Закон «О защите персональных данных» сегодня официально опубликован на Национальном правовом интернет-портале. Он был принят Палатой представителей 2 апреля и одобрен Советом Республики 21 апреля. Основные положения закона вступят в силу через шесть месяцев после опубликования.
В законе дается определение основных терминов и понятий. Так, персональными данными является любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Под физическим лицом, которое может быть идентифицировано, понимается физлицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
Персональные данные могут быть биометрическими, генетическими, специальными. К специальным персональным данным относятся данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
Общедоступными персональными данными называются персональные данные, распространенные самим субъектом либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
Закон регулирует отношения, связанные с защитой персональных данных при их обработке, которая осуществляется с использованием средств автоматизации, либо без использования средства автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).
Закон не распространяется на отношения, которые касаются случаев обработки персональных данных физлицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью, а также данных, отнесенных в установленном порядке к государственным секретам.
Обработка персональных данных должна производиться с согласия их субъекта. Она должна быть соразмерна заявленным целям обработки. Не допускается обработка персональных данных, несовместимая с первоначально заявленными целями. Если в процессе обработки данных цели изменяются, то необходимо получать дополнительное согласие субъекта.
Согласие должно представлять собой свободное, однозначное, информированное выражение воли, посредством которого разрешается обработка персональных данных. Оно может быть получено в письменной форме, в виде электронного документа или в иной электронной форме. Под последней понимаются указание или выбор определенной информации или кода после получения SMS или электронного письма, проставление соответствующей отметки на интернет-ресурсе или другие способы, которые позволяют установить факт получения согласия.
Перед получением согласия оператор, обрабатывающий данные, должен предоставить физлицу сведения:
Обязанность доказывания получения согласия субъекта персональных данных возлагается на оператора.
Субъект персональных данных может отозвать свое согласие на их обработку.
Допускается обработка персональных данных без согласия субъекта в случаях:
Законом также определены случаи, когда не требуется согласие на обработку специальных персональных данных, в том числе, если они сделаны общедоступными самим субъектом персональных данных.
Документом запрещается трансграничная передача данных, если на территории другого государства не обеспечен надлежащий уровень защиты. Исключение делается для некоторых случаев, в том числе при наличии согласия субъекта персональных данных, проинформированного об имеющихся рисках.
Определен порядок отзыва субъектом своего согласия на обработку данных. В частности, установлено, что оператор должен в течение 15 дней после получения заявления субъекта прекратить обработку данных, удалить их и уведомить его об этом. Субъект также может затребовать у оператора информацию об обработке его персональных данных, включая источники их получения. Ответ на заявление должен даваться оператором в течение пяти дней. Определены случаи, когда информация об обработке данных не предоставляется. Кроме того, субъект имеет право получить сведения о передаче своих данных третьим лицам. На ответ оператору дается 15 дней.
Операторы обработки персональных данных в целях защиты должны назначить ответственных лиц, издать документы, определяющие политику в сфере обработки данных, ознакомить с положениями законодательства и локальных актов работников, занимающихся обработкой данных, установить порядок доступа к данным и информационным системам. Оператор также должен обеспечить техническую и криптографическую защиту персональных данных. Порядок защиты будет устанавливать ОАЦ в соответствии с классификацией информационных ресурсов, содержащих персональные данные.
Законом предусмотрен уполномоченный орган по защите прав субъектов персональных данных. Он определяется президентом страны. Уполномоченный орган должен быть создан в течение трех месяцев правительством совместно с ОАЦ и президентом.
Лица, виновные в нарушении закона, будут нести ответственность, предусмотренную законодательными актами. Также прописано, что моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, подлежит возмещению. Причем оно осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.