Беларусский GDPR. Что предлагают внести в закон о персональных данных

Нас ждут удивительные перемены. В Беларуси вспомнили про персональные данные и решили их отрегулировать. Как можно узнать, кто за нами следит, можно ли удалить данные о себе, кто будет следить за сбором данных, можно ли хранить персональные данные за границей и встанет ли колом беларусская экономика? Давайте читать проект закона вместе.

На прошлой неделе в Беларуси был опубликован проект закона «О персональных данных». Он размещен для общественного обсуждения на «Правовом форуме Беларуси». Обсуждение продлится до 11 августа 2018 года. После этого законопроект еще будет рассматриваться в Администрации президента, выноситься на сессию Палаты представителей и Совета Республики.

Опубликованный текст изменится, но, как показывает практика, значительная часть прописанных в нем положений войдет в финальную редакцию закона.

Регулирование в сфере персональных данных стало ответной реакцией на развитие технологий и является обязательным условием для роста экономики. Здесь Беларусь не идет впереди планеты всей и не отстает от соседей. Законодательство о персональных данных уже принято в России. 25 мая в Европейском союзе вступили правила защиты персональных данных – GDPR.

В белорусском проекте явно учтен и опыт российских законодателей и GDPR, но есть и особенности. Что же написано в проекте закона?

Что такое персональные данные?

Законом устанавливаются определения основных терминов. Под персональными данными понимается любая информация о физическом лице, которая позволяет его идентифицировать. Наряду с персональными данными выделяются и специальные персональные данные. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных убеждениях, здоровье, половой жизни человека, наличии у него судимости, а также биометрические и генетические данные.

Общедоступными персональными данными названы те, которые человек распространяет сам, либо с его согласия это делает оператор, либо это делается в соответствии с законодательством.

Фото: Dayne Topkin, unsplash.com

В законе вводится термин оператор. Под ним понимается госорган, физлицо, юрлицо или иная организация, которые занимаются сбором, обработкой, распространением и предоставлением персональных данных.

Закон регулирует отношения, связанные со сбором, обработкой, распространением, предоставлением персональных данных с использованием средств автоматизации. Он также распространяется и на указанные действия без использования средств автоматизации, если при этом возможен поиск по таким данным или доступ к ним по определенным критериям.

Закон не распространяется на данные, которые используются физическими лицами для личной и бытовой деятельности, если она не связана с профессиональной и коммерческой деятельностью. Также из-под действия закона выведена работа спецслужб с персональными данными.

Согласие на использование обязательно…

Проектом закона устанавливается, что операторы могут работать с персональными данными только с согласия физлица. Данное согласие должно быть свободным, конкретным, информированным. Его человек может выразить, как в письменном виде, так и с помощью электронных сервисов, например, через SMS или поставив галочки в специальной форме. Собственно, именно так мы и делаем в мобильных приложениях. В этой части закон не отличается от норм в других странах. Белорусским разработчикам мобильных приложений не придется бегать за пользователями с бумагой о семи печатях. Вместе с тем, в случае спорных моментов, бремя доказательства получения согласия возложено на оператора.

Оператору предписывается декларировать, какие именно данные он собирает, для какой цели, на какой срок.

Об этом он должен уведомить и человека при получении согласия на использование персональных данных. В случае, если цели меняются, об этом надо уведомлять и получать новое согласие. Данные могут храниться в форме, позволяющей определить субъекта персональных данных только в течение того времени, которое необходимо для заявленной цели. После этого их необходимо удалить, либо обезличить.

Фото: Evan Kirby, unsplash.com

Операторов обязывают принимать меры по защите персональных данных.

Оператор в соответствии с проектом закона имеет право поручить сбор, обработку, распространение, предоставление персональных данных другому лицу. Данное поручение должно быть оформлено договором. В нем должны быть указаны цели, перечень операций, которые производятся с персональными данными, обязанности по соблюдению их конфиденциальности и требования по защите. На исполнителя по такому договору распространяются все требования, что закон предъявляет к оператору.

Аналогичный принцип используется в европейский GDPR, где есть понятия «контроллер» и «процессор» данных.

За исключением десятка случаев

В законе прописаны случаи, когда персональные данные могут собираться без согласия пользователя. К ним относятся: требования правоохранительных органов в случае ведения административного или уголовного процесса, осуществления правосудия, исполнения судебного постановления. Персональные данные могут собираться без согласия для государственной статистики, а также в научных целях при условии их обезличивания.
Спасатели и врачи смогут работать с персональными данными без согласия, если преследуют цели защиты жизни и здоровья, других жизненно важных интересов. При этом человек находится в бессознательном состоянии или отсутствует без сведений о его местонахождении.

Исключение сделано и для журналистов, СМИ, когда они выполняют свои профессиональные обязанности.

Также оговариваются и случаи, когда персональные данные требуются для административных процедур, например, при оформлении наследственных прав, сделок с имуществом, выплаты пенсий.

Без согласия человека персональные данные может собирать налоговая для контроля за уплатой налогов, сборов, пошлин и других платежей в бюджет.

Персональные данные остаются конфиденциальными

Закон прямо запрещает оператору, либо лицу, занимающемуся сбором и обработкой персональных данных, предоставлять доступ к ним третьим лицам, либо распространять их без согласия человека. Исключение сделано для общедоступных персональных данных.

