
• либо исправительные работы на срок до 1 года.

Статья 138.1. Незаконный оборот специальных технических средств, предназначенных для негласного получения информации

Незаконные производство, приобретение и сбыт специальных технических средств, предназначенных для негласного получения информации, наказывается:
• штраф в размере до 200 000 рублей или в размере заработной платы, или иного дохода осужденного за период до 18 месяцев;
• либо ограничение свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового;
• либо лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.

Статья 159.6. Мошенничество в сфере компьютерной информации

Мошенничество в сфере компьютерной информации, то есть хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей наказывается: 
• штрафом в размере до 120 000 рублей или в размере заработной платы или иного дохода осужденного за период до одного года;
• либо обязательными работами на срок до 360 часов;
• либо исправительными работами на срок до 1 года;
• либо ограничением свободы на срок до 2 лет;
• либо принудительными работами на срок до 2 лет;
• либо арестом на срок до 4 месяцев.

В этой статье также установлены наказания за те же деяния, совершенные группой лиц по предварительному сговору, с использованием служебного положения, организованной группой. Самое большое наказание предусмотрено для организованной группы или в случае причинения ущерба в особо крупном размере:

Лишение свободы на срок до 10 лет со штрафом в размере до 1000000 рублей или в размере заработной платы или иного дохода осужденного за период до 3 лет либо без такового и с ограничением свободы на срок до 2 лет либо без такового.

Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну. Собирание вышеуказанных сведений посредством хищения документов, подкупа или угроз, а равно иным незаконным способом наказывается:
• штрафом в размере до 500 000 рублей или в размере заработной платы или иного дохода осужденного за период до 1 года;
• либо исправительными работами на срок до 1 года;
• либо принудительными работами на срок до 2 лет, либо лишением свободы на тот же срок.

Незаконные разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, наказываются:
• штрафом в размере до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет;
• либо исправительными работами на срок до 2 лет;
• либо принудительными работами на срок до 3 лет, либо лишением свободы на тот же срок.

Также в статье приведены наказания за те же деяния, причинившие крупный ущерб, совершенные из корыстной заинтересованности, повлекшие тяжкие последствия.


Статья 272. Неправомерный доступ к компьютерной информации

В статье оговорено, что крупный ущерб - это ущерб, сумма которого превышает один миллион рублей. Установлены наказания за те же деяния, причинившие крупный ущерб, совершенные из корыстной заинтересованности, совершенные группой лиц по предварительному сговору, организованной группой либо лицом с использованием своего служебного положения, повлекшие тяжкие последствия.

Статья 273. Создание, использование и распространение вредоносных компьютерных программ

Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, наказываются:
• ограничением свободы на срок до 4 лет;
• либо принудительными работами на срок до 4 лет;
• либо лишением свободы на тот же срок со штрафом в размере до 200 000 тысяч рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев.

Если деяния совершены группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности наказываются:
• ограничением свободы на срок до 4 лет;
• либо принудительными работами на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового;
• либо лишением свободы на срок до 5 лет со штрафом в размере от 100 000 тысяч до 200 000 тысяч рублей или в размере заработной платы или иного дохода осужденного за период от 2 до 3 лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.

Если те же деяния повлекли за собой тяжкие последствия или создали угрозу их наступления, наказанием будет лишение свободы на срок до 7 лет.

Статья 274

Предусматривает наказания за нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей с максимальным наказанием в виде лишения свободы на срок до пяти лет.

Статья 81. Расторжение трудового договора по инициативе работодателя

Трудовой договор может быть расторгнут работодателем в случаях:
• однократного грубого нарушения работником трудовых обязанностей;
• разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.

Гражданский кодекс 

Под нематериальными благами подразумеваются: 
• жизнь и здоровье
• достоинство личности
• личная неприкосновенность
• честь и доброе имя
• деловая репутация
• неприкосновенность частной жизни
• неприкосновенность жилища
• личная и семейная тайна
• свобода передвижения
• свобода выбора места пребывания и жительства
•  имя гражданина
•  авторство. 

Статья 152. Защита чести, достоинства и деловой репутации

Гражданин вправе требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности.
Опровержение должно быть сделано тем же способом, которым были распространены сведения о гражданине, или другим аналогичным  способом. Обнародование и дальнейшее использование изображения гражданина допускаются только с согласия этого гражданина.

Такое согласие не требуется в случаях, когда:
• использование изображения осуществляется в государственных, общественных или иных публичных интересах;
• изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;

Статья 152.2. Охрана частной жизни гражданина

В ней устанавливается, что сбор, хранение, распространение и использование любой информации о частной жизни гражданина без его согласия не допускаются, если иное не предусмотрено законом.

К информации о частной жизни относятся, в частности, сведения о происхождении гражданина, о месте его пребывания или жительства, о личной и семейной жизни, но оставляет этот перечень открытым. 

В качестве наказания по данной статье может быть признание судом морального ущерба и взыскание его за счет имущества ответчика. Депутаты уточняют терминологию в сфере информационных технологий, предусматривающие административную ответственность за нарушение требований по защите информации. 

Законопроект был внесен во исполнение решения оперативного совещания.

Штрафы не очень велики, но до этого существовал пробел в законодательстве, который не позволял привлекать нарушителей к ответственности. Сейчас это будет сделано. 

Банковские организации: защита персональных данных на уровне ЦБ РБ

Наверняка многие из вас хотя бы раз брали кредит, а некоторым подобная процедура еще только предстоит. Западная модель жизни в долг с каждым годом все больше укореняется в нашей стране, принимая порой уродливые очертания. А по мере распространения кредитования увеличивается и число не выданных займов. 

Итак, целями Закона №218 являются «создание и определение условий для формирования, обработки, хранения и раскрытия бюро кредитных историй информации, характеризующей своевременность исполнения заемщиками своих обязательств по договорам займа, повышения защищенности кредиторов и заемщиков за счет общего снижения кредитных рисков, повышения эффективности работы кредитных организаций. Это записано в ст.1 закона. Важно, что под его действие подпадают как физические, так и юридические лица. Мы сосредоточимся на гражданах - нынешних и будущих заемщиках.

Предыстория

Спрос на потребительское кредитование в нашей стране быстро растет. Большинство людей выбирают товар в соответствии со своими возможностями и потребностями: граждане с высоким уровнем доходов - недвижимость и автомобили, с более низким - бытовую технику, компьютеры.

Займы предоставляются как в офисах банков, так и в магазинах и торговых центрах. Для получения кредита на покупку мобильного телефона или, допустим, пылесоса иногда достаточно предъявить лишь паспорт. В большинстве же случаев нужны два разных удостоверения личности. 

А чтобы взять взаймы деньги на приобретение квартиры или автомобиля, уже потребуется справка о доходах. Конечно, все кредиты у нас в стране выдаются под проценты. При этом, чем больше банк уверен в платежеспособности заемщика, тем ниже оказывается процентная ставка. Скажем, для ипотечных кредитов, выдаваемых людям с довольно высокими и тем или иным образом подтвержденными доходами, прошедшими процедуру тщательной проверки в банке, нормальной считается ставка -13-15% годовых в рублях. 

По другим потребительским кредитам меньше 18% никто не предлагает. А если прийти в магазин без денег и с одним паспортом, можно оказаться в очень серьезной «кабале»: официально до 30% годовых плюс 0-2% ежемесячно в виде разнообразных комиссий и сборов, реально же итоговая ставка порой доходит до 40% и более. 

На первый взгляд это производит тягостное впечатление. Но в условиях не урегулированного рынка, сравнительно недолгой его истории и практики потребительского кредитования банки вынуждены закладывать риски невозврата долгов в процентную ставку по кредиту. А проблема просроченной задолженности становится с каждым днем все более актуальной. 

Поодиночке банкам справляться с ней трудно, хотя во многих из них существуют специальные структуры, занимающиеся взысканием долгов. Попытки консолидации информации уже предпринимались: говорят, что задолго до принятия Закона «О кредитных историях» существовал и до сих пор существует черный список недобросовестных заемщиков, опорочивших свое доброе имя невозвратом кредитов. 

Теперь все должно измениться к лучшему, и каждый человек будет заинтересован в том, чтобы сформировать собственную положительную кредитную историю. Она сама по себе послужит доказательством его платежеспособности (когда он придет в банк за кредитом). А в целом для всех потенциальных заемщиков ставки по кредитам, надеемся, постепенно снизятся до уровня развитых стран (около 4-6% годовых), и рынок кредитования станет более цивилизованным.

Словарь терминов

Кредитная история - информация, характеризующая исполнение заемщиком принятых на себя обязательств по договорам займа и хранящаяся в бюро кредитных историй. Каждая кредитная история состоит из трех частей: 
• титульной
• основной 
• дополнительной. 
Договор займа - договор, содержащий условие предоставления товарного и коммерческого кредита. 
Кредитный отчет - документ, который заключает в себе информацию, входящую в титульную и основную части кредитной истории. 
Бюро предоставляет его по запросу пользователя кредитной истории и других лиц, имеющих право на получение этих сведений. Источник формирования кредитной истории - организация, являющаяся заимодавцем по договору займа и представляющая информацию, входящую в состав кредитной истории, в бюро. 
Субъект кредитной истории - физическое или юридическое лицо, которое является заемщиком по договору займа  и в отношении которого формируется кредитная история. 
Бюро кредитных историй - юридическое лицо, представляющее собой коммерческую организацию и оказывающее услуги по формированию, обработке и хранению кредитных историй, а также по предоставлению кредитных отчетов и сопутствующих услуг. 
Пользователь кредитной истории - индивидуальный предприниматель или юридическое лицо, получившие письменное или иным способом документально зафиксированное согласие субъекта кредитной истории на получение кредитного отчета для заключения договора займа. 

Принцип действия

Как же все должно происходить в соответствии с Законом №218? Вы обращаетесь за кредитом в банк, получаете взаймы некую сумму, а банк, выступая в качестве источника формирования кредитной истории, представляет всю информацию об этом в бюро на основании заключенного договора об оказании информационных услуг. 

Но прежде чем передать сведения о вас, он должен получить ваше согласие - обычно письменное. Вы имеете право не давать такого согласия, но в этом случае вам с большой вероятностью откажут в предоставлении займа. 

Почему? 

Да потому, что все банки заинтересованы в том, чтобы обмениваться между собой информацией о заемщиках. Из бюро информация  поступает в ЦККИ.  К тому же теперь банки смогут проверить, насколько добросовестно вы погасили предыдущие кредиты: выступая в качестве пользователей кредитной истории, они могут запросить информацию о вас в бюро, с которыми работают, а при отсутствии таковой - в ЦККИ.

Последний ответит, в каком из бюро есть такие сведения. Обмен информацией происходит очень быстро, поскольку все организации, задействованные в этом, пользуются компьютерными базами данных и направляют ответы на запросы в форме электронных сообщений.

Содержание кредитной истории

Какие сведения заключены в этом документе, хранящемся за семью печатями в бюро? 

Самые разнообразные, позволяющие, во-первых, однозначно идентифицировать личность, а во-вторых, проследить шаг за шагом его прошлое как заемщика. Каждая кредитная история физического или юридического лица в соответствии со ст.4 закона состоит из трех частей: 
• титульной;
• основной;
• дополнительной.

Первая включает: Ф.И.О., дату и место рождения, паспортные данные, идентификационный номер налогоплательщика.

(ИНН) и номер индивидуального лицевого счета, указанный в свидетельстве государственного пенсионного страхования.
Основная часть может включать и другую информацию, официально полученную из государственных органов. В дополнительной части кредитной истории содержатся сведения об источниках формирования и пользователях кредитной истории, то есть обо всех банках и организациях, которые когда-либо предоставляли конкретному субъекту-заемщику кредиты и  запрашивали в бюро кредитные отчеты. 

Это следующие данные: их наименование, единый государственный регистрационный номер юридического лица, ИНН, код основного классификатора предприятий и организаций (ОКПО) и даты обращений.

Схема обмена информацией, содержащейся в кредитной истории
1. Субъект кредитной истории (потенциальный заемщик) обращается в банк за кредитом.
2. Банк просит субъекта дать письменное согласие на получение банком кредитного отчета в бюро кредитных историй.
3. Субъект дает такое согласие.
4. Банк (как пользователь кредитной истории) запрашивает кредитный отчет о субъекте в бюро кредитных историй, с которым у него заключен договор об оказании  информационных услуг.
5. В свою очередь, бюро предоставляет такой отчет или отвечает, что кредитная история данного субъекта в его базе данных отсутствует.
6. Банк обращается в ЦККИ с запросом, в каком бюро содержится кредитная история данного субъекта. ЦККИ отвечает, и банк обращается в указанное бюро.
7. Банк выдает заемщику кредит и просит его дать согласие на представление информации о нем и полученном им кредите в бюро.
8. Банк представляет эту информацию хотя бы в одно из бюро кредитных историй.
9. Все бюро передают титульные части кредитных историй субъектов в ЦККИ.
10. Любой субъект может запросить в бюро свою кредитную историю, и бюро обязано ее предоставить в полном объеме, если она имеется в его базе данных. Если кредитная история субъекта в базе данных этого бюро отсутствует, оно должно направить субъекту мотивированный отказ.

