Материал помещен в архив. Актуальный материал по теме см. здесь

Персональные данные: изменения в законодательстве с 15 ноября 2021 года

Талина Лукьяненко
DipIAS ICFM, аудитор, редактор Правовой платформы «Бизнес-Инфо»

14.09.2021

15 ноября 2021 г. вступит в силу первый закон, специально посвященный персональным данным в Беларуси. Мы рассмотрели ключевые моменты и положения, которые значительно меняют обработку персональных данных, а это затронет практически каждую компанию.

Новое определение персональных данных

Теперь к понятию «персональные данные» можно отнести абсолютно любые данные, если с их помощью можно идентифицировать физическое лицо, так как законодательством не установлен перечень «иных данных» (абз.9 ст.1 Закона от 07.05.2021 № 99-З «О защите персональных данных»).

То есть под категорию персональных может подпадать обширный круг данных.

Новое определение схоже с определением, закрепленным в GDPR (примечание).

Пока нет однозначного ответа, относятся ли к персональным данным:

• данные об устройствах пользователей (IP-адрес, локация, рекламные идентификаторы (IDFA, Google Advertising ID));

• информация о пользовательском поведении (на какие разделы сайта пользователь заходил и что просматривал).

В соответствии с общемировыми подходами - относятся.

До принятия Закона № 99-З в Беларуси был закрытый перечень персональных данных - в него входила только информация, которая вносится в реестр населения (Ф.И.О., дата рождения, пол, адрес регистрации и т. д.):

• персональные данные - это основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо (абз.24 ст.1 Закона от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»);

• персональные данные физических лиц - совокупность основных и дополнительных персональных данных, а также данных о реквизитах документов, подтверждающих основные и дополнительные персональные данные конкретных физических лиц; перечисление данных, которые могут быть отнесены к основным (ст.8 Закона от 21.07.2008 № 418-З «О регистре населения») и вспомогательным (ст.10) персональным данным, - закрытый список.

Дополнительно по теме • Общий регламент защиты персональных данных (GDPR). Рекомендация для резидентов Республики Беларусь. • Персональные данные: что нужно знать с 15 ноября 2021 года. • Относится ли к персональным данным такая информация, как Ф.И.О., пол, место рождения, данные о родителях, семейном положении и детях, воинской обязанности, отпечатки пальцев, фотопортрет, политические взгляды, национальность, государственный номер автомобиля? • Кто может быть субъектом персональных данных? • Будет ли продавец магазина, обрабатывающий персональные данные покупателей, оператором персональных данных?

Оператор и уполномоченное лицо: функции и обязанности

Закон № 99-З вводит понятия «оператор» и «уполномоченное лицо».

Оператор самостоятельно организует или осуществляет обработку персональных данных, а уполномоченное лицо обрабатывает их от имени или в интересах оператора, например, на основании договора с ним (абз.8 ст.1 Закона № 99-З).

Справочно Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных (абз.6 ст.1 Закона № 99-З). Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных (абз.13 ст.1 Закона № 99-З).

Договор должен содержать необходимые существенные условия: цель, перечень действий по обработке, оговорку о конфиденциальности и меры защиты. Уполномоченное третье лицо не обязано самостоятельно получать согласие субъекта персональных данных, за это отвечает оператор.

Закон № 99-З приводит следующий перечень операторов:

• госорган;

• юрлицо Республики Беларусь;

• иная организация;

• физлицо, в том числе ИП (абз.8 ст.1 Закона № 99-З).

Дополнительно по теме • Новые подходы к защите персональных данных с 15 ноября 2021 года. Комментарий к Закону от 07.05.2021 № 99-З «О защите персональных данных».

То есть любое физическое или юрлицо (интернет-магазин, банк, медицинское учреждение, частная компания и т. д.), которое будет заниматься обработкой персональных данных, называется оператором и подпадает под действие Закона № 99-З.

Обрабатывать данные операторы смогут только с согласия носителя данных (физлица).