Также к числу конфиденциальных персональных данных не относятся: имя, фамилия, отчество, должность физлиц, которые работают в госорганах, госучреждениях.

Фото: Josh Edgoose, unsplash.com

Законом также запрещается передача персональных данных через границу, если в другом государстве не обеспечен надлежащий уровень их защиты. Эта норма близка к той, что прописана в европейском GDPR. Однако здесь также есть несколько исключений. Это можно делать, если речь идет о здоровье и жизни человека, персональные данные являются общедоступными, передача предусмотрена международными договорами, либо получено согласие человека в письменной форме или в виде электронного документа.

Передавать данные за границу можно будет при наличии разрешения уполномоченного органа по защите прав субъектов персональных данных.

Правда, в законе пока не определено, что это за орган.

Разрешение, вероятно, и не придется просить, так как уполномоченный орган должен определить список государств, где защита персональных данных находится на надлежащем уровне.

В данном случае белорусское законодательство отличается от российского, которое предписывает хранить персональные данные россиян на территории РФ, а за несоблюдение данного требования предусмотрена блокировка сервисов.

Права субъектов персональных данных

В соответствии с законом человек имеет право дать согласие на использование его персональных данных, а также отзывать его.

Согласие будет отзываться в том же виде, в котором оно и было получено оператором.

Иначе говоря, достаточно снять галочку в пользовательском соглашении. При этом оператор должен в течение 15 дней прекратить работу с персональными данными, удалить их и уведомить об это отказника. Если полностью нельзя удалить данные, то к ним должен быть исключен доступ.

Отдельно оговаривается, что отзыв не имеет обратной силы. То есть, если данные человека были использованы для материалов, подготовленных до отзыва, то такие материалы не должны изыматься из оборота.

Фото: Tom Sodoge, unsplash.com

Можно потребовать прекращения сбора и обработки персональных данных, их предоставления и распространения, а также удалить их, если информация используется для целей, не предусмотренных законом, либо она не нужна для целей, которые декларируются оператором.

Также можно знакомиться с собранными персональными данными, требовать внесения в них изменений. Делать это можно будет раз в год. Оператор должен предоставлять данные бесплатно в 15-дневный срок. Он обязан сообщить информацию о субъекте, какие данные были собраны, для какой цели, как долго они будут храниться, а также указать лицо, которое занимается сбором и обработкой.

Человек в праве получать информацию о предоставлении персональных данных третьим лицам. Эту информацию можно будет запросить также раз в год. Ответ оператор обязан предоставлять также в течение 15 дней. В нем должны быть указаны лица, получившие доступ к данным. Ответа можно не получить, если нет возможности учитывать предоставление доступа к данным третьим лицам, они находятся в открытом доступе, либо их сбор связан с выполнением своих функций правоохранительными органами.

Действия оператора можно обжаловать в уполномоченный орган по защите прав субъектов персональных данных.

Защита персональных данных

Обязанности по защите персональных данных возложены на оператора, либо лица, собирающие и обрабатывающие по договору с ним.

Оператор в праве сам определять меры по защите данных, однако к нему предъявляются некоторые требования. Так, оператор должен назначить ответственного за защиту персональных данных, разработать документы, в которых будет изложена политика в области защиты. С ней должны ознакомить работников, непосредственно собирающих данные. Кроме того, данный документ должен быть опубликован в открытом доступе.

Оператор обязан прописать порядок доступа к информации. Порядок технической и криптографической защиты будет определять ОАЦ.

Контроль за персональными данными

Контролировать исполнение закона будет госорган, уполномоченный на защиту прав субъектов персональных данных. Его назовет президент Беларуси.

Орган должен рассматривать жалобы, требовать удаления персональные данных, в том числе полученных незаконным путем. Он же будет выдавать разрешения на передачу данных за рубеж и т.д.

Надзор за исполнением закона возложен на прокуратуру.

Нарушения закона о персональных данных будут наказываться в соответствии с законодательными актами. В будущем предстоят изменения в Административном и, возможно, Уголовном кодексе.

Фото: Yung Chang, unsplash.com

Вступление закона в силу

Закон вступит в силу через год после его официального опубликования. При этом в течение трех месяцев после этого на рассмотрение президента должны внести указ об уполномоченном органе.

Год дается на то, чтобы привести законодательные акты, решения правительства, нормативные акты других госорганов в соответствие с законом.

Обсуждение закона

Обсуждение закона только начинается. На правовом форуме пока только полторы страницы комментариев. При этом посты от гостей показывают, что белорусы пока не вполне четко понимают, что такое персональные данные, почему эту сферу нужно регулировать.

«С какой целью и кому нужен сбор персональных данных? Простым людям это не надо. Следующим шагом чипизация? Тотальный контроль над всеми», — пишет гость Евгений (здесь и далее орфография сохранены).

«Что такое должно было произойти или какие факторы поспособствовали созданию данного закона…. Йа категорически против. Наш народ как-то жыл столько лет без этого...», — поддерживает его Светослав.

Есть и конструктивные положения. Например, внести в закон требование к оператору обязательно сообщать субъектам персональных данных о фактах несанкционированного доступа к их персональным данным, упростить формулировки.

Проект закона также оставляет немало белых пятен, в первую очередь в части контроля и надзора за исполнением законодательства.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

🔥 Поддержите Reform.news донатом!