Предоставление информации

Субъект кредитной истории - бывший или будущий заемщик- может запросить в бюро полную информацию о себе и получить ее один раз в год бесплатно и сколько угодно раз - за плату (ст.8). 

Он вправе оспорить содержание своей кредитной истории, для чего нужно подать в бюро заявление о внесении изменений и дополнений в нее. 

В течение 30 дней со дня получения заявления бюро обязано отреагировать: провести дополнительную проверку информации, запросив ее у источника формирования кредитной истории. 

Если сведения, предоставленные субъектом, подтверждаются, бюро вносит изменения в содержание кредитной истории, если нет - направляет заявителю мотивированный отказ. 

Вы, конечно, можете и не знать, в каком бюро находится ваше "дело". И тогда нужно обратиться в ЦККИ, куда поступает информация из всех функционирующих бюро. Но только титульная часть кредитной истории - и больше ничего.

Таким образом, государство в лице подразделения Центробанка, по сути, не располагает никакими фактическими данными о добросовестности или недобросовестности заемщика. 

ЦККИ знает лишь, в каком бюро хранится ваша кредитная история. Отсутствие полной информации в этом случае можно только приветствовать, ведь ее утечка становится невозможной.

В ЦККИ также может обратиться любая кредитная организация (пользователь кредитной истории), заинтересованная в том, чтобы узнать, в каком бюро находится кредитная история заемщика. Получит она эту информацию бесплатно. 

Бюро кредитных историй призваны оказывать на договорной основе (то есть за плату) услуги по предоставлению кредитных отчетов. Это документ, который получают заинтересованные компании и граждане, обратившиеся в бюро. Он состоит из двух частей кредитной истории - титульной и основной. 

Ее дополнительная часть предоставляется только самому субъекту – «хозяину» кредитной истории; кроме того, в суд по возбужденному уголовному делу, находящемуся в производстве, а также в органы предварительного следствия при наличии согласия прокурора. 

В соответствии со ст.9 закона бюро может оказывать и другие услуги, связанные с разработкой оценочных методик вычисления индивидуальных рейтингов и их использованием (на основе информации, содержащейся в кредитных историях).

Безопасность и контроль

Выстроенная система обмена информацией между разными организациями кажется довольно логичной. Но не получится ли так, что сведения, по сути, являющиеся тайной, окажутся в свободной продаже? 

Этому посвящено несколько положений закона. Во-первых, в ст. 7 четко сказано, что предоставление сведений в соответствии с данным законом не является нарушением служебной, банковской, налоговой или коммерческой тайны. 

Во-вторых, в соответствии с ч.2 той же статьи бюро кредитных историй обеспечивают защиту информации сертифицированными средствами защиты при ее обработке, хранении и передаче. Каждое бюро должно иметь лицензию на деятельность по технической защите конфиденциальной информации (см.ст.17 Федерального закона №128-ФЗ от 08.08.2001г. «О лицензировании отдельных видов деятельности»). 

Приняв Закон «О кредитных историях», государство пытается урегулировать процесс выдачи и погашения кредитов, побудить каждого формировать собственную положительную кредитную историю. 

Если через какое-то время система обмена информацией о заемщиках все-таки начнет функционировать в полную силу, это будет способствовать становлению цивилизованного рынка и упрощению самой процедуры получения кредита. 
Но, к сожалению, ни один из специалистов не указал на возможность уменьшения процентных ставок по кредитам в будущем, хотя, казалось бы, они должны упасть при снижении банковских рисков. 

В общем, система только начала работать, так что поживем-увидим. Комментарии к одноименному закону. Содержание кредитной истории, принципы функционирования системы обмена информацией, органы контроля.

Незаконный запрос кредитной истории – кому идти жаловаться?

Сегодня хотим кратко осветить такой скользкий момент, как получение отчета кредитной истории без согласия клиента. В интернете пишут о прецедентах, когда банк предварительно просматривал досье клиента, готовясь сделать ему коммерческие предложения. Такие случаи единичны, но они были.

Когда банк может получить данные вашей кредитной истории

Прежде всего, хотим сказать, что сделать запрос в бюро кредитных историй, банк может только с письменного согласия заемщика. Никто не имеет права просматривать ее без согласия заемщика.  Как только заемщик обращается за кредитной заявкой, он ставит подпись о сборе персональных данных. 

Это позволяет банку осуществить запрос в бюро, и изучить кредитное досье. Данное согласие, по закону действует месяц. Как только заемщик оформил заем, банк также передает регулярно сведения о действиях заемщика в БКИ, но всё это также согласовывается путем подписи заемщика в договоре на стадии его подписания. Но, это не запрос данных, а просто их передача, которая и формирует кредитную историю заемщика.

Любой официальный запрос кредитной истории должен сопровождаться пометкой в соответствующей закрытой части кредитной истории. К слову, закрытую часть может получить лишь сам заемщик. 

Важно!Согласно поправкам в Законе «О кредитных историях» можно без согласия заемщика получить лишь информационную часть кредитной истории, и только юридическим лицам и ИП. В этой части содержится информация о заявках на кредит, отказах банка с указанием причины, а также признаки дефолта заемщика. А вот запросить без согласия заемщика полностью его кредитную историю — нельзя. Вот и выходит, что без письменного согласия,  банк не вправе совершать какие-либо действия в отношении формирования и запроса кредитной истории. 

Поэтому, нельзя без согласия субъекта делать запрос о его полном кредитном досье. Даже зная паспортные данные – запрашивать кредитную историю о человеке без его согласия нельзя.  С другой стороны — банкам разрешается просматривать информационную часть заемщика, но там информации минимум. Там можно посмотреть только общую картину. Самое интересное заключается в том, что согласно закону, бюро кредитных историй должно накапливать также и сведения о тех, кто запрашивал кредитное досье.

То есть, любой запрос о кредитной истории оставляет след в ней в виде записи о том, что ее просматривали. Это и есть тот самый закрытый раздел в кредитной истории. Поэтому, просматривая свою кредитную историю, можно увидеть, кто интересовался вашим кредитным досье, сравнив это с тем, кому из них вы разрешали это делать.

Что говорит закон

Прежде всего, это:
• статья 183 УК РФ. «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну».
• статья 5.53 КоАП РФ. «Незаконные действия по получению и  распространению информации, составляющей кредитную историю».

Сколько денег уже отдано банкам

Конечно, «бодаться» с банком будет довольно тяжело, пытаясь доказать, что вам нанесен ущерб в связи с разглашением банковской тайны. Тем не менее, такие случаи не стоит оставлять без внимания. Прежде всего, так сказать, для разведки боем, можно сделать письменный запрос в банк, который сделал незаконный запрос, с требованием объяснить причину, по которой он запросил кредитную историю без вашего согласия. 

И второе – примерно такое же письмо отправить в БКИ, которое предоставило отчет, с требованием объяснить, на каком основании без вашего письменного согласия были переданы личные данные. Для пущей убедительности можно озвучить вышеприведенные статьи законов. В дальнейшем, при желании можно попробовать оспорить незаконные действия в суде, однако, реальных случаев судебного обжалования подобных споров, мы не знаем. 

Описание нарушения
• нарушение законодательства о труде и об охране труда лицом, ранее подвергнутым административному наказанию за аналогичное административное правонарушение.
• незаконные действия по получению и распространению информации, составляющей кредитную историю, если такие действия не содержат уголовно наказуемого деяния. 

Неправомерные действия при банкротстве

Представление в орган, осуществляющий государственную регистрацию юридических лиц и индивидуальных предпринимателей, документов, содержащих заведомо ложные сведения, если такое действие не содержит уголовно наказуемого деяния.

Фиктивное или преднамеренное банкротство

Заключение ограничивающего конкуренцию соглашения, осуществление ограничивающих конкуренцию согласованных действий, координация экономической деятельности. Незаконные действия по получению или предоставлению кредитного отчета либо информации, составляющей кредитную историю и входящей в кредитный отчет, если такие действия не содержат уголовно наказуемого. 

Юридические аспекты защиты персональных данных

Ежедневное использование различных интернет-сервисов, оформление заказов через интернет, мгновенное опубликование новостной информации – это и многое другое зачастую содержит персональные данные. 

Каждый из нас заинтересован в защите таких данных и хочет знать, в каких случаях будет идти речь о нарушении конфиденциальности подобной информации. В настоящее время единого определения персональных данных в белорусском законодательстве нет. 

С целью уточнения понятия персональных данных, определения четких подходов и механизмов их защиты в Беларуси разрабатывается проект концепции закона о персональных данных. 

В концепции планируется ввести такие понятия, как общедоступные персональные данные, к которым будут отнесены, в том числе фамилия, имя и отчество физического лица, и чувствительные персональные данные, к которым будет отнесена информация, подлежащая какой-то дополнительной защите.

Проект концепции закона о персональных данных также предусматривает, что согласие физического лица на обработку своих персональных данных может быть получено в письменной и электронной форме. 

Что конкретно будет включено в данное понятие, еще остается предметом обсуждения. Однако ясно, что введение такого подхода будет свидетельствовать о либерализации законодательства и принятии во внимание развития информационных технологий.

Защита персональных данных в Беларуси

Международного Пакта о гражданских и политических правах устанавливает, что «никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища, или тайну его корреспонденции, или незаконным посягательствам на его честь и репутацию. 
Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств. Из этого  базового, неотчуждаемого права на неприкосновенность личной жизни вытекает право индивида на защиту персональных данных. Руководящие принципы ООН по регламентации компьютеризированных картотек, содержащих данные личного характера требуют соблюдения следующих норм.


• любое лицо, удостоверяющее свою личность, имеет право знать, подвергаются ли касающиеся его данные обработке, получать об этом сообщение в понятной соответствующих исправлении в данные или уничтожение их в случае их незаконной, необоснованной или неточной регистрации и, если эти данные сообщались кому-либо, знать их получателя (ст.4);
• в любом законодательстве должен быть указан орган, который должен гарантировать соблюдение принципов беспристрастности, независимости по отношению к лицам или органам, ответственным за их обработку и применение, а также техническую компетентность (ст. 8).
• В Резолюции Генеральной ассамблеи  ООН «Право на приватность в цифровую эпоху» отмечается, что правительства должны:
• соблюдать международные нормы в области прав человека, когда они осуществляют прямой перехват частных коммуникаций или требуют у компании предоставления персональных данных граждан;
• обеспечить доступ к эффективным механизмам нормативно – правового регулирования для тех, чьи права нарушены вследствие незаконной слежки и прочих самоуправных действий.

Особо оговаривается, что речь идет не только о содержимом интернет-коммуникации,  но и о сборе метаданных, которые могут включать временные метки в email-сообщении или продолжительность телефонных звонков. Республика Беларусь не присоединилась к Конвенции Совета Европы, которая представляет собой международный признанный стандарт в сфере защиты качества использования и защиты прав персональных данных.

ЗАКОН «ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ»

Персональные данные – основные и дополнительные данные физического лица, подлежащие в соответствии с законодательными актами Республики Беларусь внесению в реестр населения персональные данные физических лиц  - совокупность основных и дополнительных персональных данных, а также данных о реквизитах документов, подтверждающих основные и дополнительные персональные данные конкретных физических лиц.

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В БЕЛАРУСИ

Регистр определяется как «государственная централизованная автоматизированная информационная система, основу которой составляет база персональных данных граждан Республики Беларусь, а также иностранных граждан и лиц без гражданства, постоянно проживающих в Республике Беларусь.

Закон о регистре населения ст.2. В Республике Беларусь законодательное выделение особо чувствительных/уязвимых категории информации отсутствует и адекватной защиты им не предоставляется. Даже в пояснениях к «Закону о регистре населения», которые предложены Национальным центром законотворческой деятельности термин «чувствительные/ уязвимые данные» не употребляется.

В регистре не будет никаких сведений, которые могут быть использованы для какого либо давления на человека:
• расе, национальности и цвете кожи;
• мировоззрении, политических или религиозных убеждениях;
• каких-либо заболеваниях;
• сексуальной ориентации;
• об усыновлении.

Следует также отметить, что закон Республики Беларусь от N 144-З «О переписи населения» использует термин «персональные данные» в специальном значении, а именно как первичные статистические данные о конкретном респонденте, сбор которых осуществляется при проведении переписи населения, и предусматривает, что персональные данные являются конфиденциальными, не подлежат распространению разглашению, в том числе представлению в государственные органы и иные организации, и используются исключительно для формирования итоговых данных. 

Очевидно, что эти основополагающие законодательные акты содержат различающиеся определения. В формулировке закона «Об информатизации» термин «персональные данные» определяется не на основании сущностных признаков, а через себя самое, через действия, которые над ними производятся.

● не определяет «природу» персональных данных  как информации, подвергающейся обработке (автоматизированными компьютерными системами и не автоматизированными системами регистрации документов);
● не фиксирует сущностный признак персональных данных: информация носит персональный характер, если можно установить к кому конкретно она относится, другими словами, если субъекта можно идентифицировать на основании данной информации и эта информация относится именно к нему. 