Оператор обязан (согласно Закону № 99-З):

1) разъяснять субъекту данных его права, связанные с обработкой данных (абз.2, 5 п.1 ст.16);

2) получать согласие на обработку данных (абз.3 п.1 ст.16);

3) предоставлять человеку возможность ознакомления со своими данными (абз.5 п.1 ст.16);

4) прекратить обработку данных или удалить их по требованию (абз.7 п.1 ст.16);

5) обеспечивать защиту данных (абз.4 п.1 ст.16);

6) уведомлять в определенное время уполномоченный орган о нарушениях системы защиты (абз.8 п.1 ст.16);

7) опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику обработки данных и требования по их защите (ч.2 п.5 ст.5) и др.

Обратите внимание! Обработка персональных данных оператором или уполномоченным лицом невозможна без получения согласия субъекта данных (ч.1 п.3 ст.4 Закона № 99-З).

Дополнительно по теме • Новые подходы к защите персональных данных с 15 ноября 2021 года. Комментарий к Закону от 07.05.2021 № 99-З «О защите персональных данных». • Юридическое лицо поручает аутсорсинговой бухгалтерской компании обработку персональных данных своих работников для ведения бухучета, выплаты заработной платы, уплаты налогов и вносов в ФСЗН и т. п. Кто в этом случае будет оператором и кто несет ответственность перед субъектами персональных данных?

Цели обработки персональных данных

Обработка персональных данных должна ограничиваться достижением заранее заявленных конкретных целей (ч.1 п.4 ст.4 Закона № 99-З).

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки.

При появлении новых целей необходимо получать новое согласие (ч.2 п.4 ст.4 Закона № 99-З).

Получение согласия идентифицируемого лица на обработку персональных данных

Получение согласия в новом формате

Ранее в Республике Беларусь согласие на обработку персональных данных предоставлялось только в письменной форме.

Теперь согласие может быть дано как в письменной форме, так и с помощью CMC-сообщения с кодом, электронной почты, а также проставления отметки (галочки) на сайте (ч.1 п.2 ст.5 Закона № 99-З).

Согласие должно быть свободным, однозначным, целевым и информированным. То есть перед дачей согласия субъекта персональных данных надо проинформировать о (об):

• названии и местонахождении оператора;

• цели обработки;

• перечне персональных данных;

• сроке, на который дается согласие;

• информации об уполномоченных третьих лицах;

• перечне действий с персональными данными;

• иной информации для «прозрачности» процесса обработки персональных данных (п.5 ст.5 Закона № 99-З).

До получения согласия оператор обязан разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия или отказа в даче такого согласия. Эта информация должна быть представлена отдельно от иной информации, чего может потребовать политика конфиденциальности.

Обязанность доказывания того, что пользователь дал свое согласие, возлагается на оператора.

Обратите внимание! При даче своего согласия физлицо указывает свои Ф.И.О., дату рождения и идентификационный номер. Если такие данные не нужны оператору в соответствии с заявленными им целями обработки, обрабатывать их запрещается (п.6 ст.5 Закона № 99-З).

Дополнительно по теме • О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента. Комментарий к постановлению Минздрава от 07.06.2021 № 74.

Что должно содержать согласие

В Законе № 99-З конкретно не определено, что должно содержаться в письменном согласии физлица. Вместе с тем в согласии целесообразно предусмотреть следующее.

1. Ф.И.О. физлица, чьи данные собираются.

2. Перечень персональных данных, на сбор обработку, хранение, распространение, представление которых дается согласие.

3. Цели сбора, обработки, распространения, представления персональных данных.

4. Перечень действий, на совершение которых дается согласие.

5. Срок, на который дается согласие.

6. Порядок отзыва согласия (п.5 ст.5 Закона № 99-З).

