Официально опубликован закон «О защите персональных данных»

Закон «О защите персональных данных» сегодня официально опубликован на Национальном правовом интернет-портале. Он был принят Палатой представителей 2 апреля и одобрен Советом Республики 21 апреля. Основные положения закона вступят в силу через шесть месяцев после опубликования.

В законе дается определение основных терминов и понятий. Так, персональными данными является любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Под физическим лицом, которое может быть идентифицировано, понимается физлицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

Персональные данные могут быть биометрическими, генетическими, специальными. К специальным персональным данным относятся данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

Общедоступными персональными данными называются персональные данные, распространенные самим субъектом либо с его согласия или распространенные в соответствии с требованиями законодательных актов.

Закон регулирует отношения, связанные с защитой персональных данных при их обработке, которая осуществляется с использованием средств автоматизации, либо без использования средства автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).

Закон не распространяется на отношения, которые касаются случаев обработки персональных данных физлицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью, а также данных, отнесенных в установленном порядке к государственным секретам.

Обработка персональных данных должна производиться с согласия их субъекта. Она должна быть соразмерна заявленным целям обработки. Не допускается обработка персональных данных, несовместимая с первоначально заявленными целями. Если в процессе обработки данных цели изменяются, то необходимо получать дополнительное согласие субъекта.

Согласие должно представлять собой свободное, однозначное, информированное выражение воли, посредством которого разрешается обработка персональных данных. Оно может быть получено в письменной форме, в виде электронного документа или в иной электронной форме. Под последней понимаются указание или выбор определенной информации или кода после получения SMS или электронного письма, проставление соответствующей отметки на интернет-ресурсе или другие способы, которые позволяют установить факт получения согласия.

Перед получением согласия оператор, обрабатывающий данные, должен предоставить физлицу сведения:

• о своем наименовании, месте нахождения,
• цели обработки данных,
• перечень данных,
• срок, на который берется согласие,
• информацию об уполномоченных лицах, которые будут обрабатывать данные,
• перечень действий с данными,
• другую информацию, необходимую для обеспечения прозрачности процесса.

Обязанность доказывания получения согласия субъекта персональных данных возлагается на оператора.

Субъект персональных данных может отозвать свое согласие на их обработку.

Допускается обработка персональных данных без согласия субъекта в случаях:

• ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности,
• осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов,
• осуществления контроля (надзора) в соответствии с законодательными актами,
• при реализации норм законодательства в области нацбезопасности, борьбы с коррупцией, предотвращения легализации преступных доходов, финансировнания терроризма,
• при реализации законодательства о выборах, референдуме, отзыве депутатов,
• ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования,
• при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством,
• осуществления нотариальной деятельности,
• при рассмотрении вопросов, связанных с гражданством, предоставлением статуса беженца, дополнительной защиты, убежища и т.д.
• для назначения и выплаты пенсий и пособий,
• организации и проведения государственных статистических наблюдений,
• научных и иных исследований при условии обязательного обезличивания данных,
• при учете, расчете и начислении платы за ЖКУ, аренду жилья и других,
• при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором,
• обработки персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии  с содержанием такого документа.
• в целях осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации, организации, осуществляющей издательскую деятельность, направленных на защиту общественного интереса, представляющего собой потребность общества в обнаружении и раскрытии информации об угрозах национальной безопасности, общественному порядку, здоровью населения и окружающей среде, информации, влияющей на выполнение своих обязанностей государственными должностными лицами, занимающими ответственное положение, общественными деятелями, за исключением случаев, предусмотренных гражданским процессуальным, хозяйственным процессуальным, уголовно-процессуальным законодательством, законодательством, определяющим порядок административного процесса;
• для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
• в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных законом и иными законодательными актами;
• в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
• в случаях, когда законом и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.

Законом также определены случаи, когда не требуется согласие на обработку специальных персональных данных, в том числе, если они сделаны общедоступными самим субъектом персональных данных.

Документом запрещается трансграничная передача данных, если на территории другого государства не обеспечен надлежащий уровень защиты. Исключение делается для некоторых случаев, в том числе при наличии согласия субъекта персональных данных, проинформированного об имеющихся рисках.

Определен порядок отзыва субъектом своего согласия на обработку данных. В частности, установлено, что оператор должен в течение 15 дней после получения заявления субъекта прекратить обработку данных, удалить их и уведомить его об этом. Субъект также может затребовать у оператора информацию об обработке его персональных данных, включая источники их получения. Ответ на заявление должен даваться оператором в течение пяти дней. Определены случаи, когда информация об обработке данных не предоставляется. Кроме того, субъект имеет право получить сведения о передаче своих данных третьим лицам. На ответ оператору дается 15 дней.

Операторы обработки персональных данных в целях защиты должны назначить ответственных лиц, издать документы, определяющие политику в сфере обработки данных, ознакомить с положениями законодательства и локальных актов работников, занимающихся обработкой данных, установить порядок доступа к данным и информационным системам. Оператор также должен обеспечить техническую и криптографическую защиту персональных данных. Порядок защиты будет устанавливать ОАЦ в соответствии с классификацией информационных ресурсов, содержащих персональные данные.

Законом предусмотрен уполномоченный орган по защите прав субъектов персональных данных. Он определяется президентом страны. Уполномоченный орган должен быть создан в течение трех месяцев правительством совместно с ОАЦ и президентом.

Лица, виновные в нарушении закона, будут нести ответственность, предусмотренную законодательными актами. Также прописано, что моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, подлежит возмещению. Причем оно осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.