Кого защищает закон?

Закон об информации, информатизации и защите информации – основной законодательный акт, касающийся персональных данных и их защиты, не содержит общих принципов обеспечения прав субъектов персональных данных.

Цель защиты персональных данных определяется в законе «О регистре населения» как предотвращение несанкционированного вмешательства в процесс ведения регистра, в том числе попыток незаконного доступа к персональным данным, содержащимся в регистре, их блокирования, копирования, предоставления, распространения, искажения, уничтожения, а также иных неправомерных действий в отношении этих персональных данных.

Закон «Об информации, информатизации и защите информации» определяет цели защиты информации в целом (ст. 27).

Целями защиты информации являются:
• обеспечение национальной  безопасности, суверенитета Республики Беларусь; В законах «Об информации, информатизации и защите информации» и «О регистре населения содержатся» противоречивые трактовки термина «персональные данные» Законодательное выделение особо чувствительных/уязвимых категорий персональных данных отсутствует, не предусмотрены также и меры адекватной защиты следующих типов данных:
• сохранение и неразглашение информации о частной жизни физических лиц и персональных данных, содержащихся в информационных системах;
• обеспечение прав субъектов информационных отношений при создании, использовании и эксплуатации информационных систем и информационных сетей, использовании информационных технологии, а также формировании и использовании информационных ресурсов;
• недопущение неправомерного доступа, уничтожения, модификации, копирования, распространения и предоставления информации, блокирования правомерного доступа к информации, а также иных неправомерных действий.

Как защищает?

Закон «О регистре населения» требует принятия мер защиты данных с момента:
• когда персональные данные были предоставлены физическим лицом, к которому они относятся.
• когда предоставление персональных данных осуществляется в соответствии с законодательными актами Республики Беларусь.
• до уничтожения данных либо до получения согласия на разглашение данных (закон «Об информации, информатизации и защите информации»).
Однако меры по защите персональных данных в законе не определены.

Отдельными нормативными правовыми актами регламентируется порядок доступа к информации о личной жизни граждан, порядок защиты информации, лицензирования деятельности по технической защите информации, в том числе:
1. Декретом Президента Республики Беларусь от 17 июля 2003 г. № 17 «О лицензировании отдельных видов деятельности» (в части лицензирования деятельности по технической защите), в том числе в  белорусских содержится положений, которые включали бы все принципы защиты персональных  данных.
2. Криптографическими методами, включая применение электронной цифровой подписи);  
3. Положением о лицензировании деятельности по технической защите информации, в том числе криптографическими методами, включая применение электронной цифровой подписи, утвержденном постановлением Совета Министров Республики Беларусь. 
4. Постановлением Комитета государственной безопасности Республики Беларусь № 23 «Об организации выдачи специальных разрешений на осуществление деятельности, связанной  с криптографической защитой  информации и средствами негласного получения информации»; 

Инструкции о режиме доступа к документам, содержащим информацию, относящуюся к тайне личной жизни граждан, утвержденной приказом Комитета по архивам и делопроизводству Республики Беларусь от 3 июля 1996 г. № 21. 

Как закон «Об информации, информатизации и защите информации», так и закон «О регистре населения»  закрепляют один из основных принципов обработки персональных данных – получение согласия физического лица, к которому относятся персональные данные, на любое действие с персональными данными, кроме случаев, когда получение такого согласия не требуется в соответствии с законодательными актами (ст. 18 закона «Об информации, информатизации и защите информации»). 

Статьи 18, 32, 34 закона «Об информации, информатизации и защите информации», в которых речь идет о письменном согласии физического лица на сбор, обработку и хранение его/ее персональных данных и о праве «пользователя информации» знакомиться со своими персональными данными, отсылают к случаям, установленным иными законодательными актами Республики Беларусь. 

Как закон «Об информации, информатизации и защите информации», так и закон «О регистре населения» закрепляют один из основных принципов обработки персональных данных – получение согласия физического лица, к которому относятся персональные данные, на любое действие с персональными данными. 

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В БЕЛАРУСИ

В законе «О регистре населения» указывается, что форма письменного заявления о предоставлении персональных данных из регистра определяется распорядителем регистра.

Письменное согласие физического лица может выражаться путем:
• оформления нотариально удостоверенной  доверенности на получение персональных данных из регистра;
• нотариального свидетельствования подлинности подписи на заявлении физического лица о согласии на получение персональных данных о  нем из регистра;
• удостоверения уполномоченным сотрудником регистрирующей службы заявления физического лица (его законного представителя) о согласии на получение персональных данных о нем из регистра (пункт 6 статьи 26 Закона «О регистре населения»).
Единый подход к регламентации факта фиксации обращения за персональными данными законодательство не предусматривает. Закон «О регистре населения» закрепляет каждый факт обращения к персональным данным, содержащимся в регистре населения, фиксируется в онлайн режиме. В отношении персональных данных, которые содержатся в других базах данных, такого требования на законодательном уровне нет.

В белорусских законодательных актах не содержится положении, которые включали бы все принципы защиты персональных данных, перечисленные в Конвенции Совета Европы. 

Исключение составляет Соглашение между Правительством Республики Беларусь и Правительством Финляндской Республики о сотрудничестве и взаимной помощи в таможенных делах. 

В частности, в национальном законодательстве отсутствует единый подход к срокам хранения персональных данных. 
Если в международном правовом регулировании устанавливается необходимость лимитировать по времени хранения таких данных (на срок, необходимый для достижения какой-либо цели их хранения), то в белорусском законодательстве сроки хранения персональных данных могут тянуться вплоть до смерти гражданина.

Исследования Д. Черных (РПОО «Белорусский Хельсинкский Комитет»), проанализировавшего правовую регламентацию функционирования девяти общенациональных баз данных, показали, что:
• ● разумный срок хранения данных (срок, необходимый  для достижения цели хранения данных) предусмотрен только для двух баз данных:
• Автоматизированная информационная система «Расчет»;
• «Персонифицированный учет». 
• ● субъект персональных данных фактически не может узнать, кто получал доступ к его данным (законодательное регулирование в этой части отсутствует либо конкретное).
• ● четкое определении целей  сбора и хранения разработано только для 5 из 9 баз данных.
• ● принцип минимизации сбора данных соблюдается для 7 из 9 баз. Доступ к персональным данным регламентируется в законе Республики Беларусь «О переписи населения» и в законе Республики Беларусь «О регистре населения».

Согласно закону «О регистре» все организации условно делятся на 2 группы:
• организации, для которых использование персональных данных из регистра необходимо для выполнения задач, входящих в компетенцию этих организации, определенную законодательством Республики Беларусь.
• организациям, для которых использование персональных данных из регистра не является необходимым условием выполнения их задач, будут предоставляться только обезличенные персональные данные и только на платной основе.
Организациям первой  группы данные предоставляются бесплатно по договору о регулярном предоставлении данных (посредством удаленного доступа или на бумажных носителях). Каждая из этих организаций имеет доступ к строго ограниченному сегменту персональных данных физических лиц. 

Перечень показателей для обмена информацией определяется договором о регулярном предоставлении персональных данных из регистра, фиксируется в протоколе обмена и автоматически обеспечивается при обмене информацией. 

Организация-получатель информации из регистра имеет идентификационный код:
1. ключ авторизации;
2. электронная цифровая подпись,
который включается во все информационные сообщения данной организации. 

Регистр населения с помощью системы распознавания ключей  автоматически определяет, что и в каком объеме можно выдавать организации-получателю и что от нее получать.

Организации, не нуждающиеся в регулярном получении данных из регистра, смогут получить их по письменному или электронному запросу без заключения договора. При этом они смогут получить лишь ограниченный перечень персональных данных, необходимый для выполнения задач, предусмотренных их компетенцией. 

Второй группе организации предоставляются только обезличенные персональные данные и только на платной основе. Эти организации не имеют доступа к регистру, и данные получают только по соответствующим образом оформленному запросу. 

Обеспечение законодательного регулирования защиты персональных данных на примере некоторых баз данных, аккумулирующих персональные данные (рукопись)

Общедоступных массивов персональных данных в регистре нет. Любые данные из регистра будут выдаваться только при авторизованном доступе и строго в объеме, определенном правами конкретной организации-получателя. Порядок доступа к информации о личной жизни граждан регулируется отраслевыми законодательными актами.

Физические лица могут получать персональные данные из регистра населения на основании Постановления Министерства внутренних дел Республики Беларусь от 22.11.2012 № 410, которым установлена форма письменного заявления о предоставлении персональных данных физических лиц, в котором указывается ФИО лица, данные о котором запрашиваются, его идентификационный  номер и документы, подтверждающие право на получение информации.

Во всех остальных случаях, когда персональные данные лица получаются не из регистра населения, следует руководствоваться общей нормой  ст.18 Закона «Об информации, информатизации и защите информации», которая устанавливает необходимость получения согласия лица на передачу его данных. 

Однако форма и процедура подобных действий в законодательстве не установлена. В белорусском законодательстве нет специальных мер ответственности за незаконное распространение и использование персональных данных. Соответствующие незаконные деяния могут повлечь административную либо уголовную ответственность.

Административная ответственность. Статья 22.6 Кодекса Республики Беларусь об административных правонарушениях  устанавливает ответственность за несанкционированный доступ к информации, хранящейся в компьютерной системе, сети или на машинных носителях, сопровождающийся нарушением системы защиты, –  в виде штрафа в размере от 20 до 50 базовых величин. Статья 22.7 предусматривает целый ряд составов административных правонарушении за нарушение правил защиты информации.

Уголовная ответственность наступает за:
• незаконный  сбор либо распространение информации о частной  жизни (ст. 179 Уголовного кодекса Республики Беларусь, далее – УК);
• хищение путем использования компьютерной  техники (ст. 212 УК);
Кодекс Республики Беларусь об административных правонарушениях
• несанкционированный доступ к компьютерной информации (ст. 349 УК);
• изменение информации, хранящейся в компьютерной системе, сети или на машинных носителях, либо внесение заведомо ложной  информации, причинившие существенный  вред, при отсутствии признаков преступления против собственности (модификация компьютерной информации) (ст. 350 УК);
• умышленные уничтожение, блокирование, приведение в непригодное состояние компьютерной информации или программы, либо вывод из строя компьютерного оборудования, либо разрушение компьютерной системы, сети или машинного носителя компьютерный саботаж статья 351;
• неправомерное завладение компьютерной информацией (ст. 352 УК).
• На практике могут возникать трудности при квалификации противоправных деяний за разглашение персональных данных по данным составам. В этой  связи необходимо внесение дополнения в законодательство Республики Беларусь, предусматривающих ответственность за противоправное распространение и использование персональных данных.

Таким образом, детальный  порядок работы с персональными данными, их сбора, обработки, хранения законодательными актами не определен, в том числе:
• процедура подготовки и направления запроса на предоставление персональных данных;
• процедура получения согласия субъекта персональных данных на распространение или предоставление персональных данных третьим лицам.

Не содержит действующее законодательство Республики Беларусь и классификации персональных данных, что также вызывает неправильное и неполное понимание сущности и правовой природы персональных данных в Республике Беларусь. 

Положения закона «О регистре населения» и нормы, содержащиеся как в действующем законе «Об информации, информатизации и защите информации», относятся только к действиям государства в лице уполномоченных органов в отношении данных физических лиц, содержащихся в регистре населения. 

В законе Республики Беларусь  «Об информации, информатизации и защите информации» и других упомянутых выше законодательных и нормативных актах, связанных с оборотом персональных данных, определяется лишь порядок и правовые основы действии определенных государственных органов, ведущих регистр с персональными данными. 

Во всех остальных случаях – например, при получении персональных данных юридическими лицами при ведении коммерческой деятельности – данные при обработке, передаче и иных действиях остаются незащищенными на должном уровне. 

При такой постановке вопроса закон не регулирует и не защищает персональные данные физических лиц при их получении, обработке, хранении, передаче и уничтожении иными субъектами. Таким образом, белорусское законодательство в сфере защиты персональных данных характеризуются, прежде всего, тем, что:
• не содержит единообразного определения «персональных данных»;
• не регулирует ситуации «объединения данных» (профайлинг);
• не соответствует требованиям Конвенции Совета Европы;
• государственные органы и организации практикуют различные стандарты сбора, хранения и обработки персональных данных;
• в нормативных правовых актах, регламентирующих функционирование различных баз данных, отсутствуют единообразные подходы к установлению сроков хранения персональных данных;
• у граждан отсутствует возможность знать кто, когда и с какой целью собирает их персональные данные, кто обращается к их персональной информации, хранящейся в государственных базах данных;
• отсутствует четкая регламентация сбора, хранения, обработки и использования персональных данных коммерческими структурами.

Технические стандарты и сертификаты информационной безопасности – это второй по значимости (после законодательства) инструмент политики в отношении защиты персональных данных. 

