Закон беларуси о персональных данных

Закон беларуси о персональных данных

В Беларуси представлен законопроект о защите персональных данных — что у него «внутри»

В конце весны в ЕС вступил в силу регламент GDPR. А месяц назад в США подписали законопроект, обязывающий компании сообщать клиентам и властям об «утечках» данных не позже чем через месяц с момента возникновения инцидента.

В этом году новые законопроекты, связанные с ПД, также появились и в Беларуси. Сперва в апреле этого года парламентарии приняли поправки к закону о СМИ, обязывающие пользователей проходить идентификацию, прежде чем оставлять комментарии на форумах. А теперь власти представили проект закона «О персональных данных».

Под катом рассказываем о его сути и реакции сообщества.

Суть законопроекта

Законопроект предложили в Национальном центре законодательства и правовых исследований Республики Беларусь (НЦЗПИ). В июне делегация от Центра ездила в Париж для встречи с членами Французской комиссии по защите данных (CNIL), чтобы перенять опыт европейских коллег и сразу применить его на практике.

Черновой вариант закона представили в начале июля. В нем шесть глав и двадцать две статьи, в которых описаны правила работы с ПД на территории Беларуси. Обсуждение законопроекта продлится до 11 августа этого года.

Главными действующими «лицами» в документе выступают субъект и оператор персональных данных. Субъект ПД — это человек, данные которого собираются, хранятся или обрабатываются. Оператор ПД — это компания или индивидуальный предприниматель, обрабатывающий ПД на территории Беларуси. Непосредственно под персональными данными регулятор понимает любую информацию, на основании которой можно идентифицировать человека. Этой информацией, в том числе, могут быть биометрические (отпечатки пальцев) и генетические показатели (ДНК).

По тексту законопроекта, субъект ПД имеет право:

  • Давать свое согласие на обработку ПД и отзывать его;
  • Требовать внести в ПД изменения, а также удалить или прекратить их обработку;
  • Получать сведения о том, что его ПД были переданы третьей стороне;
  • Подавать регулятору жалобы на оператора.

Оператор ПД, в свою очередь, обязан получать у субъекта согласие на обработку ПД, разъяснять, для каких целей используются эти данные и защищать их от компрометации.

В статье 17 (на стр.16–17 документа) перечислены необходимые для этого меры. Среди них: создание политик безопасности, установление порядка доступа к ПД, внедрение технической и криптографической защиты информации и другие. Там же отмечено, что для этого компаниям нужно будет руководствоваться положениями Оперативно-аналитического центра при Президенте Республики Беларусь (ОАЦ № 62) — это госорган Беларуси, регулирующий деятельность по защите информации.

Перечень требований к созданию системы защиты информации, устанавливаемый ОАЦ, довольно сложен и включает более 50 пунктов. А организация необходимых механизмов безопасности требует времени и денежных средств. Исходя из этого можно предположить, что предприятиям малого и среднего бизнеса будет сложно самостоятельно выполнить все условия.

Однако новый закон гласит, что оператор может поручить сбор, обработку и распространение ПД третьей стороне, то есть передать её на аутсорс. Этой третьей стороной может быть, например, облачный провайдер, который будет следить за соблюдением требований к безопасности персональных данных.

«Если оборудование облачного провайдера размещается в крупных дата-центрах со строгим пропускным режимом и системами резервирования, это автоматически закрывает часть требований регламента, относящихся к физической защите данных, обеспечению безопасности виртуальной инфраструктуры и проведению аудитов», — рассказывает Сергей Белкин, начальник отдела развития 1cloud.
Например, мы в 1сloud недавно разместили свое оборудование в дата-центре beCloud, расположенном в пригороде Минска. Этот ЦОД сертифицирован по стандарту Tier III, что обеспечивает сохранность и доступность данных и информационных систем в соответствии с законодательством РБ.

Изначально наше решение разместить свое «железо» в белорусском дата-центре не было связано с новым законопроектом — об этом нас еще раньше просили клиенты из Беларуси. Дело в том, что согласно Указу Президента РБ №60 и Постановлению Совета Министров Республики Беларусь №644, коммерческие сайты в РБ должны размещаться на оборудовании, находящемся на территории страны. Однако теперь к этим требованиям добавились и задачи по обработке ПД, часть которых можно «делегировать» местному облачному провайдеру:

«Перекладывая часть задач на плечи вендора, компания экономит время и ресурсы, получая возможность сконцентрироваться на совершенствовании бизнес-процессов, — отмечает Сергей. — Однако важно помнить, что помимо физической безопасности следует также обращать внимание на инфраструктурные особенности дата-центра облачного провайдера: возможности холодильных установок, дублирование критических систем и наличие резервных компонентов — все это влияет на отказоустойчивость систем ЦОД».

Штрафы и наказания

Отметим, что операторам не надо регистрироваться ни в каком реестре. Хранить данные белорусов локально (согласно новому законопроекту) не нужно, однако тут важно учитывать требования все тех же Указа №60 и Постановления №644 — вне зависимости от домена, все сайты юрлиц или ИП в Беларуси должны перейти на белорусский хостинг. Дополнительно компаниям придется назначить ответственного по защите ПД (как в GDPR), который будет отвечать за организацию работы с персональными данными (это может быть как отдельный сотрудник, так и целый отдел).

