Артыкул 17. Меры па забеспячэнні абароны персанальных даных
1. Аператар (упаўнаважаная асоба) абавязаны прымаць прававыя, арганізацыйныя і тэхнічныя меры па забеспячэнні абароны персанальных даных ад несанкцыянаванага або выпадковага доступу да іх, змянення, блакіравання, капіравання, распаўсюджвання, прадастаўлення, выдалення персанальных даных, а таксама ад іншых неправамерных дзеянняў у дачыненні персанальных даных.
2. Аператар (упаўнаважаная асоба) вызначае склад і пералік мер, неабходных і дастатковых для выканання абавязкаў па забеспячэнні абароны персанальных даных, з улікам патрабаванняў гэтага Закона і іншых актаў заканадаўства.
Гэта патрабуе ад кожнага аператара выяўлення ўсіх выпадкаў апрацоўкі персанальных даных, а таксама іх аналізу на прадмет адпаведнасці Закону і, у прыватнасці, палажэнням артыкула 4 Закона.
Згодна з пунктам 3 артыкула 17 Закона абавязковымі мерамі па забеспячэнні абароны персанальных даных з’яўляюцца:
- назначэнне аператарам (упаўнаважанай асобай), які з’яўляецца дзяржаўным органам, юрыдычнай асобай Рэспублікі Беларусь, іншай арганізацыяй, структурнага падраздзялення або асобы, адказнай за ажыццяўленне ўнутранага кантролю за апрацоўкай персанальных даных;
- выданне аператарам (упаўнаважанай асобай), якая з’яўляецца юрыдычнай асобай Рэспублікі Беларусь, іншай арганізацыяй, індывідуальным прадпрымальнікам, дакументаў, якія вызначаюць палітыку аператара (упаўнаважанай асобы) у адносінах да апрацоўкі персанальных даных;
- азнаямленне работнікаў аператара (упаўнаважанай асобы) і іншых асоб, якія непасрэдна ажыццяўляюць апрацоўку персанальных даных, з палажэннямі заканадаўства аб персанальных даных, у тым ліку з патрабаваннямі па абароне персанальных даных, дакументамі, якія вызначаюць палітыку аператара (упаўнаважанай асобы) у адносінах да апрацоўкі персанальных даных, а таксама навучанне ўказаных работнікаў і іншых асоб у парадку, устаноўленым заканадаўствам;
- устанаўленне парадку доступу да персанальных даных, у тым ліку апрацоўваемых у інфармацыйным рэсурсе (сістэме);
- ажыццяўленне тэхнічнай і крыптаграфічнай абароны персанальных даных у парадку, устаноўленым Аператыўна-аналітычным цэнтрам пры Прэзідэнце Рэспублікі Беларусь, у адпаведнасці з класіфікацыяй інфармацыйных рэсурсаў (сістэм), якія змяшчаюць персанальныя даныя.
- У адпаведнасці з пунктам 4 артыкула 17 Закона аператар (упаўнаважаная асоба), які з’яўляецца юрыдычнай асобай Рэспублікі Беларусь, іншай арганізацыяй, індывідуальным прадпрымальнікам, абавязаны забяспечыць неабмежаваны доступ, у тым ліку з выкарыстаннем глабальнай камп’ютарнай сеткі Інтэрнэт, да дакументаў, якія вызначаюць палітыку аператара (упаўнаважанай асобы) у дачыненні да апрацоўкі персанальных даных, да пачатку такой апрацоўкі.
Падпунктам 3.5 пункта 3 Указа ўстаноўлена, што аператары, якія з’яўляюцца дзяржаўнымі органамі, юрыдычнымі асобамі Рэспублікі Беларусь, іншымі арганізацыямі, устанаўліваюць і падтрымліваюць у актуальным стане:
а) пералік інфармацыйных рэсурсаў (сістэм), якія змяшчаюць персанальныя даныя, уласнікамі (уладальнікамі) якіх яны з’яўляюцца;
б) катэгорыі персанальных даных, якія падлягаюць уключэнню ў такія рэсурсы (сістэмы):
агульнадаступныя персанальныя даныя;
спецыяльныя персанальныя даныя (акрамя біяметрычных і генетычных персанальных даных);
біяметрычныя і генетычныя персанальныя даныя;
персанальныя даныя, якія не з’яўляюцца агульнадаступнымі або спецыяльнымі;
в) пералік упаўнаважаных асоб, калі апрацоўка персанальных даных ажыццяўляецца ўпаўнаважанымі асобамі;
г) тэрмін захоўвання апрацоўваемых персанальных даных.
Для найбольш поўнай рэалізацыі мер па забеспячэнні абароны персанальных даных на практыцы аператарам (упаўнаважаным асобам) прапануецца скарыстацца алгарытмам прывядзення іх дзейнасці ў адпаведнасць з патрабаваннямі Закона, размешчаным на нашым сайце.