Правовые и организационные основы оценки соответствия объектов требованиям технических нормативных правовых актов в области технического нормирования и стандартизации определяет нормативно-правовой акт, направленный, в первую очередь, на обеспечение единой государственной политики при осуществлении оценки соответствия. 

Общие требования к порядку проведения обязательной и добровольной сертификации отечественной и импортируемой продукции устанавливает технический кодекс установившейся практики ТКП 5.1.02-2012 “Национальная система подтверждения соответствия Республики Беларусь”. 

Сертификация продукции

В соответствии с Указом Президента Республики Беларусь от 16.04.2013 N 196 «О некоторых мерах по совершенствованию защиты информации», утвердившим нормы технической  и криптографической защиты информации, обязательные для применения собственниками информационных систем, в которых обрабатывается служебная информация ограниченного распространения, информация о частной жизни физического лица и персональные данные,
целью защиты информации является:
• предотвращение несанкционированного доступа к информации;
• превентивные меры по факту несанкционированного воздействия на информацию.

В числе мер защиты информации фиксируются:
• определения перечня объектов защиты;
• обеспечение создания систем защиты информации;
• подтверждение соответствия систем защиты информации требованиям законодательства об информации, информатизации и защите информации (аттестация систем защиты информации);
• методическое руководство деятельностью по применению мер технической защиты информации;
• представление сведений в Оперативно-аналитический  центр о состоянии технической защиты информации;
• криптографическая защита информации.

При осуществлении технической защиты информации используются средства защиты, имеющие сертификат соответствия, выданный  в Национальной  системе  подтверждения соответствия Республики Беларусь или положительное экспертное заключение по результатам государственной экспертизы, проводимой Оперативно-аналитическим центром.

Республиканский орган управления в сфере стандартизации – Государственный комитет по стандартизации (Госстандарт). Органом сертификации систем информационной безопасности является подразделение Госстандарта – Белорусский государственный институт стандартизации и сертификации (БелГИСС).

Оперативно-аналитический  центр при Президенте Республики Беларусь (далее – ОАЦ) аккредитован Национальным органом по аккредитации Республики Беларусь в качестве органа по сертификации средств защиты информации и продукции по требованиям безопасности. 

Стандарты по криптографической защите информации — СТБ 1176.1-99 «Информационная технология. Защита информации. Функция хэширования», применяемые при разработке средств криптографической защиты. 

Стандарты первой группы разрабатываются на основе международных, что обеспечивает международное признание белорусских сертификатов. Однако необходимость непрерывного отслеживания и внедрения международной нормативной базы приводит к отставанию в принятии и использовании стандартов на 3-5 лет 10.

Непосредственное отношение к защите прав субъектов персональных данных имеет стандарт ISO 26000 «Руководство по социальной ответственности», рабочей группой ISO/TMB «Социальная ответственность», активным членом которой  (до ее расформирования по завершению разработки стандарта) являлась Республика Беларусь. 

Представители бизнес-сообщества обращают внимание на ряд проблем, связанных с утвердившимися в Беларуси подходами к стандартизации в сфере обеспечения информационной безопасности, в том числе на:
• стремление обеспечить ИБ «один раз и навсегда»;
• то, что требования ИБ устанавливаются «сверху-вниз» без учета реальных потребностей бизнеса;
• проводимую политику унификации требований ИБ для различных отраслей  бизнеса и госсектора;
• стремление обеспечить 100% безопасность;

Причины этих проблем кроются в том, что:
• отсутствует диалог государства и бизнеса;
• экономической  составляющей  информационной  безопасности отведена второстепенная роль;
• отсутствует системность;
• игнорируются лучшие мировые практики.

Решение этих проблем связано с ориентацией  на стандарты:
• цели контроля для информационных и смежных технологий (COBIT);
• библиотека ИТ-инфраструктуры при Управлении правительственной коммерции Великобритании (ITIL);
• стандарты ISO серии 27000 по информационной безопасности;
• требования к системе управления качеством ISO 9001:2000.

Задача снижения административного давления на бизнес и создания условий для активизации частной инициативной  деятельности граждан, поставленная Директивой Президента Республики Беларусь, выдвигает на повестку дня вопросы дальнейшей либерализации экономики и сокращения регулятивных функций государства. 

Поэтому важным составляющим элементом реализации стратегии экономического развития страны становится внедрение механизмов саморегулирования предпринимательской деятельности. При этом, речь идет не об ослаблении роли государства, а о сокращении его вмешательства в экономические процессы. 

Концепции проекта закона Республики Беларусь «О саморегулируемых организациях» отдельных положений, касающихся саморегулирования, закрепленных в  отдельных отраслевых законодательных актах, для введения института саморегулируемых организаций, недостаточно. 

Использование института саморегулирования как альтернативного государственному регулированию способа преодоления провалов рынка требует определения условий, при которых развитие саморегулирования возможно и оправдано с точки  зрения интересов участников рынка и общественных интересов. 

В целях реализации указанного пункта созданной при Министерстве юстиции рабочей группой подготовлена первоначальная редакция проекта закона Республики Беларусь «О саморегулируемых организациях». Этот закон должен был стать рамочным, определяющим общие нормы для саморегулирования во всех сферах экономической деятельности, где данный  институт будут вводиться. 

Документ был передан на согласование в Министерство экономики Республики Беларусь. В работу вовлечены представители различных государственных органов. Поскольку законопроект напрямую затрагивал интересы бизнеса, в рабочей группе были широко представлены предпринимательские союзы и ассоциации. 

Но так сложилось, что проект «не пошел». Ситуацию не спас предложенный со стороны предпринимательских структур альтернативный  вариант документа. Не давалось ответов на главные вопросы: в каких сферах возможно введение саморегулирования и каков правовой механизм его реализации. 

В связи с актуальностью рассматриваемой темы, сохранением к ней интереса со стороны бизнес-сообщества было принято решение о целесообразности подготовки концепции соответствующего законопроекта. 

Развитие саморегулирования бизнеса и государственное вмешательство в экономику

Отсутствие надлежащей законодательной базы – одна из основных причин того, что в Беларуси нет организаций саморегулирования, которые могли бы обеспечить защиту персональных данных. Даже информирование об обязательствах («правила приватности») не рассматриваются в качестве обязательного элемента деятельности предприятий и организаций. 
 
Заявлялось, что в концепции будет предложен анализ законодательства, в том числе международных договоров Республики Беларусь, относящегося к предмету правового регулирования проекта, обзор научных исследований, публикации в печати, законодательства иностранных государств, который формально обладает следующими правами:
• иметь предварительную структуру, 
• содержать прогноз финансово-экономических последствий его принятия. 

При этом, подготовленный  вариант концепции должен быть согласован с заинтересованными органами и организациями, а на финальной его стадии — с главой государства. 

Концепция, в соответствии с планом, была представлена Палате представителей. В документе, в частности, отмечается, что отдельных положений, касающихся саморегулирования, закрепленных в отдельных отраслевых законодательных актах, для введения института саморегулируемых организаций, недостаточно. 

Внедрение механизмов саморегулирования требует реализации комплексных мер, которые можно разбить на два блока:
• меры, направленные на формирование институциональных условий;
• меры, касающиеся оптимального построения схемы саморегулирования.

К первому блоку можно отнести следующие меры:
• законодательное определение направлений взаимодействия государственных органов и саморегулируемых организаций;
• развитие отраслевого законодательства, предполагающего передачу определенных функции государственных органов саморегулируемым организациям в отраслевом законодательстве должно содержаться определение функций и полномочий  саморегулируемых организаций;
• четкое определение функций саморегулируемых организаций в целях исключения возможности «двойного регулирования» определенной сферы;
• создание возможности появления в конкретной  сфере нескольких конкурирующих между собой  саморегулируемых организаций;
• установление запрета на определенные действия саморегулируемой  организации, которые могут ограничить конкуренцию, в том числе, путем создания барьеров входа на рынок;
• выработка требований по информационной открытости саморегулируемых организаций, включая информацию о требованиях, составе членов организации, системе разрешения споров, порядку принятия решений, результатов рассмотрения жалоб;
• разработка стандартов по разрешению споров и по возможным формам участия третьих лиц в функционировании саморегулируемых организаций и в мониторинге  деятельности этих организаций;
• постепенное снижение уровня административного давления на экономику путем поэтапного отказа государства от функций регулирования в отдельных сферах в пользу саморегулируемых организаций;
• продвижение идеи саморегулирования – активная государственная политика, направленная на просвещение профессионального сообщества и поддержку институтов саморегулирования.
Саморегулируемые организации разрабатывают и устанавливают обязательные для выполнения всеми членами саморегулируемых организаций правила и стандарты предпринимательской  деятельности, согласованные с уполномоченным государственным органом. Правила и стандарты саморегулируемых организаций должны соответствовать актам законодательства.

Правила и стандарты саморегулируемой организации устанавливают дополнительные требования к деятельности членов саморегулируемой организации. Однако проект концепции не был упомянут и в плане внесения на обсуждение Палатой  Представителей.

Отсутствие надлежащей законодательной  базы – одна из основных причин того, что в Беларуси нет организаций саморегулирования, которые могли бы обеспечить защиту персональных данных.

Даже информирование об обязательствах («правила приватности») не рассматриваются в качестве обязательного элемента деятельности предприятии и организации. 

Из 64 провайдеров, предоставляющих доступ в интернет (список сайта providers.by), только 7 компаний так или иначе информируют клиентов о политике приватности. 

На сайтах трех провайдеров размещена информация о том, что они действуют в сфере защиты персональных данных в соответствии с нормами белорусского законодательства. 

Еще три провайдера разместили тексты типовых договоров, содержащих пункт об обязательствах провайдера в отношении конфиденциальности. 

На сайте компании А1 можно найти пункты о защите персональных данных в довольно объемном Кодексе поведения Telekom Austria Group.  

Министерство юстиции РБ: концепция проекта закона Республики Беларусь «О саморегулируемых организациях».

“Мы осознаем важность и конфиденциальность персональных данных, доверенных нам нашими клиентами, сотрудниками, акционерами и поставщиками, и делаем все возможное для их защиты”, - отмечают в компании Telekom Austria Group. Каждый сотрудник несет ответственность за сохранение конфиденциальности в рамках выполняемых задач. 

Мы собираем и обрабатываем персональные данные только с разрешения вовлеченного лица, если это разрешено законом и необходимо для исполнения контрактных или правовых обязательств.

Более того, мы собираем, обрабатываем и используем персональные данные только в необходимой степени и для заданных целей. Мы уважаем всесторонние права тех людей, информацию о которых мы собираем, обрабатываем или используем. Сохранность данных имеет большое значение для Telekom Austria Group. Данный аспект существенно влияет на успешность нашего бизнеса и репутацию компании. Поэтому мы охраняем информацию о компании так же тщательно, как и личные данные наших клиентов и сотрудников, применяя все имеющиеся и подходящие технические и организационные средства для предотвращения несанкционированного доступа и использования или злоупотребления, потери и преждевременного уничтожения”. 

Центр правовой трансформации разработал учебник «Защита персональных данных: введение в проблематику» и организовал онлайновый курс «Защита персональных данных: теория, история, практика». 

Некоторая косвенная информация сообщалась в рамках Дня безопасного интернета, который стал отмечаться в Беларуси. Между тем потребность в получении информации по данной проблематике достаточно высока. 

Так большинство респондентов исследования ЦЕТ-Центра правовой трансформации сообщили о необходимости получения дополнительных знании и компетенций, связанных с защитой персональных данных.

Таким образом, гражданские активисты вполне серьезно обеспокоены проблемой  защиты персональных данных, имеют отдельные сведения о специфике этого вопроса (иногда разрозненные и несистематические, иногда очень глубокие) и, что самое важное, заинтересованы в получении дополнительных знаний и компетенций:
• представители общественных организаций достаточно самокритично оценивают свои уровень осведомленности в сфере защиты персональных данных, одновременно обозначая потребность в получении дополнительных знаний и компетенций в указанной сфере.
• специалисты невысоко оценивают функциональную грамотность белорусских  граждан по вопросам защиты персональных данных.

КТО ОБЕСПЕЧИВАЕТ ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ?

Законодатели и органы государственного управления – основные акторы, регулирующие защиту персональных данных в Республике Беларусь. 

Независимого экспертного органа, контролирующего качество защиты данных и гарантии прав субъектов данных в стране, нет.
В статье 30 закона «Об информации, информатизации и защите информации» говорится о том, что защита информации организуется «в отношении общедоступной информации – лицом, и защите информации» говорится о том что в силу непрозрачности системы государственного управления в Беларуси, довольно непросто сделать вывод о соблюдении ими прав субъектов персональных данных.

Вместе с тем, показателен факт, что нормы закона не требуют публикации на сайтах государственных органов обязательств в отношении защиты персональных данных тех, кто пользуются этими ресурсами. 

Предоставление информации; 
• в отношении информации, распространение и предоставление которой  ограничено, – собственником или оператором информационной системы, содержащей такую информацию, либо обладателем информации, если такая информация не содержится в информационных системах; 
• иными лицами в случаях, определенных настоящим Законом и иными законодательными актами Республики Беларусь».

