Опубликован закон «О защите персональных данных» РБ

Закон «О защите персональных данных» от 7 мая 2021 г. N 99-З официально опубликован на Национальном правовом интернет-портале. Он был принят Палатой представителей 2 апреля и одобрен Советом Республики 21 апреля. Основные положения закона вступили в силу через шесть месяцев после опубликования, то есть с 14 ноября 2021 года.

Что меняется в регулировании персональных данных?

В законе дается определение основных терминов и понятий.

Так, персональными данными является любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Под физическим лицом, которое может быть идентифицировано, понимается физлицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

Персональные данные могут быть биометрическими, генетическими, специальными. К специальным персональным данным относятся данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

Общедоступными персональными данными называются персональные данные, распространенные самим субъектом либо с его согласия или распространенные в соответствии с требованиями законодательных актов.

Закон регулирует отношения, связанные с защитой персональных данных при их обработке, которая осуществляется с использованием средств автоматизации, либо без использования средства автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).

Закон не распространяется на отношения, которые касаются случаев обработки персональных данных физлицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью, а также данных, отнесенных в установленном порядке к государственным секретам.

На каком основании данные могут обрабатываться

Обработка персональных данных должна производиться с согласия их субъекта. Она должна быть соразмерна заявленным целям обработки. Не допускается обработка персональных данных, несовместимая с первоначально заявленными целями. Если в процессе обработки данных цели изменяются, то необходимо получать дополнительное согласие субъекта.

Требования к согласию на обработку данных

Согласие должно представлять собой свободное, однозначное, информированное выражение воли, посредством которого разрешается обработка персональных данных. Оно может быть получено в письменной форме, в виде электронного документа или в иной электронной форме. Под последней понимаются указание или выбор определенной информации или кода после получения SMS или электронного письма, проставление соответствующей отметки на интернет-ресурсе или другие способы, которые позволяют установить факт получения согласия.

Наконец-то решен вопрос с тем, что раньше в Беларуси можно было получать согласие только в письменной форме, что практически нереально для онлайн-сервисов.

Чтобы согласие было информированным, перед получением согласия оператор, обрабатывающий данные, должен предоставить физлицу сведения:

• о своем наименовании, месте нахождения,
• цели обработки данных,
• перечень данных,
• срок, на который берется согласие,
• информацию об уполномоченных лицах, которые будут обрабатывать данные,
• перечень действий с данными,
• другую информацию, необходимую для обеспечения прозрачности процесса.

Под однозначным выражением воли лица, понимается, что не должно быть сомнений, что согласие было дано (к примеру, баннер «Продолжая пользоваться нашим сервисом, вы соглашаетесь на обработку ваших персональных данных» уже не будет валиден, потому что пользователь не дал свое однозначное согласие на это).

Обработка персональных данных третьими лицами

Если ваша компания поручает обработку данных третьему лицу (например, вы привлекли рекламную фирму, осуществляющую техническую поддержку и обеспечение вашего приложения, и она оперирует персональными данными ваших пользователей, подключает рекламный сервис, сервис аналитики и т.д.), между вами как оператором и такой фирмой должен быть заключен договор, где зафиксированы:

•  цели обработки персональных данных;
•  перечень действий, которые будут совершаться с персональными данными этим третьим лицом;
•  обязанности по соблюдению конфиденциальности персональных данных;
•  меры по обеспечению защиты персональных данных.

Требования к компаниям, собирающим персональные данные

У бизнеса также появляется ряд обязанностей: назначить лицо, ответственное за вопросы обработки персональных данных (DPO), разработать политику в отношении обработки персональных данных, провести инструктаж работников и т.д.

Обязанность доказывания получения согласия субъекта персональных данных возлагается на оператора.

Отзыв согласия на обработку персональных

Субъект персональных данных может отозвать свое согласие на их обработку.

