Закон «О защите персональных данных»: принципы и порядок работы с персональными данными
В Республике Беларусь принят новый закон в сфере регулирования защиты персональных данных. Закон «О защите персональных данных» официально опубликован 14 мая 2021 года. Согласно положениям законодательства Республики Беларусь данный закон вступает в силу через 6 месяцев с момента опубликования, соответственно, в ноябре 2021 года. Это первый закон, посвященный исключительно защите персональных данных в Республике Беларусь.
Данный Закон является фундаментом в обеспечении защиты прав и свобод физических лиц в связи с обработкой их персональных данных, определяет принципы и порядок работы с персональными данными, унифицирует процесс обработки персональных данных и устанавливает гарантии от незаконного распространения, предоставления и использования персональных данных физических лиц как в частности, так и в целом.
Понятие персональных данных и их категории
В первую очередь, на что стоит обратить внимание – Закон вводит понятие персональных данных.
Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Данное понятие теперь охватывает более широкий спектр информации, в отличие от действующего ранее закрытого перечня информации, включавшегося в реестр населения в соответствии с Законом Республики Беларусь «О регистре населения» от 21 июля 2008 г. № 418-З.
Категории персональных данных
Персональные данные подразделяются на:
- общедоступные персональные данные;
- специальные персональные данные (включая, но не исключая: биометрические и генетические персональные данные);
- иные персональные данные.
Разделение на категории персональных данных позволит делить информационные ресурсы, содержащие такие данные, и будет являться базой по определению требований к их защите.
Обращаем внимание, что выделена особая категория данных: специальные персональные данные.
Специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
Обработка персональных данных
Закон закрепляет понятие обработки персональных данных.
Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Обработка персональных данных охватывает все возможное способы и возможности использования полученных персональных.
В свою очередь обработка специальных персональных данных допускается исключительно при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных.
Цели обработки персональных данных
Закон устанавливает ограничения допустимости сбора и обработки персональных данных.
Обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц.
Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки.
Перед любой возникающей необходимостью изменения заявленных целей обработки персональных данных установлена обязанность получить согласие субъекта персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных Законом и иными законодательными актами.
Защита персональных данных: специфика обеспечения
Закон отражает существенные и основополагающие требования, предъявляемые для целей определения специфики защиты персональных данных, а именно:
- требования к обработке персональных данных;
- согласие субъекта персональных данных и иные основания для целей обработки персональных данных;
- права субъекта персональных данных и обязанности оператора, принципы защиты;
- меры по обеспечению защиты персональных данных;
- уполномоченный орган по защите прав субъектов персональных данных;
- ответственность за нарушение Закона.
Согласие на обработку и основополагающие требования к компаниям
Обязательным условием перед началом обработки персональных данных является получение согласия на обработку персональных данных от субъекта персональных данных (физическое лицо, в отношении которого осуществляется обработка персональных данных).
Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме, что особенно упрощает процесс ввиду стремительно развивающегося бизнеса на удаленном/дистанционном режиме работы.
Необходимыми для соблюдения мерами по обеспечению защиты персональных данных и обязательными для исполнения компаниями являются:
- назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
- издание документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных;
- ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
- установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
- осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
Ответственность
Лица, нарушившие положения Закона, несут ответственность, предусмотренную законодательными актами Республики Беларусь:
- умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, — влекут наложение штрафа в размере до пятидесяти базовых величин.
- умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, — влекут наложение штрафа в размере от четырех до ста базовых величин.
- умышленное незаконное распространение персональных данных физических лиц — влечет наложение штрафа в размере до двухсот базовых величин.
- несоблюдение мер обеспечения защиты персональных данных физических лиц — влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя — от десяти до двадцати пяти базовых величин, а на юридическое лицо — от двадцати до пятидесяти базовых величин.
Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных Законом, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Закон «О защите персональных данных» и GDPR (General Data Protection Regulation / Общий Регламент Защиты Персональных Данных)
Принятый Закон «О защите персональных данных» приближен в части защиты персональных данных к европейским стандартам.
GDPR — это общий регламент по защите персональных данных в Европейском Союзе, действующий с 25 мая 2018 года.
Появляется много новых понятий, которые по существу идентичны нормам европейского законодательства:
- субъект персональных данных (GDPR — data subject) — физическое лицо, в отношении которого осуществляется обработка персональных данных;
- оператор (GDPR — controller) — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, — физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
- уполномоченное лицо (GDPR — processor)- государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
- уполномоченный орган по защите прав субъектов персональных данных (GDPR — data protection authority) – орган планируется к созданию в течение 3 месяцев. Компетенция данного органа будет охватывать: принятие мер по защите прав субъектов персональных данных при обработке персональных данных; осуществление контроля за обработкой персональных данных операторами; определение перечня стран с надлежащим уровнем защиты прав субъектов персональных данных и выдача разрешения на трансграничную передачу и т.д.
В условиях развивающего бизнеса как внутри страны, так и за ее пределами Закон «О защите персональных данных» и GDPR тесно связаны по своим процессам и регулированию защиты персональных данных как комплекса.
В случае, если компания зарегистрирована и действует в Республике Беларусь, она должна соблюдать требования GDPR, если они обрабатывают персональные данные физических лиц, находящихся на территории Европейского Союза.
Подробнее вы можете ознакомиться с особенностями регулирования защиты персональных данных в Европейском Союзе и влиянию GDPR на ведение бизнеса белорусских компаний здесь.
Мы можем помочь
Наша компания предлагает помочь вашему бизнесу по всем аспектам юридического консультирования в части защиты персональных данных на всех этапах ведения хозяйственной деятельности, включая, но не ограничиваясь:
- анализ процессов вашей компании на соответствие требованиям Закона;
- оценка эффективности работы модели защиты персональных данных, внедренной в вашей компании либо подготовка модели при ее отсутствии;
- подготовка драфтов договоров/соглашений/согласий в области, охватывающей защиту персональных данных;
- подготовка необходимых политик для целей соответствия положениям Закона;
- проведение обучения ваших сотрудников на предмет освоения новых правил по работе с персональными данными;
- внедрение процессов по оптимизации работы по защите персональных данных.
Эксперты:
Екатерина Костиневич
Партнер / Налоговое и правовое консультирование, аутсорсинг бизнес-процессов
Ангелина Сацук
Юрисконсульт