Субъекты защиты персональных данных прямо не поименованы

В законе выделены лишь субъекты информационных отношений, в общем:
• владелец программно-технических средств, информационных ресурсов, информационных систем и информационных сетей;
• информационный посредник, обладатель информации;
• оператор информационной системы;
• пользователь информации;
• пользователь информационной системы или  информационной сети;
• собственник программно-технических средств;
• информационных ресурсов;
• информационных систем и информационных сетей. 
В законе «О регистре населения» названы следующие субъекты:
• распорядитель регистра и регистрирующая служба как структурное подразделение распорядителя регистра, уполномоченное на ведение регистра. 
В соответствии с законом «О регистре населения», ответственность за надлежащее внесение данных в регистр несут те организации, которые вносят данные. 

Ответственность за адекватную обработку и хранение данных несет распорядитель реестра – Министерство внутренних дел. Надзор за точным и единообразным исполнением законодательства Республики Беларусь в сфере функционирования регистра осуществляют Генеральный прокурор Республики Беларусь и подчиненные ему прокуроры (Закон о регистре населения, ст. 34). 

Закон «О регистре населения» предусматривает, что органом, ответственным за ведение реестра населения, содержащего персональные данные, является МВД. 

Одновременно и другие органы ведут свои ресурсы, в которых содержатся определенные данные:
• нацбанк осуществляет хранение кредитных историй физических лиц
• фонд социальной защиты населения – данных государственного социального страхования.  

В силу непрозрачности системы государственного управления в Беларуси, довольно трудно сделать вывод о соблюдении ими прав субъектов персональных данных. Вместе с тем, показателен факт, что нормы закона - не защита персональных данных в Беларуси. 
Статья Международного Пакта о гражданских и политических правах устанавливает, что «никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным  посягательствам на неприкосновенность его жилища, или тайну его корреспонденции, а также незаконным посягательствам на его честь и репутацию. 
Каждый человек имеет право на защиту закона от подобного вмешательства или посягательств. Из этого базового, неотчуждаемого права на неприкосновенность личной жизни вытекает право индивида на защиту персональных данных. Руководящие принципы ООН по регламентации компьютеризированных картотек, содержащих данные личного характера требуют соблюдения следующих норм:
• любое лицо, удостоверяющее свою личность, имеет право знать, подвергаются ли касающиеся его данные обработке, получать об этом сообщение в понятной форме соответствующих исправлений в данные или уничтожение их в случае их незаконной, необоснованной  или неточной  регистрации и, если эти данные сообщались кому-либо, знать их получателя;
• в любом законодательстве должен быть указан орган, который должен гарантировать соблюдение принципов беспристрастности, независимости по отношению к лицам или органам, ответственным за их обработку и применение, а также техническую компетентность.

В Резолюции Генеральной ассамблеи  ООН «Право на приватность в цифровую эпоху»  отмечается, что правительства должны:
•  соблюдать международные нормы в области прав человека, когда они осуществляют прямой перехват частных коммуникаций или требуют у компаний предоставления персональных данных граждан;
• ● обеспечить доступ к эффективным механизмам урегулирования для тех, чьи права нарушены вследствие незаконной слежки и прочих самоуправных действий. 

Особо оговаривается, что речь идет не только о содержимом интернет-коммуникации, но и о сборе метаданных, которые могут включать временнЫе метки email-сообщений или продолжительность телефонных звонков.

Республика Беларусь не присоединилась к Конвенции Совета Европы, которая представляет собой международный признанный стандарт в сфере защиты качества использования и защиты прав персональных данных.  

Конституционные основы защиты персональных данных создают статьи гарантирует право на защиту гражданина от незаконного вмешательства в его личную жизнь, в том числе от посягательства на тайну его корреспонденции, телефонных и иных сообщений, на его честь и достоинство и статья 34, часть 3 (пользование информацией может быть ограничено законодательством в целях защиты чести, достоинства, личной и семейной  жизни граждан и полного осуществления ими своих прав) Конституции Республики Беларусь. 

Основу политики в отношении персональных данных составляют:
• закон «Об информации, информатизации и защите информации»;
• закон «О регистре населения»;
• закон «О переписи населения».

Что защищает закон?

Определения термина «персональные данные» содержатся в законе «Об информации, информатизации и защите информации» и в законе «О регистре населения». 

Практически все эксперты обращают внимание на то, что «определения, которые содержатся в законе «О регистре населения» и в законе «Об информации, информатизации и защите информации» имеют разный объем содержания. 

Если определение, содержащееся в законе о регистре населения, является исчерпывающим, то закон об информации относит к персональным данным любые данные, позволяющие идентифицировать лицо. 

Подобная несогласованность ключевого определения приводит к невозможности единообразного подхода к правовому регулированию этой  сферы. 

Персональные данные – основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами Республики Беларусь внесению в  регистр населения персональные данные физических лиц (далее - персональные данные) - совокупность основных и дополнительных персональных данных, а также данных о реквизитах документов, подтверждающих основные и дополнительные персональные данные конкретных физических лиц.

Проблема использования и защиты персональных данных Персональные данные, позволяющие идентифицировать частное лицо - открытый список.

Перечисления данных, которые могут быть отнесены к основным и вспомогательным  персональным данным – закрытый  список. 
Регистр определяется как “государственная централизованная автоматизированная информационная система, основу которой составляет база персональных данных граждан Республики Беларусь, а также иностранных граждан и лиц без гражданства, постоянно проживающих в Республике Беларусь”. 

Закон о регистре населения ст.2. В Республике Беларусь законодательное выделение особо чувствительных/уязвимых категории информации отсутствует, и адекватное предоставление защиты им не предоставляется. 

Даже в пояснениях к «Закону о реестре населения», которые предложены Национальным центром законотворческой деятельности, термин «чувствительные/уязвимые данные» не употребляется.

В регистре не будет никаких сведений, которые могут быть использованы для какого-либо давления на человека:
• расе, национальности и цвете кожи;
• мировоззрении, политических или религиозных убеждениях;
• каких-либо заболеваниях;
• сексуальной  ориентации;
• об усыновлении.

Кого защищает закон?

Закон об информации, информатизации и защите информации – основной законодательный акт, касающийся персональных данных и их защиты, не содержит общих принципов обеспечения прав субъектов персональных данных. 

Цель защиты персональных данных определяется в законе «О регистре населения» как предотвращение несанкционированного вмешательства в процесс ведения реестра, в том числе попыток незаконного доступа к персональным данным, содержащимся в регистре, их блокирования, копирования, предоставления, распространения, искажения, уничтожения, а также иных неправомерных действии в отношении этих персональных данных. Закон «Об информации, информатизации и защите информации» определяет цели защиты информации в целом (ст. 27).

Целями защиты информации являются:
• обеспечение национальной безопасности, суверенитета Республики Беларусь;
• В законах «Об информации, информатизации и защите информации» и «О реестре населения» содержатся противоречивые трактовки термина «персональные данные».  Законодательное выделение особо чувствительных/уязвимых категорий персональных данных отсутствует, и меры адекватной защиты таких данных не предусмотрены.
• сохранение и неразглашение информации о частной жизни физических лиц и персональных данных, содержащихся в информационных системах;
• обеспечение прав субъектов информационных отношений  при создании, использовании и эксплуатации информационных систем и информационных сетей, использовании информационных технологии, а также формировании и использовании информационных ресурсов.
• недопущение неправомерного доступа, уничтожения, модификации (изменения), копирования, распространения и  предоставления информации, блокирования правомерного доступа к информации, а также иных неправомерных действий. 

Закон «О регистре населения» требует принятия мер защиты данных с момента:
• когда персональные данные были предоставлены физическим лицом, к которому они относятся;
• когда предоставление персональных данных осуществляется в соответствии с законодательными актами Республики Беларусь;
• до уничтожения данных либо до получения согласия на разглашение данных (закон «Об информации, информатизации и защите информации»).

Однако меры по защите персональных данных в законе не определены

Отдельными нормативными правовыми актами регламентируется порядок доступа к информации о личной  жизни граждан, порядок защиты информации, лицензирования деятельности по технической  защите информации, в том числе:
• декретом Президента Республики Беларусь. № 17 «О лицензировании отдельных видов деятельности» (в части лицензирования деятельности по технической защите, в том числе в  белорусских законодательных актах не содержится положений, которые включали бы все принципы защиты персональных данных, перечисленные в Конвенции Совета Европы, криптографическими методами, включая применение электронной  цифровой  подписи);
• Положением о лицензировании деятельности по технической защите информации, в том числе криптографическими методами, включая применение электронной цифровой подписи, утвержденном постановлением Совета Министров Республики Беларусь;
• Постановлением Комитета государственной безопасности Республики Беларусь № 23 «Об организации выдачи специальных разрешении на осуществление деятельности, связанной с криптографической защитой  информации и средствами негласного получения информации»;
• Инструкцией  о режиме доступа к документам, содержащим информацию, относящуюся к тайне личной жизни граждан, утвержденной приказом Комитета по архивам и делопроизводству Республики Беларусь от 3 июля 1996 г. № 21. 

Как закон «Об информации, информатизации и защите информации», так и закон «О регистре населения» закрепляют один из основных принципов обработки персональных данных – получение согласия физического  лица, к которому относятся персональные данные, на любое действие с персональными данными, кроме случаев, когда получение такого согласия не требуется в соответствии с законодательными актами (ст. 18 закона «Об информации, информатизации и защите информации»).

Статьи 18, 32, 34 закона «Об информации, информатизации и защите информации», в которых  речь идет о письменном согласии физического лица на сбор, обработку и хранение его/ее персональных данных и о праве «пользователя информации» знакомиться со своими персональными данными, отсылают к случаям, установленным иными законодательными актами Республики Беларусь. 

Как закон «Об информации, информатизации и защите информации», так и закон «О регистре населения» закрепляют один из основных принципов обработки персональных данных – получение согласия физического лица, к которому относятся персональные данные, на любое действие с персональными данными. В законе «О регистре населения» указывается, что форма письменного заявления о предоставлении персональных данных из регистра определяется распорядителем регистра. 

Письменное согласие физического лица может выражаться путем:
• оформления нотариально удостоверенной  доверенности на получение персональных данных из регистра;
• нотариального свидетельствования подлинности подписи на заявлении физического лица (его законного представителя) о согласии на получение персональных данных о нем из регистра;
• удостоверения уполномоченным сотрудником регистрирующей службы заявления физического лица (его законного представителя) о согласии на получение персональных данных о нем из регистра (пункт 6 статьи 26 Закона «О регистре населения»).

Единый подход к регламентации факта обращения за персональными данными законодательство не предусматривает

Закон «О реестре населения» закрепляет каждый  факт обращения к персональным данным, содержащимся в реестре населения, фиксируется в онлайн режиме. В отношении персональных данных, которые содержатся в других базах данных, такого требования на законодательном уровне нет.

В белорусских законодательных актах не содержится положений, которые включали бы все принципы защиты персональных данных. Исключение составляет Соглашение между Правительством Республики Беларусь и Правительством Финляндской Республики о сотрудничестве и взаимной помощи в таможенных делах. 

В частности, в национальном законодательстве отсутствует единый  подход к срокам хранения персональных данных.
Если в международном правовом регулировании устанавливается необходимость лимитировать по времени хранения таких данных (на срок, необходимый  для достижения какой-либо цели их хранения), то в белорусском законодательстве сроки хранения персональных данных могут тянуться вплоть до смерти гражданина.

Исследования Д. Черных (РПОО «Белорусский Хельсинкский Комитет»), проанализировавшего правовую регламентацию функционирования девяти общенациональных баз данных, показали, что:
• ● разумный срок хранения данных (срок, необходимый для достижения цели хранения данных) предусмотрен только для двух баз данных (автоматизированная информационная система «Расчет» и «персонифицированный учет»), проблема использования и защиты персональных данных, физических лиц (рукопись).
•  ● субъект персональных данных фактически не может узнать, кто получал доступ к его данным (законодательное регулирование в этой  части отсутствует либо конкретное),
• ● принцип минимизации сбора данных соблюдается для 7 из 9 баз. 
• Доступ к персональным данным регламентируется в законе Республики Беларусь «О переписи населения» и в законе Республики Беларусь «О регистре населения».

Согласно закону «О регистре» все организации условно делятся на 2 группы:
• организации, для которых использование персональных данных регистра необходимо для выполнения задач, входящих в компетенцию этих организаций, определенную законодательством Республики Беларусь
• организациям, для которых использование персональных данных из регистра не является необходимым условием выполнения их задач, будут предоставляться только обезличенные персональные данные и только на платной основе. 

Организациям первой группы данные предоставляются бесплатно по договору о регулярном предоставлении данных (посредством удаленного доступа или на бумажных носителях). Каждая из этих организаций имеет доступ к строго  ограниченному сегменту персональных данных физических лиц.

Перечень показателей для обмена информацией определяется договором о регулярном предоставлении персональных данных из регистра, фиксируется в протоколе обмена и автоматически обеспечивается при обмене информацией. 
Организация-получатель информации из регистра имеет идентификационный код (ключ авторизации, электронная цифровая подпись), который включается во все информационные сообщения данной организаций. 