Реализовать эти права можно путем подачи заявления в письменном виде либо в виде электронного документа (то есть подписанный электронной цифровой подписью). Такая форма подачи заявления значительно затруднит процесс реализации прав пользователей, считают эксперты. В мировой практике часто «заявления» подаются просто в форме письма на адрес электронной почты компании в свободной форме.

В каких случаях не требуется согласие субъекта на обработку данных

Законом также определены случаи, когда не требуется согласие на обработку специальных персональных данных, в том числе, если они сделаны общедоступными самим субъектом персональных данных.

Допускается обработка персональных данных без согласия субъекта в случаях:

• ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности,
• осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов,
• осуществления контроля (надзора) в соответствии с законодательными актами,
• при реализации норм законодательства в области нацбезопасности, борьбы с коррупцией, предотвращения легализации преступных доходов, финансировнания терроризма,
• при реализации законодательства о выборах, референдуме, отзыве депутатов,
• ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования,
• при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством,
• осуществления нотариальной деятельности,
• при рассмотрении вопросов, связанных с гражданством, предоставлением статуса беженца, дополнительной защиты, убежища и т.д.
• для назначения и выплаты пенсий и пособий,
• организации и проведения государственных статистических наблюдений,
• научных и иных исследований при условии обязательного обезличивания данных,
• при учете, расчете и начислении платы за ЖКУ, аренду жилья и других,
• при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором,
• обработки персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии  с содержанием такого документа.
• в целях осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации, организации, осуществляющей издательскую деятельность, направленных на защиту общественного интереса, представляющего собой потребность общества в обнаружении и раскрытии информации об угрозах национальной безопасности, общественному порядку, здоровью населения и окружающей среде, информации, влияющей на выполнение своих обязанностей государственными должностными лицами, занимающими ответственное положение, общественными деятелями, за исключением случаев, предусмотренных гражданским процессуальным, хозяйственным процессуальным, уголовно-процессуальным законодательством, законодательством, определяющим порядок административного процесса;
• для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
• в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных законом и иными законодательными актами;
• в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
• в случаях, когда законом и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.

 

Документом запрещается трансграничная передача данных, если на территории другого государства не обеспечен надлежащий уровень защиты. Исключение делается для некоторых случаев, в том числе при наличии согласия субъекта персональных данных, проинформированного об имеющихся рисках.

Порядок отзыва субъектом своего согласия на обработку данных

Определен порядок отзыва субъектом своего согласия на обработку данных. В частности, установлено, что оператор должен в течение 15 дней после получения заявления субъекта прекратить обработку данных, удалить их и уведомить его об этом. Субъект также может затребовать у оператора информацию об обработке его персональных данных, включая источники их получения. Ответ на заявление должен даваться оператором в течение пяти дней. Определены случаи, когда информация об обработке данных не предоставляется. Кроме того, субъект имеет право получить сведения о передаче своих данных третьим лицам. На ответ оператору дается 15 дней.

Требования к операторам обработки персональных данных

Операторы обработки персональных данных в целях защиты должны назначить ответственных за вопросы обработки персональных данных лиц (DPO), издать документы, определяющие политику в сфере обработки данных, ознакомить с положениями законодательства и локальных актов работников, занимающихся обработкой данных, установить порядок доступа к данным и информационным системам. Оператор также должен обеспечить техническую и криптографическую защиту персональных данных. Порядок защиты будет устанавливать ОАЦ в соответствии с классификацией информационных ресурсов, содержащих персональные данные.

Уполномоченный орган по защите прав и ответственность за ущерб

Законом предусмотрен уполномоченный орган по защите прав субъектов персональных данных. Он   создан Указом №422 «О мерах по совершенствованию защиты персональных данных»

[tds_info]В Беларуси появился Национальный центр защиты персональных данных[/tds_info]

Лица, виновные в нарушении закона, будут нести ответственность, предусмотренную законодательными актами. Также прописано, что моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, подлежит возмещению. Причем оно осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.