Закон «О защите персональных данных»: принципы и порядок работы с персональными данными

Защита персональных данных
15 октября, 2021

В Республике Беларусь принят новый закон в сфере регулирования защиты персональных данных. Закон «О защите персональных данных» официально опубликован 14 мая 2021 года. Согласно положениям законодательства Республики Беларусь данный закон вступает в силу через 6 месяцев с момента опубликования, соответственно, в ноябре 2021 года. Это первый закон, посвященный исключительно защите персональных данных в Республике Беларусь.

Данный Закон является фундаментом в обеспечении защиты прав и свобод физических лиц в связи с обработкой их персональных данных, определяет принципы и порядок работы с персональными данными, унифицирует процесс обработки персональных данных и устанавливает гарантии от незаконного распространения, предоставления и использования персональных данных физических лиц как в частности, так и в целом.

Понятие персональных данных и их категории

В первую очередь, на что стоит обратить внимание – Закон вводит понятие персональных данных.

Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Данное понятие теперь охватывает более широкий спектр информации, в отличие от действующего ранее закрытого перечня информации, включавшегося в реестр населения в соответствии с Законом Республики Беларусь «О регистре населения» от 21 июля 2008 г. № 418-З.

Категории персональных данных

Персональные данные подразделяются на:

  • общедоступные персональные данные;
  • специальные персональные данные (включая, но не исключая: биометрические и генетические персональные данные);
  • иные персональные данные.

Разделение на категории персональных данных позволит делить информационные ресурсы, содержащие такие данные, и будет являться базой по определению требований к их защите.

Обращаем внимание, что выделена особая категория данных: специальные персональные данные.

Специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

Обработка персональных данных

Закон закрепляет понятие обработки персональных данных.

Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

Обработка персональных данных охватывает все возможное способы и возможности использования полученных персональных.

В свою очередь обработка специальных персональных данных допускается исключительно при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных.

Цели обработки персональных данных

Закон устанавливает ограничения допустимости сбора и обработки персональных данных.

Обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки.

Перед любой возникающей необходимостью изменения заявленных целей обработки персональных данных установлена обязанность получить согласие субъекта персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных Законом и иными законодательными актами.

Защита персональных данных: специфика обеспечения

Закон отражает существенные и основополагающие требования, предъявляемые для целей определения специфики защиты персональных данных, а именно:

  • требования к обработке персональных данных;
  • согласие субъекта персональных данных и иные основания для целей обработки персональных данных;
  • права субъекта персональных данных и обязанности оператора, принципы защиты;
  • меры по обеспечению защиты персональных данных;
  • уполномоченный орган по защите прав субъектов персональных данных;
  • ответственность за нарушение Закона.

Согласие на обработку и основополагающие требования к компаниям

Обязательным условием перед началом обработки персональных данных является получение согласия на обработку персональных данных от субъекта персональных данных (физическое лицо, в отношении которого осуществляется обработка персональных данных).

Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме, что особенно упрощает процесс ввиду стремительно развивающегося бизнеса на удаленном/дистанционном режиме работы.

Необходимыми для соблюдения мерами по обеспечению защиты персональных данных и обязательными для исполнения компаниями являются:

  • назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
  • издание документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных;
  • ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
  • установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
  • осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

Ответственность

Лица, нарушившие положения Закона, несут ответственность, предусмотренную законодательными актами Республики Беларусь:

  • умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, — влекут наложение штрафа в размере до пятидесяти базовых величин.
  • умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, — влекут наложение штрафа в размере от четырех до ста базовых величин.
  • умышленное незаконное распространение персональных данных физических лиц — влечет наложение штрафа в размере до двухсот базовых величин.
  • несоблюдение мер обеспечения защиты персональных данных физических лиц — влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя — от десяти до двадцати пяти базовых величин, а на юридическое лицо — от двадцати до пятидесяти базовых величин.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных Законом, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Закон «О защите персональных данных» и GDPR (General Data Protection Regulation / Общий Регламент Защиты Персональных Данных)

Принятый Закон «О защите персональных данных» приближен в части защиты персональных данных к европейским стандартам.

GDPR — это общий регламент по защите персональных данных в Европейском Союзе, действующий с 25 мая 2018 года.

Появляется много новых понятий, которые по существу идентичны нормам европейского законодательства:

  • субъект персональных данных (GDPR — data subject) — физическое лицо, в отношении которого осуществляется обработка персональных данных;
  • оператор (GDPR — controller) — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, — физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
  • уполномоченное лицо (GDPR — processor)- государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
  • уполномоченный орган по защите прав субъектов персональных данных (GDPR — data protection authority) – орган планируется к созданию в течение 3 месяцев. Компетенция данного органа будет охватывать: принятие мер по защите прав субъектов персональных данных при обработке персональных данных; осуществление контроля за обработкой персональных данных операторами; определение перечня стран с надлежащим уровнем защиты прав субъектов персональных данных и выдача разрешения на трансграничную передачу и т.д.

В условиях развивающего бизнеса как внутри страны, так и за ее пределами Закон «О защите персональных данных» и GDPR тесно связаны по своим процессам и регулированию защиты персональных данных как комплекса.

В случае, если компания зарегистрирована и действует в Республике Беларусь, она должна соблюдать требования GDPR, если они обрабатывают персональные данные физических лиц, находящихся на территории Европейского Союза.

Подробнее вы можете ознакомиться с особенностями регулирования защиты персональных данных в Европейском Союзе и влиянию GDPR на ведение бизнеса белорусских компаний здесь.

Мы можем помочь

Наша компания предлагает помочь вашему бизнесу по всем аспектам юридического консультирования в части защиты персональных данных на всех этапах ведения хозяйственной деятельности, включая, но не ограничиваясь:

  • анализ процессов вашей компании на соответствие требованиям Закона;
  • оценка эффективности работы модели защиты персональных данных, внедренной в вашей компании либо подготовка модели при ее отсутствии;
  • подготовка драфтов договоров/соглашений/согласий в области, охватывающей защиту персональных данных;
  • подготовка необходимых политик для целей соответствия положениям Закона;
  • проведение обучения ваших сотрудников на предмет освоения новых правил по работе с персональными данными;
  • внедрение процессов по оптимизации работы по защите персональных данных.

 

Эксперты:

Екатерина Костиневич

Партнер / Налоговое и правовое консультирование, аутсорсинг бизнес-процессов

Ангелина Сацук

Юрисконсульт

Поделиться

Быстрая связь

Основные контакты
Заполните форму и нажмите кнопку отправки. Мы свяжемся с вами в ближайшее время
Екатерина Костиневич
+375 17 308 74 50 ekostinevich@assurance.by

    Я согласен на обработку предоставляемых мною персональных данных и c Условиями использования веб-сайтаС Политикой в отношении обработки персональных данных ознакомлен.