Регистр населения с помощью системы распознавания ключей автоматически определяет, что и в каком объеме можно выдавать организации-получателю и что от нее получать. 

Организации, не нуждающиеся в регулярном получении данных из регистра, смогут получить их по письменному или электронному запросу без заключения договора. При этом они смогут получить лишь ограниченный перечень персональных данных, необходимый для выполнения задач, предусмотренных их компетенций.

Второй группе организации предоставляются только обезличенные персональные данные и только на платной основе. Эти организации не имеют доступа к регистру, и данные получают только по соответствующим образом оформленному запросу. 

Обеспечение законодательного регулирования защиты персональных данных на примере некоторых баз данных, аккумулирующих персональные данные (рукопись). 

Общедоступных массивов персональных данных в регистре нет. Любые данные из регистра будут выдаваться только при авторизованном доступе и строго в объеме, определенном правами конкретной организации-получателя. 

Порядок доступа к информации о личной жизни граждан регулируется отраслевыми законодательными актами (инструкции о режиме доступа к документам, содержащим информацию, относящуюся к тайне личной жизни граждан, утвержденной  приказом Комитета по архивам и делопроизводству Республики Беларусь). 

Физические лица могут получать персональные данные из реестра населения на основании Постановления Министерства внутренних дел Республики Беларусь, которым установлена форма письменного заявления о предоставлении персональных данных физических лиц, в котором указывается ФИО лица, данные о котором запрашиваются, его идентификационный номер и документы, подтверждающие право на получение информации.

Во всех остальных случаях, когда персональные данные лица получаются не из регистра населения, следует руководствоваться общей нормой ст.18 Закона «Об информации, информатизации и защите информации», которая устанавливает необходимость получения согласия лица на передачу его данных.

Однако форма и процедура подобных действий в законодательстве не установлена. В белорусском законодательстве нет специальных мер ответственности за незаконное распространение и использование персональных данных. Соответствующие незаконные деяния могут повлечь административную либо уголовную ответственность. 

Административная ответственность

Статья 22.6 Кодекса Республики Беларусь об административных правонарушениях устанавливает ответственность за несанкционированный доступ к информации, хранящейся в компьютерной системе, сети или на машинных носителях, сопровождающихся нарушением системы защиты, – в виде штрафа в размере от 20 до 50 базовых величин. 

Статья 22.7 предусматривает целый ряд составов административных правонарушений за нарушение правил защиты информации.

Уголовная ответственность наступает за: 
• незаконный сбор либо распространение информации о частной жизни (ст. 179 Уголовного кодекса Республики Беларусь, далее – УК);
• хищение путем использования компьютерной техники (ст. 212 УК);

Кодекс Республики Беларусь об административных правонарушениях.
• несанкционированный доступ к компьютерной информации (ст. 349 УК);
• изменение информации, хранящейся в компьютерной системе, сети или на машинных носителях, либо внесение заведомо ложной информации, причинившее существенный вред, при отсутствии признаков преступления против собственности (модификация компьютерной информации); 
• умышленные уничтожение, блокирование, приведение в непригодное состояние компьютерной информации или программы, либо вывод из строя компьютерного оборудования, либо разрушение компьютерной системы, сети или машинного носителя;
• неправомерное завладение компьютерной  информацией. На практике могут возникать трудности при квалификации противоправных деяний за разглашение персональных данных по данным составам. В связи с этим необходимо внесение дополнений в законодательство Республики Беларусь, предусматривающих ответственность за противоправное распространение и использование персональных данных.

Таким образом, детальный  порядок работы с персональными данными, их сбора, обработки, хранения законодательными актами не определен, в том числе:
• процедура подготовки и направления запроса на предоставление персональных данных;
• процедура получения согласия субъекта персональных данных на распространение или предоставление персональных данных третьим лицам.

Не содержит действующее законодательство Республики Беларусь и классификации персональных данных, что также вызывает неправильное и неполное понимание сущности и правовой природы персональных данных в Республике Беларусь. Положения закона «О регистре населения» и нормы, содержащиеся как в действующем законе «Об информации, информатизации и защите информации», относятся только к действиям государства в лице уполномоченных органов в отношении данных физических лиц, содержащихся в регистре населения.

В законе Республики Беларусь «Об информации, информатизации и защите информации» и других упомянутых выше законодательных и нормативных актах, связанных с оборотом персональных данных, определяется лишь порядок и правовые основы действии определенных государственных органов, ведущих регистр с персональными данными.

Во всех остальных случаях – например, при получении персональных данных юридическими лицами при ведении коммерческой деятельности – данные при обработке, передаче и иных действиях остаются незащищенными на должном уровне.

При такой постановке вопроса закон не регулирует и не защищает персональные данные физических лиц при их получении, обработке, хранении, передаче и уничтожении иными субъектами. Таким образом, белорусское законодательство в сфере защиты персональных данных  характеризуется, прежде всего, тем, что:
• не содержит единообразного определения «персональных данных»;
• не регулирует ситуации «объединения данных» (профайлинг);
• не соответствует требованиям Конвенции Совета Европы;
• государственные органы и организации практикуют различные стандарты сбора, хранения и обработки персональных данных;
• в нормативных правовых актах, регламентирующих функционирование различных баз данных, отсутствуют единообразные подходы к установлению сроков хранения персональных данных;
• у граждан отсутствует возможность знать кто, когда и с какой  целью собирает их персональные данные, кто обращается к их персональной информации, хранящейся в государственных базах данных;
• отсутствует четкая регламентация сбора, хранения, обработки и использования персональных данных коммерческими структурами.

Технические стандарты и сертификаты информационной безопасности – это второй  по значимости (после законодательства) инструмент политики в отношении защиты персональных данных.

Правовые и организационные основы оценки соответствия объектов требованиям технических нормативных правовых актов в области технического нормирования и стандартизации определяет закон Республики Беларусь «Об оценке соответствия требованиям технических нормативных правовых актов в области технического нормирования и стандартизации».

Данный документ направлен на обеспечение единой государственной политики при осуществлении оценки соответствия. Общие требования к порядку проведения обязательной  и добровольной сертификации отечественной и импортируемой продукции устанавливает технический кодекс установившейся практики ТКП 5.1.02-2012 «Национальная система подтверждения соответствия Республики Беларусь. Сертификация продукции. Основные положения».

В соответствии с Указом Президента Республики Беларусь от 16.04.2013 N 196 «О некоторых мерах по совершенствованию защиты информации», утвердившим нормы технической и криптографической защиты информации, обязательные для применения собственниками информационных систем, в которых обрабатывается служебная информация ограниченного распространения, информация о частной  жизни физического лица и персональные данные.


Целью защиты информации является:
• предотвращение несанкционированного доступа к информации;
• несанкционированного воздействия на информацию.

В числе мер защиты информации фиксируются:
• определения перечня объектов защиты;
• обеспечение проведения мероприятия  по созданию систем защиты информации;
• подтверждение соответствия систем защиты информации требованиям законодательства об информации, информатизации и защите информации (аттестация систем защиты информации);
• методическое руководство деятельностью по применению мер технической защиты информации;
• представление сведений в Оперативно-аналитический центр о состоянии технической защиты информации;
• криптографическая защита информации.

При осуществлении технической защиты информации используются средства защиты, имеющие сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь или положительное экспертное заключение по результатам государственной экспертизы, проводимой Оперативно-аналитическим центром.

Республиканский орган управления в сфере стандартизации – Государственный комитет по стандартизации (Госстандарт). 
Органом сертификации систем информационной безопасности является подразделение Госстандарта – Белорусский государственный институт стандартизации и сертификации (БелГИСС).

Оперативно-аналитический центр при Президенте Республики Беларусь (далее – ОАЦ) аккредитован Национальным органом по аккредитации Республики Беларусь в качестве органа по сертификации средств защиты информации и продукции по требованиям безопасности информации. Сертификация систем менеджмента информационной безопасности осуществляется в Национальной системе подтверждения соответствия Республики Беларусь.

Система стандартизации включает:
• стандарты серии 34.101 (Информационные технологии и безопасность. Критерии оценки безопасности информационных технологии). Стандарты устанавливают общие подходы к формированию требований к оценке безопасности информационных технологии, определяют виды требовании безопасности и содержат их систематизированных  каталог, критерии и уровни оценки безопасности информационных технологии, позволяющие оценить правильность реализации средств безопасности, стойкость механизмов защиты, использования отечественной нормативной базы.
• стандарты по криптографической защите информации — СТБ 1176.1-99 «Информационная технология. Защита информации. Функция хэширования», применяемые при разработке средств криптографической защиты. Стандарты первой группы разрабатываются на основе международных стандартов, что обеспечивает международное признание белорусских сертификатов. Однако необходимость непрерывного отслеживания и внедрения международной нормативной базы приводит к отставанию в принятии и использовании стандартов на 3-5 лет. Непосредственное отношение к защите прав субъектов персональных данных имеет стандарт ISO 26000 «Руководство по социальной ответственности», рабочей группой ISO/TMB «Социальная ответственность», активным членом которой (до ее расформирования по окончании разработки стандарта) являлась Республика Беларусь. Представители бизнес-сообщества обращают внимание на ряд проблем, связанных с утвердившимися в Беларуси подходами к стандартизации в сфере обеспечения информационной безопасности, в том числе на:
• стремление обеспечить ИБ «один раз и навсегда»
• требования ИБ устанавливаются «сверху-вниз» без учета реальных потребностей бизнеса;
• проводится политика унификации требовании ИБ для совершенно различных отраслей бизнеса и госсектора;
• стремление обеспечить 100% безопасность.

Причины этих проблем кроются в том, что:
• отсутствует диалог государства и бизнеса
• экономической составляющей информационной  безопасности отведена второстепенная роль
• отсутствует системность, игнорируются лучшие мировые практики

Решение этих проблем связано с ориентацией  на стандарты:
• Цели контроля для информационных и смежных технологии » (COBIT)
• библиотека ИТ инфраструктуры при Управлении правительственной коммерции Великобритании (ITIL)
• стандарты ISO серии 27000 по информационной безопасности
• требования к системе управления качеством ISO 9001:2000

Задача снижения административного давления на бизнес и создания условий для активизации частной инициативной деятельности граждан, поставленная Директивой Президента Республики Беларусь, выдвигает на повестку дня вопросы дальнейшей либерализации экономики и сокращения регулятивных функции государства. Поэтому важным составным элементом реализации стратегии экономического развития страны становится внедрение механизмов саморегулирования предпринимательской деятельности. При этом речь не идет об ослаблении роли государства, а о сокращении его вмешательства в экономические процессы.

Саморегулирование бизнеса как условие эффективного развития экономики. Концепция проекта закона Республики Беларусь «О саморегулируемых организациях». Отдельных положений, касающихся саморегулирования, закрепленных в отдельных отраслевых законодательных актах, для введения института саморегулируемых организаций, недостаточно.

Использование данного механизма в качестве альтернативного государственному регулированию способа преодоления провалов рынка требует определения условий, при которых развитие саморегулирования возможно и оправдано с точки зрения интересов участников рынка и общественных интересов.

В целях реализации данного пункта мероприятия в минувшем году, созданной при Министерстве юстиции рабочей группой подготовлена первоначальная редакция проекта закона Республики Беларусь «О саморегулируемых организациях».

Этот закон должен был стать определяющим общие нормы для саморегулирования во всех сферах экономической деятельности, где данный институт будут вводиться. Документ был передан на согласование в Министерство экономики Республики Беларусь. В работу были вовлечены представители различных государственных органов.

Поскольку законопроект напрямую затрагивал интересы бизнеса, в рабочей  группе были широко представлены предпринимательские союзы и ассоциации. Но так сложилось, что проект «не пошел». Ситуацию не спас предложенный со стороны предпринимательских структур альтернативный вариант документа.

Не давалось ответов на главные вопросы: в каких сферах возможно введение саморегулирования и каков правовой  механизм его реализации.

В связи с актуальностью рассматриваемой темы, сохранением к ней интереса со стороны бизнес-сообщества было принято решение о целесообразности подготовки концепции соответствующего законопроекта.

Заявлялось, что в концепции будет предложен анализ законодательства, в том числе международных договоров Республики Беларусь, относящегося к предмету правового регулирования проекта, обзор научных исследовании, публикации в печати, законодательства иностранных государств.

Внедрение механизмов саморегулирования требует реализации комплексных мер, которые можно разбить на два блока:
• меры, направленные на формирование институциональных условий;
• меры, касающиеся оптимального построения схемы саморегулирования.

