Обзор Закона «О защите персональных данных»
14 мая 2021 года был опубликован Закон «О защите персональных данных» (далее – Закон), основные положения которого вступают в силу через 6 месяцев после его опубликования, то есть с 15 ноября 2021 года.
Отметим наиболее важные с точки зрения бизнеса нововведения.
1. Определение персональных данных
Законом вводится понятие «персональных данных».
Так, под персональными данными понимается любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Фактически, для целей Закона персональными данными будут считаться любые сведения в любой форме, как по отдельности, так и своей совокупности позволяющие отличить одного человека от другого.
Таким образом, законодатель избрал широкий подход к пониманию персональных данных, не ограничиваясь исчерпывающим перечнем. Такой подход схож с европейским GDPR.
Напомним, что до вступления в силу Закона состав персональных данных определяется в Законе Республики Беларусь от 21.07.2008 № 418-З «О регистре населения» (закрытый перечень) и в Законе Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» (расширенная формулировка «и иные данные, позволяющие идентифицировать такое лицо»).
2. Согласие субъекта персональных данных
Изменяется установленное Законом Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» правило использования персональных данных, согласно которому сбор, обработка, хранение персональных данных, а также пользование ими и их последующая передача осуществляются с письменного согласия физического лица.
Закон легализует возможность предоставления согласия на использование персональных данных не только в письменной форме, но и в виде электронного документа или в иной электронной форме (например, посредством простановки субъектом персональных данных галочки или иной отметки на интернет-ресурсе).
Полагаем, что это значительно упрощает сбор персональных данных.
Также в Законе четко указывается на то, что до получения согласия субъекта персональных данных необходимо в письменной либо электронной форме, соответствующей форме выражения такого согласия, предоставить ему, содержащую:
- наименование (ФИО) и место нахождения (адрес) оператора, получающего согласие субъекта персональных данных;
- цели обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- срок, на который дается согласие субъекта персональных данных;
- информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
- перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
- иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
Кроме того, до получения согласия субъекта персональных данных необходимо в той же форме, в которой дается согласие, простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия.
3. Меры обеспечения защиты персональных данных
В Законе однозначно определяется перечень обязательных мер обеспечения защиты персональных данных:
- назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (не касается ИП);
- издание документов, определяющих политику в отношении обработки персональных данных;
- ознакомление работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
- установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
- осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
Таким образом, до момента вступления в силу Закона субъектам хозяйствования следует внедрить указанные выше меры для минимизации риска привлечения к административной ответственности в соответствии с ч. 4 ст. 23.7 Кодекса об административных правонарушениях Республики Беларусь.
Что касается осуществления технической и криптографической защиты персональных данных, то в целях обеспечения здесь оператору важно правильно классифицировать в соответствии с приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 12 содержащиеся в информационном ресурсе (системе) персональные данные. В зависимости от вида персональных данных, содержащихся в информационном ресурсе (системе), будут определяться класс типовой информационной системы и, соответственно, требования к системе защиты информации, а также иные мероприятия по технической и криптографической защите защиты персональных данных.
Вопросы осуществления технической и криптографической защиты персональных данных регламентированы приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449».
4. Обработка персональных данных без согласия субъекта персональных данных
Закон определяет перечень случаев, в которых получать согласие субъекта персональных данных на их обработку не требуется. К примеру:
- при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных;
- в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;
- при получении персональных данных на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно.
5. Права субъектов персональных данных
Закон определяет перечень прав субъектов персональных данных, в т.ч.:
- право на отзыв согласия субъекта персональных данных;
- право на получение информации, касающейся обработки персональных данных, и изменение персональных данных;
- право на получение информации о предоставлении персональных данных третьим лицам;
- право требовать прекращения обработки персональных данных и (или) их удаления;
Указанные права реализуются через заявление субъекта персональных данных в письменной форме либо в виде электронного документа (при наличии ЭЦП).
Также закрепляется право на обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
Напомним, что оператор обязан разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных.
6. Обработка персональных данных третьим лицом (ст. 7 Закона)
Если персональные данные обрабатываются не самим оператором, а передаются на «аутсорс» уполномоченному лицу (например, какой-либо маркетинговой фирме), то:
а) Это уполномоченное лицо обязано соблюдать требования Закона и иных актов Беларуси в области защиты персональных данных;
б) С этим уполномоченным лицом необходимо заключить договор, в котором должны быть определены:
- цели обработки персональных данных;
- перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
- обязанности по соблюдению конфиденциальности персональных данных;
- меры по обеспечению защиты персональных данных в соответствии со статьей 17 Закона.
Согласие субъекта персональных данных, если оно необходимо, должен получить сам оператор, а не уполномоченное им лицо. Всю ответственность перед субъектами персональных данных несет оператор.
7. Трансграничная передача персональных данных
Закон прямо закрепляет возможность осуществления трансграничной передачи персональных данных, то есть их предоставления на территорию иностранного государства.
Так, по общему правилу трансграничная передача персональных данных запрещается, если в другом государстве не обеспечивается надлежащий уровень их защиты (перечень таких государств будет определен в последующем).
Подробнее этот вопрос регламентируется в приказе директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14. Так, в перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, включаются иностранные государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28 января 1981 года.
Примером государств, не присоединившихся к данной Конвенции, являются США, Канада, Япония, Казахстан и некоторые другие.
В то же время передача персональных данных на территорию таких государств в отдельных случаях допускается. К примеру, если на то дано согласие субъекта персональных данных в письменной форме или в виде электронного документа, а также если заключается или исполняется договор, одной из сторон которого является субъект персональных данных.
8. Орган государственного управления
Закон предусматривает создание уполномоченного органа по защите прав субъектов персональных данных, который, в частности, осуществляет контроль за обработкой персональных данных и рассматривает жалобы субъектов персональных данных по вопросам обработки персональных данных. Таким органом является Национальный центр защиты персональных данных Респубилки Беларусь.