Когда можно использовать персональные данные без получения согласия

Есть ситуации, когда получать согласие не потребуется. К ним, в частности, относятся следующие причины использования персональных данных:

• для оформления трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности (важное уточнение: несмотря на то что сбор персональных данных в рамках трудовых правоотношений может осуществляться без согласия работника, дальнейшее их распространение без соответствующего согласия прямо запрещено Законом № 99-З);

• при реализации норм законодательства в области национальной безопасности, борьбы с коррупцией и пр.;

• в отношении общедоступных персональных данных (данное право оператора будет действовать до первого требования идентифицируемого лица), то есть в отношении ранее распространенных персональных данных до момента заявления субъектом данных требования о прекращении обработки или их удалении;

• когда сбор персональных данных обязателен в соответствии с законодательством (ст.6 Закона № 99-З).

Дополнительно по теме • Персональные данные работников организации. • Персональные данные, на обработку которых нанимателю не надо получать согласие работников. • Когда согласие на обработку персональных данных не требуется. • Можно ли запросить у субъекта персональных данных бессрочное согласие на любые будущие цели обработки персональных данных? • Нужно ли организации-нанимателю получать согласие на обработку персональных данных своих работников?

Пример 1 Вы делаете рассылку для клиентов, предлагая им свои услуги, скидки и др. - такие действия могут быть совершены только при наличии согласия субъекта. По GDPR в аналогичной ситуации при определенных условиях можно не получать согласие пользователя, а ссылаться на законный (легитимный) интерес.

Пример 2 Вы хотите получить данные из резюме кандидата на работу по электронным каналам. Для этого надо сначала получить согласие субъекта на обработку данных. Его можно разместить на сайте компании. Ознакомившись с перечнем обрабатываемой информации и целями обработки, субъект может дать согласие. Далее субъект сможет загрузить резюме или заполнить форму прямо на сайте. Вы обязаны в любой момент удалить всю информацию о субъекте и прекратить обработку его данных, как только он этого потребует. Без согласия субъекта нельзя передавать резюме из одной компании в другую с той же целью - найма на работу.

Отзыв согласия

Одно из прав субъекта персональных данных - право на отзыв согласия на использование персональных данных.

Идентифицируемое лицо может в любой момент отозвать данное им согласие на использование персональных данных. После получения отзыва оператор в 15-дневный срок обязан прекратить сбор персональных данных, удалить их и уведомить об этом пользователя (пп.1 и 2 ст.10 Закона № 99-З).

Если же у оператора нет технической возможности удалить персональные данные, то ему вменяется в обязанность принять меры по недопущению их дальнейших обработки, распространения и предоставления (включая обязанность по блокировке данных) и уведомить пользователя в тот же срок.

Те же последствия, что и отзыв согласия (то есть обязанность прекратить, удалить, уведомить), наступают при окончании срока действия или расторжения договора, в соответствии с которым использовались персональные данные (п.3 ст.10 Закона № 99-З).

Обязательства компании по защите персональных данных

1. Назначьте лицо или отдел, ответственные за защиту персональных данных в компании.

2. Разработайте политику компании в отношении обработки персональных данных и сделайте ее доступной для неограниченного круга лиц (в том числе посредством сети Интернет).

3. Обучите работников работе с персональными данными.

4. Установите порядок доступа к персональным данным.

5. Осуществите техническую и криптографическую защиту персональных данных (п.3 ст.13 Закона № 99-З).

Оператор - ИП или юрлицо обязан обеспечить неограниченный доступ, в том числе с использованием сети Интернет, к своей политике конфиденциальности до начала соответствующих действий с персональными данными.

Подробнее требования по организации защиты персональных данных (информации ограниченного распространения) указаны в приказе ОАЦ от 20.02.2020 № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449».

Меры по защите информации также зависят от класса системы, в которой она обрабатывается. Класс системы определяется СТБ 34.101.30-2017 «Информационные технологии. Методы и средства безопасности. Информационные системы. Классификация».

Для соблюдения врачебной тайны и обеспечения защиты информации о пациенте в рамках эксплуатации централизованной информационной системы здравоохранения принято постановление Минздрава от 28.05.2021 № 64 «Об утверждении Инструкции о порядке обезличивания персональных данных лиц, которым оказывается медицинская помощь».