К первому блоку можно отнести следующие меры:
1. законодательное определение направления взаимодействия государственных органов и саморегулируемых организации;
2. развитие отраслевого законодательства, предполагающего передачу определенных функции государственных органов саморегулируемым организациям (в отраслевом законодательстве должно содержаться определение функций и полномочий саморегулируемых организаций)
3. четкое определение функции саморегулируемых организации в целях исключения возможности «двойного регулирования» определенной  сферы;
4. создание возможности появления в конкретной  сфере нескольких конкурирующих между собой саморегулируемых организаций;
5. установление запрета на определенные действия саморегулируемой организации, которые могут ограничить конкуренцию, в том числе, путем создания барьеров входа на рынок;
6. выработка требований  по транспарентности и информационной  открытости саморегулируемых организации, включая информацию о требованиях, составе членов организации, системе разрешения споров, порядку принятия решений.
7. разработка стандартов по разрешению споров и по возможным формам участия третьих лиц в функционировании саморегулируемых организации и в мониторинге за деятельностью этих организации;
8. Постепенное снижение уровня административного давления на экономику путем поэтапного отказа государства от функции регулирования в отдельных сферах в пользу саморегулируемых организаций;
9. Продвижение идеи саморегулирования – активная государственная политика, направленная на просвещение профессионального сообщества и поддержку институтов саморегулирования.
Саморегулируемые организации разрабатывают и устанавливают обязательные для выполнения всеми членами саморегулируемых организации правила и стандарты предпринимательской деятельности, согласованные с уполномоченным государственным органом (далее – правила и стандарты саморегулируемых организаций).

Правила и стандарты саморегулируемых организации должны соответствовать актам законодательства. Правила и стандарты саморегулируемой организации устанавливают дополнительные требования к деятельности членов саморегулируемой организации. Однако проект концепции не был упомянут и в плане внесения на обсуждение Палатой представителей.

Отсутствие надлежащей законодательной базы – одна из основных причин того, что в Беларуси нет организации саморегулирования, которые могли бы обеспечить защиту персональных данных.

Даже информирование об обязательствах («правила приватности») не рассматриваются в качестве обязательного элемента деятельности предприятий и организаций. Из 64 провайдеров, предоставляющих доступ в интернет (список сайта providers.by), только 7 компаний, так или иначе информируют клиентов о политике приватности.

На сайтах трех провайдеров размещена информация о том, что они действуют в сфере защиты персональных данных в соответствии с нормами белорусского законодательства.

Еще три провайдера разместили тексты типовых договоров, содержащих пункт об обязательствах провайдера в отношении конфиденциальности.

На сайте компании А1 можно найти пункты о защите персональных данных в довольно объемном Кодексе поведения Telekom Austria Group:
“Мы осознаем важность и конфиденциальность персональных данных, доверенных нам нашими клиентами, сотрудниками, акционерами и поставщиками, и делаем все возможное для их защиты. Каждый в Telekom Austria Group несет ответственность за сохранение конфиденциальности в рамках выполняемых задач. Мы собираем и обрабатываем персональные данные только с разрешения вовлеченного лица, если это разрешено законом и необходимо для исполнения контрактных или правовых обязательств.

Более того, мы собираем, обрабатываем и используем персональные данные только в необходимой степени и для заданных целей. Мы уважаем всесторонние права тех людей, информацию о которых мы собираем, обрабатываем или используем.

Сохранность данных имеет большое значение для Telekom Austria Group. Данный аспект существенно влияет на успешность нашего бизнеса и репутацию компании.

Поэтому мы охраняем информацию о компании так же тщательно, как и личные данные наших клиентов и сотрудников, применяя все имеющиеся и подходящие технические и организационные средства для предотвращения несанкционированного доступа и использования или злоупотребления, потери и преждевременного уничтожения”.

В Республике Беларусь не проводилось никаких кампаний, и нет государственных образовательных программ, направленных на повышение осведомленности граждан в сфере защиты персональных данных.

Центр правовой трансформации разработал учебник «Защита персональных данных: введение в проблематику» и организовал онлайновый курс «Защита персональных данных: теория, история, практика».

Некоторая косвенная информация сообщалась в рамках Дня безопасного интернета, между тем потребность в получении информации по этой  проблематике достаточно высока. Так большинство респондентов исследования ЦЕТ-Центра правовой трансформации сообщили о необходимости получения дополнительных знании и компетенции, связанных с защитой персональных данных.

Таким образом, гражданские активисты вполне серьезно обеспокоены проблемой защиты персональных данных, имеют отдельные сведения о специфике этого вопроса и, что самое важное, заинтересованы в получении дополнительных знаний и компетенций:
• представители общественных организаций достаточно самокритично оценивают свои уровень осведомленности в сфере защиты персональных данных, одновременно обозначая потребность в получении дополнительных знаний и компетенций в этой сфере.
• невысоко оценивают функциональную грамотность белорусских граждан по вопросам защиты персональных данных участники фокус-групп.
Законодатели и органы государственного управления – основные акторы, регулирующие защиту персональных данных в Республике Беларусь. Независимого экспертного органа, контролирующего качество защиты данных и гарантии прав субъектов данных в стране, нет. В статье 30 закона «Об информации, информатизации и защите информации» говорится о том, что защита информации организуется «в отношении общедоступной информации – лицом, осуществляющим распространение.

В силу непрозрачности системы государственного управления в Беларуси, довольно трудно сделать вывод о соблюдении ими прав субъектов персональных данных. Вместе с тем, показателен факт, что нормы закона не требуют публикации на сайтах государственных органов обязательств в отношении защиты персональных данных тех, кто пользуются этими ресурсами.

Субъекты защиты персональных данных прямо не поименованы. В законе выделены лишь субъекты информационных отношений: 
• владелец программно-технических средств;
• информационных ресурсов;
• информационных систем и информационных сетей;
• информационный посредник;
• обладатель информации;
• оператор информационной системы;
• пользователь информации;
• пользователь информационной системы или  информационной сети;
• собственник программно-технических средств;
• информационных ресурсов;
• информационных систем и информационных сетей.

В законе «О регистре населения» названы следующие субъекты:
• распорядитель регистра и регистрирующая служба как структурное подразделение распорядителя регистра, уполномоченное на ведение регистра.
В соответствии с законом «О регистре населения», ответственность за надлежащее внесение данных в регистр несут те организации, которые вносят данные. Ответственность за адекватную обработку и хранение данных несет распорядитель регистра – Министерство внутренних дел.

Надзор за точным и единообразным исполнением законодательства Республики Беларусь в сфере функционирования регистра осуществляют Генеральный прокурор Республики Беларусь и подчиненные ему прокуроры (Закон о регистре населения, ст. 34). 
Закон «О регистре населения» предусматривает, что органом, ответственным за ведение регистра населения, содержащего персональные данные, является МВД. Одновременно и другие органы ведут свои ресурсы, в которых содержатся определенные данные (Нацбанк осуществляет хранение кредитных историй физических лиц. Фонд социальной защиты населения – данных государственного социального страхования).

В силу непрозрачности системы государственного управления в Беларуси, довольно трудно сделать вывод о соблюдении ими прав субъектов персональных данных. Вместе с тем, показателен факт, что нормы закона не требуют публикации на сайтах государственных органов обязательств в отношении защиты персональных данных тех, кто пользуются этими ресурсами. В качестве примера корректной  политики).

Проблема использования и защиты персональных данных физических лиц
1. При использовании информации, размещаемой на официальном интернет-сайте Президента Республики Беларусь (далее – сайт), технические средства сайта автоматически распознают сетевые (IP) адреса и доменные имена каждого пользователя посетителя сайта. 
Упомянутые сведения: электронные адреса лиц, пользующихся интерактивными сервисами сайта или отправляющих электронные сообщения в адреса, указанные на сайте;

Автоматически накапливаемые сведения о том, к каким интернет-страницам сайта обращались пользователи; иные сведения (в том числе персонального характера), сообщаемые пользователями, – хранятся с использованием технических средств сайта.
  
Сведения о пользователях сайта, накапливаемые и хранимые в технических средствах сайта, используются исключительно для целей совершенствования способов и методов представления информации на сайте, улучшения обслуживания его пользователе, выявления наиболее посещаемых интернет-страниц интерактивных сервисов сайта, а также ведения статистики посещений сайта.

Вне пределов, указанных в пункте настоящего Уведомления, информация о пользователях сайта не может быть каким-либо образом использована или разглашена. Доступ к таким сведениям имеют только лица, специально уполномоченные на проведение работ, указанных в пункте 2 настоящего Уведомления, и предупрежденные об ответственности за случайное или умышленное разглашение либо несанкционированное использование таких сведений.

Информация персонального характера о пользователях сайта хранится и обрабатывается с соблюдением требований российского законодательства о персональных данных.  Какая-либо информация, являющаяся производной по отношению к сведениям, перечисленным в пункте 1 настоящего уведомления, представляется для последующего использования исключительно в обобщенном виде, без указания конкретных сетевых адресов и доменных имен пользователей сайта.

Рассылка каких-либо электронных сообщений по сетевым  адресам пользователей посетителей Сайта, а также размещение на Сайте гиперссылок на сетевые электронные адреса пользователей сайта и их интернет-страницы допускаются исключительно, если такая рассылка и размещение прямо предусмотрены правилами. использования соответствующего интерактивного сервиса на такую рассылку или размещение, получено предварительное согласие пользователя сайта, выраженное в форме, предусмотренной указанными правилами.

Переписка с пользователями сайта, не относящаяся к использованию интерактивных сервисов сайта либо иных информационных разделов сайта, не производится.

Как отмечалось выше, законодательство Республики Беларусь концентрируется, главным образом, на защите персональных данных, которые находятся в распоряжении государственных органов.

Требования к бизнес-структурам заключаются, прежде всего, в технических стандартах информационной безопасности и отраслевых нормативных актах. Как и следовало ожидать, с наибольшим вниманием к этому относятся банки, которые концентрируют свои усилия на технических аспектах защиты персональных данных.

Степень осознания представителями бизнеса необходимости защищать персональные данные иллюстрируют приводимые ниже высказывания участников фокус-групп:
1. “так как я работаю с базами данных, соответственно, это персональные данные о фирмах или ком-либо”.
2. “Это регулируется очень просто:
• во-первых, есть ограниченный круг людей;
• во-вторых, я ответственен за эту информацию;
• По факту разглашения наступает уголовная ответственность”

Личное понимание, основанное на знании законов:
“пользователи прекрасно представляют, зачем нужны эти данные. Наши пользователи нигде не ставят галочку, что они против того, что их данные предоставляют рекрутерам”

“Лучший способ защиты данных - это квалификация пользователя, который сам следит за этим и думает, какие данные и кому он предоставляет. Существует возможность для государства оценить, что определенный процент населения не умеет пользоваться сетью Интернет и их очень легко одурачить”.

“Чтобы не утекали банковские номера, проще просто запретить собирать эти данные”.

Анализ высказываний респондентов показал два плана представления о персональных данных. Первое понятие о персональных данных обсуждается в контексте рекламных и бизнес-стратегий с использованием интернет-сервисов. В этом контексте понятие персональных данных трактуется максимально широко.

Два «модальных» высказывания по этому поводу следующие:
• к персональным данным относится все, что связано с личностью и ее действиями, то есть все фактологические данные о человеке, его интересы, история посещения сайтов, покупок, высказанных мнений;
• что считать персональными данными, определяется в каждой конкретной  ситуации. 

Представления о границах законности использования информации о личности основывались на наивно-априорных представлениях о человеческом благе. Если мы используем эту информацию, чтобы продать что-то дороже или ненужное человеку – это плохо, а если для того, чтобы предложить ему скидки или то, что ему будет реально полезно – то это хорошо и правильно.

Другое, более узкое, представление о персональных данных актуализируется, когда разговор заходит о практике собственной  кампании по работе с ними. Тогда появляются определения, что «это данные, которые можно связать с конкретной  физической личностью», «данные, которые если куда-нибудь утекут, могут нанести тебе вред».

Как показывают ответы респондентов, в большинстве случаев фирмы и компании имеют некие внутренние регламенты и правила по работе с персональными данными, однако строгость этих регламентов и усилия, предпринимаемые для защиты персональных данных, весьма различны.

Иногда эти вопросы решаются опосредованием работы с персональными данными почтовыми или иными сервисами, которые являются одновременно и сборщиком, и ответственным за хранение персональных данных, а компания имеет дело с вполне конкретной информацией о пользователе, но не привязанной к «физической личности».

В некоторых компаниях имеется ограниченный список людей, получающих доступ к Законам Республики Беларусь. Он концентрируется, главным образом, на защите персональных данных, которые находятся в распоряжении государственных органов.

Требования к бизнес-структурам заключаются, прежде всего, в технических стандартах информационной безопасности и отраслевых нормативных актах, базам данных клиентов или партнеров.

При этом устанавливаются строгие нормы по обращению с данными. В целом, ответы на вопрос, на что ориентируются участники фокус-группы в работе с персональными данными, можно объединить в три группы:
• некодифицированные нормы – правила морали, профессиональная этика, представления о том, «что такое хорошо и что такое плохо»;
• политика и нормативные стандарты компании или информационного ресурса;
• белорусское законодательство рассматривается как основание для возможной апелляции по отношению к общим нормам по защите чести и достоинства и невмешательстве в частную жизнь.  
Продвижение и защита права на неприкосновенность частной жизни согласуется с миссией правозащитного сообщества, с используемыми методами работы. Правозащитные организации понимают суть проблем обеспечения неприкосновенности частной  жизни, вооружены набором готовых универсальных критериев, деятельно настроены на изменение ситуации.

Но большая часть правозащитных организаций не относит решение вопросов защиты и продвижения права на неприкосновенность частной жизни к числу приоритетных задач.

Отчасти потому, что миссия эта сложна для освоения, проблемы не связаны напрямую с политическим произволом власти, нарушения часто скрыты от поверхностного взгляда, для многих являются обыденным, обычным явлением.

Для решения предложенных задач нужно прилагать дополнительные усилия, чтобы: 
• фиксировать нарушения цифровой приватности в повседневной жизни. Тех, кто хочет, чтобы их права, связанные с пользованием интернета, были гарантированы, в три раза больше чем тех, кто хочет понимать и принимать участие в обсуждении того, как и кем будут гарантированы эти права.
• объяснять смысл происходящего (законодательное регулирование, международные инициативы).
• формировать эффективные и гибкие подходы к взаимодействию с органами власти. 

Белорусский Хельсинкский Комитет, Центр правовой информации уже проделали значительную работу в данном направлении. Анализ законодательства, просветительская деятельность, обзоры и рекомендации, подготовленные экспертами этих организации, создали необходимый базис для информированного обсуждения политики в отношении защиты персональных данных в Беларуси.

Исследование ЦЕТ-Центра правовой информации (НЦПИ) показывает что для журналистов проблематика защиты персональных данных не актуализирована.  В своей работе они опираются на некоторые представления о вмешательстве в частную жизнь, а также на закон «О защите чести и достоинства», а в качестве практически единственного ориентира в повседневной  работе пользуются представлениями о журналистской этике.

Журналисты, освещающие политическую деятельность, акции оппозиционных партии и активистов, используют инструменты «анонимизации» информации об активистах и их действиях, даже взятой из открытых источников, и именно это относится респондентами к сфере работы с персональными данными.

Дискуссии в фокус-группах показали, что журналисты не видят себя в качестве субъекта решения данной проблемы. Рекомендации по работе с проблемой защиты персональных данных от респондентов-журналистов связаны в основном с «повышением уровня грамотности населения», введения «элементарных предметов» в школах, ВУЗах.

Причины этого заключаются в традиционных установках большинства белорусских СМИ:
«Средства массовой информации удовлетворяют спрос населения, а спроса населения на эту тему нет»;

Для того, чтобы тема присутствовала в СМИ, нужны «информационные поводы» (в качестве таковых были названы возможные скандалы или реальные факты о существенных финансовых потерях, связанных со злоупотреблением персональными данными, судебные разбирательства по этому поводу).

Свободный интернет: политические принципы и правовые нормы

В праве на открытый и прозрачный процесс принятия решений относительно функционирования сети, ограничения со стороны белорусского государства чувствует только половина гражданских активистов. Другими словами, тех, кто хочет, чтобы их права, связанные с пользованием интернета, были гарантированы, в три раза больше чем тех, кто хочет понимать и принимать участие в обсуждении того, как и кем будут гарантированы эти права.

На вопрос о том, кто должен заниматься обсуждением и реализацией принципов свободного интернета в Беларуси (сообщалось, что в число этих принципов входит и защита информационной приватности), большинство интервьюируемых (94%) ответило: «Это должна быть совместная работа всех заинтересованных сторон».

Наличие двух обозначенных выше несовместимых установок свидетельствует о том, что первоочередной задачей с точки зрения обеспечения надлежащей защиты прав субъектов персональных данных является инициирование широкого общественного диалога.

В Беларуси все острее становится проблема по обеспечению прав граждан по защите неприкосновенности их частной жизни, персональных данных, что обусловлено:
• использованием новых технологий;
• ростом киберпреступности;
• стремлением спецслужб контролировать сферы активной  деятельности граждан.

Практически единственными инструментами политики по отношению к защите персональных данных в Республике Беларусь являются законодательство и разработка технических стандартов. Конституционные, законодательные нормы, регулирующие в Беларуси право на неприкосновенность частной жизни, на практике слабо гарантируют защиту данного права.  Законодательство Республики Беларусь определяет лишь общие вопросы защиты персональных данных (без четкого механизма их реализации), локально регулирует отдельные сферы, в которых используются персональные данные.

Белорусские законодатели придерживаются «отраслевого» подхода: базовый закон в данной сфере отсутствует, а меры регулирования устанавливаются по мере накопления прецедентной базы, указывающей на источник угроз, что приводит к бессистемности и дублированию законоположений, рассредоточенности норм по различным отраслям права и аспектам общественных отношений.

Неурегулированными остаются вопросы ответственности за неправомерное разглашение персональных данных. На сегодняшний день отсутствуют специальные составы за незаконное распространение и использование персональных данных.

Отечественные правоведы утверждают, что насущной задачей является совершенствование законодательства о персональных данных и, прежде всего, разработка и принятие закона либо концепции защиты персональных данных. Необходимый баланс между юридическими и административными инструментами отсутствует.

Низкий уровень осведомленности граждан и слабое знание об ответственности в сфере использования персональных данных у представителей бизнеса обусловливает необходимость просветительских и образовательных компаний. Решение сложных и взаимосвязанных задач невозможно без широкого общественного диалога.

Правовые основы защиты информации и государственной тайны

За нарушение законодательства о государственной тайне предусмотрено три вида ответственности: 
• дисциплинарная;
• административная;
• уголовная. 

Дисциплинарная ответственность заключается в применении мер дисциплинарного характера к должностным лицам, нарушившим законодательство о государственной тайне.

Например, закон «О государственной и гражданской службе РБ» предусматривает возможность увольнения государственного служащего при однократном нарушении им своих обязанностей по защите государственной тайны.

Административная ответственность применяется к гражданам РБ, должностным лицам и юридическим лицам за нарушение правил защиты информации, незаконную деятельность в области защиты информации, а также за разглашение информации с ограниченным доступом на основании ст. 13.12, 13.13 и 13.14 Кодекса РБ об административных правонарушениях.

Уголовная ответственность устанавливается за преступления, связанные с государственной тайной, в соответствии со ст. 275, 276, 283, 284 Уголовного кодекса РБ.

К таким преступлениям относятся: 
• государственная измена
• шпионаж
• разглашение государственной тайны
• утрата документов
• содержащих государственную тайну.

Объекты правовой охраны

К охраняемым данными законами объектам относятся не только сами программы для ЭВМ, но также еще подготовительные материалы, полученные в ходе их разработки, и порождаемые ими аудиовизуальные отображения.

Программа для ЭВМ охраняется законом на всех этапах ее создания, включая материалы, полученные при разработке программы, независимо от объективной формы ее выражения - будь то занесение в память компьютера, запись на бумаге или иной способ фиксации. Алгоритмы как последовательность действий, приводящая к решению задачи, не признаются охраняемыми объектами. 
Объективная форма реализации алгоритма в виде программы для ЭВМ получает охрану в соответствии с отечественным  законодательством, однако это не препятствует другим лицам самостоятельно разрабатывать свои программы на основе данного алгоритма.

Интерфейс пользователя представляет собой совокупность средств, с помощью которых осуществляется взаимодействие человека и программы. Можно выделить такие элементы интерфейса, как изображения на экране компьютера, звуковое сопровождение и средства управления программой (комбинации управляющих клавиш, система меню, функции манипулятора "мышь").
Интерфейс пользователя также можно отнести к охраняемым объектам, но только при определенных условиях.

Во-первых, охраняется именно объективная реализация интерфейса, а не идеи и принципы, положенные в его основу, т.е. сами по себе ниспадающие меню, всплывающие, накладывающиеся окна и окна с изменяемыми размерами и комбинации управляющих клавиш, которым приписаны определенные действия, не могут получить правовую охрану.
Во-вторых, интерфейс должен отвечать общему требованию охраноспособности произведения: деятельность по его созданию должна носить творческий характер.

Документация и оформление программных продуктов являются самостоятельными объектами авторского права. На них не распространяется действие специальных норм авторского права, регулирующих создание и использование компьютерных программ.

Субъекты авторского права. Основными субъектами авторских прав являются автор программы и правообладатель

Автору принадлежат все права на созданные программы. Для произведений, выпущенных анонимно или под псевдонимом, срок охраны авторских прав составляет 50 лет с момента публикации. Под правообладателем понимается автор, его наследник, а также любое физическое или юридическое лицо, которое обладает исключительными имущественными правами, полученными в силу закона или договора.

Автор может практически полностью передать правообладателю все экономически значимые правомочия на весь срок их существования. Причем, если программа создана по служебному заданию, то правообладателем изначально становится работодатель, и все имущественные права принадлежат ему.

К личным, т.е. неотъемлемым, непередаваемым правам авторов относятся:
1. Право авторства, т.е. право считаться автором программы для ЭВМ;
2. Право на имя, т.е. право определять форму указания имени автора в программе;
3. Право на неприкосновенность, т.е. право на защиту программы от искажений;
4. Право на обнародование, т.е. действие, впервые делает произведение доступным для всех путем опубликования или публичного показа;
5. Право на отзыв, т.е. право отказа от принятого решения об обнародовании произведения.

К имущественным правам, которые могут передаваться другим лицам, относятся права:
1. На воспроизведение программы для ЭВМ в любой форме и любыми способами;
2. Распространение программы для ЭВМ;
3. Модификацию программы для ЭВМ, в том числе перевод ее с одного языка на другой. Данное право применимо только в том случае, если вносимые в программу изменения не затрагивают честь и достоинство ее автора.
4. Регистрация программ для ЭВМ осуществляется Агентством по правовой охране программ для ЭВМ, баз данных и топологий интегральных микросхем. Эта процедура не является обязательной и не влияет на возникновение, сроки действия и объем авторского права. 

Однако осуществление регистрации может значительно усилить позицию зарегистрированного правообладателя в случае возникновения судебного спора. Для регистрации программы правообладатель (физическое или юридическое лицо) лично или через своего представителя подает заявку на русском языке. В заявке должны быть приведены сведения не только об обладателе имущественных прав, но и об авторе программы.

К заполненному бланку прилагаются идентифицирующие программу материалы (распечатка текста программы, фотографии, видеозапись, звукозапись включенных в программу аудиовизуальных отображений, если они подлежат охране по нормам авторского права). Агентство принимает решение о регистрации программы и внесении ее в Государственный реестр в 2-месячный срок.


Елена КРОШЕВА, аналитический центр компании abbiz.by
Александр ДАНИЛЬЧЕНКО, академия управления при Президенте РБ




Подписывайтесь и читайте новости от ITквариат раньше остальных в нашем Telegram-канале !


Поделитесь этой новостью с друзьями!






Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!  





И еще на эту тему...
Обзор законодательства Республики Беларусь в области цифровизации за сентябрь 2023 года
Обзор законодательства Республики Беларусь в области цифровизации за август 2023 года
Обзор законодательства Республики Беларусь в области цифровизации за июнь 2023 года
Обзор законодательства Республики Беларусь в области цифровизации за январь 2023 года
Обзор законодательства Республики Беларусь в области цифровизации за ноябрь 2022 года
Обзор законодательства Республики Беларусь в области цифровизации за октябрь 2022 года
Обзор законодательства Республики Беларусь в области цифровизации за август-сентябрь 2022 года
Обзор законодательства Республики Беларусь в области цифровизации за июль 2022 года
Обзор законодательства Республики Беларусь в области цифровизации за июнь 2022 года
Обзор законодательства Республики Беларусь в области цифровизации за февраль-март 2022 года
9 способов сделать социальный контент доступным для всех
Обзор законодательства Республики Беларусь в области цифровизации за ноябрь 2021 года
Обзор законодательства Республики Беларусь в области цифровизации за октябрь 2021 года
Обзор законодательства Республики Беларусь в области цифровизации за июль 2021 года
Обзор законодательства Республики Беларусь в области цифровизации за май 2021 года
Обзор законодательства Республики Беларусь в области цифровизации за апрель 2021 года
Обзор законодательства Республики Беларусь в сфере информатизации за август 2020 года
Обзор законодательства Республики Беларусь в сфере информатизации за декабрь 2019 года
Обзор законодательства Республики Беларусь в сфере информатизации за апрель 2019 года
Обзор законодательства Республики Беларусь в сфере информатизации за октябрь 2017 года

Самое популярное

Обзор законодательства Республики Беларусь в области цифровизации за октябрь 2023 года

16-17 ноября в Минске пройдет Форум «Дни маркетинга, рекламы и брендинга»

Apple урегулировала дело Министерства юстиции США о дискриминации местных кандидатов на вакансии

RTX 4000 Super уже совсем скоро? Nvidia подтвердила специальное выступление на CES 8 января

Корпоративный обед: расходы ради экономии

Недавно...

• 

  Статьи / Железки
  
  06 март 2023

  Новые высокотехнологичные функции уничтожили мобильный бизнес Sony

  Присутствие Sony на рынке Android-смартфонов с годами становилось все слабее, и теперь это один из наименее значимых

Проверьте скорость вашего интернета!

Наши друзья