Дополнительно по теме • Защита персональных данных. Комментарий к Указу от 28.10.2021 № 422. • Создан Национальный центр защиты персональных данных. Комментарий к Указу от 28.10.2021 № 422. • В Беларуси появится Национальный центр защиты персональных данных. Комментарий к Указу от 28.10.2021 № 422. • Новые подходы к защите персональных данных с 15 ноября 2021 года. Комментарий к Закону от 07.05.2021 № 99-З «О защите персональных данных». • Алгоритм принятия решения о способе организации контроля за обработкой персональных данных и введения в штат должности DPO (data protection officer, менеджера (специалиста, инженера) по защите персональных данных) ответственного за осуществление внутреннего контроля за обработкой персональных данных. • Как долго можно хранить персональные данные клиентов в базе данных?

Трансграничная передача персональных данных

Для целей трансграничной передачи персональных данных Закон № 99-З разделяет государства на обеспечивающие надлежащий уровень защиты прав субъектов персональных данных и не обеспечивающие такового.

Передача данных за пределы Республики Беларусь в страны, которые не обеспечивают надлежащий уровень защиты данных, будет возможна только при наличии определенных оснований:

• есть согласие субъекта персональных данных;

• персональные данные получены на основании договора с субъектом персональных данных;

• персональные данные могут быть получены любым лицом посредством направления запроса;

• передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

• персональные данные обрабатываются в рамках исполнения международных договоров Республики Беларусь;

• передачу осуществляет орган финансового мониторинга;

• на основании разрешения уполномоченного органа (п.1 ст.9 Закона № 99-З).

Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, пока не сформирован и вскоре будет определен новым регулятором.

Ответственность за нарушения в сфере персональных данных

Административная ответственность

Обратите внимание! Разница между предоставлением и распространением персональных данных заключается в том, что: 1) под предоставлением понимают ознакомление с такими данными заранее определенного круга лиц (абз.10 ст.1 Закона № 99-З); 2) под распространением - ознакомление неопределенного круга лиц (чаще всего - размещение информации в общем доступе) (абз.11 ст.1 Закона № 99-З).

Уголовная ответственность

До недавнего времени уголовный закон не содержал специальных составов об ответственности за действия именно с персональными данными. Законом от 26.05.2021 № 112-З УК дополнен двумя новыми статьями:

• 203¹ «Незаконные действия в отношении информации о частной жизни и персональных данных»;

• 203² «Несоблюдение мер обеспечения защиты персональных данных».

При этом ст.179 из УК исключена, а ст.203¹ и 203² размещены в главе о преступлениях против конституционных прав и свобод человека и гражданина (ст.179 ранее размещалась в главе о преступлениях против уклада семейных отношений и интересов несовершеннолетних).

В отличие от зарубежной практики, в Республике Беларусь акцент уголовной ответственности смещается исключительно на разглашающее физлицо.

Дополнительно по теме • Ответственность кадровой службы по защите персональных данных.

Формы документов

1. Обязательство о неразглашении персональных данных работников, полученных при использовании системы видеонаблюдения (пример).

2. Приказ о защите персональных данных работающих (пример).

3. Приказ об определении лиц, имеющих право доступа к персональным данным работников, обрабатываемым организацией (пример).

4. Политика в отношении обработки персональных данных ООО «Рассвет» (пример).

5. Приказ о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (пример).

6. Докладная записка о нарушении работником режима защиты персональных данных (пример).

Примечание. Общий регламент защиты персональных данных, Общий регламент по защите данных, Генеральный регламент о защите персональных данных (англ. General Data Protection Regulation, GDPR; Постановление (Европейский Союз) 2016/679) - постановление Европейского Союза, с помощью которого Европейский парламент, Совет Европейского Союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в Европейском Союзе. Постановление также направлено на экспорт данных из ЕС.

GDPR направлен прежде всего на то, чтобы дать гражданам контроль над собственными персональными данными, и на упрощение нормативной базы для международных экономических отношений.

Дополнительно по теме • В каких случаях нанимателю не требуется согласие работника на обработку его персональных данных?

Исключительное право на данный авторский материал принадлежит ООО «Профессиональные правовые системы»