Размеры штрафов «за несоответствие букве закона» пока не прописаны, однако известно, что нарушители будут нести ответственность, предусмотренную законодательными актами и возмещать субъектам ПД моральный и материальный вред (ст. 20, стр.18–19).

Если данные пользователей оказались украдены, то оператор обязан сообщить регулятору об «утечке» в течение трех дней после того, как об инциденте стало известно. Однако если инцидент был незначительным и не причиняет вреда правам субъекта ПД, то сообщать о нем не придется. Регулятором в этом случае является уполномоченный орган по защите прав субъектов ПД. Согласно статье 18 на стр.17–18 он будет защищать права владельцев персональных данных, рассматривать их жалобы, а также следить за исполнением операторами требований закона (например, удалением или блокировкой недостоверных данных).

Исключения

Закон повлияет на все организации, которые работают с ПД (ИП, юридические лица, владельцы сайтов и прочие): им нужно будет создать политики работы с ПД, назначить DPO, реализовать защитные меры и так далее.

Требования закона будут распространяться как на автоматизированную обработку данных, так неавтоматизированную, когда информация собирается в каталоги и картотеки.

Однако закон предусматривает ряд исключений. Например, получать согласие на обработку ПД не требуется, если жизни и здоровью субъекта угрожает опасность. Исключение также распространяется на журналистов, когда они ведут свою законную профессиональную деятельность, и ученых, которые проводят статистические исследования (при обязательном обезличивании данных). Полный список исключений вы можете найти в статьях 6, 9 официального документа.


/ Flickr / Book Catalog / CC

Мнения о законопроекте

Люди, которые поучаствовали в общественном обсуждении представленного закона, отмечают, что часть формулировок в законопроекте «хромает». Один из пользователей, например, посетовал на избыточность терминов для операций с ПД. Не до конца ясно, зачем каждый раз выделять такие понятия, как «сбор, обработка и хранение», когда можно использовать лишь термин «обработка», как это сделано в GDPR или законе РФ.

Еще один из пользователей Правового форума Беларуси заметил расхождение в требованиях к защите ПД в пунктах 3 и 5 статьи 17. Третий пункт предписывает при организации технической и криптографической защиты руководствоваться приказом ОАЦ, однако в пятом пункте сказано, что классификация (и, соответственно, степень защиты) информационных систем будет определяться иным госорганом.

Еще пользователи посчитали, что определение оператора ПД не дает представления о том, кто он такой, и чем занимается. Они также отметили, что в законопроекте отсутствуют нормы права, устанавливающие полномочия президента и Совета Министров РБ в этой сфере, и понадеялись, что в будущем в тексте будут сделаны соответствующие дополнения, уточнения и изменения.

Обсуждение законопроекта продлится до 11 августа. После этого, если закон примут, у операторов будет год, чтобы подготовиться к его вступлению в силу.

В Беларуси новый закон о персональных данных

Рассказываем, чем он грозит бизнесу, и показываем, что у него внутри.

Тенденции мировой практики по охране личных данных в этом году дошли и до Беларуси. Так, в середине весны 2018 года белорусский парламент принял поправки к Закону «О средствах массовой информации».

В силу нововведенных законодательных требований пользователи Интернета для написания сообщений и комментирования на форумах теперь будут обязаны пройти предварительную идентификацию.

Вскоре после принятия поправок в Закон «О СМИ» был разработан и профильный проект закона «О персональных данных», который уже обсуждается на парламентских заседаниях.

О чем проект закона

В ходе разработки положений нового закона проводились международные консультации с государственными органами стран – членов ЕС с наиболее развитой законодательной базой по вопросам охраны личных данных граждан.

Например, в июне группа разработчиков встречалась с представителями Комиссии по защите данных Франции (CNIL). Целью встречи были не только двусторонние обсуждения профильных вопросов, но и ознакомление белорусских законоведов с опытом их коллег в ЕС.

Итогом консультаций стала ускоренная разработка законопроекта в его черновом варианте, который был представлен для ознакомления и обсуждения уже в начале июля.

Структурно законопроект разделен на 6 глав и 22 статьи. Содержание статей направлено на регламентацию правил работы с персональными данными в Беларуси.

Законопроект определяет двух участников правоотношений, регламентируемых законом:

  • субъект персональных данных или гражданин, чьи персональные данные будут подвергаться хранению и обработке;
  • оператор персональных данных – юридическое лицо или ИП, исполняющий обязанности по сбору, хранению и обработке персональных данных.

Законопроект вводит и определение (понятие) «персональных данных». Под ними будет пониматься совокупность информации, делающей возможной идентифицирование субъекта. В совокупность информации будут входить любые сведения, в том числе относящиеся к биометрии и генетике. Отдельные положения проекта посвящены правам и обязанностям субъектов и операторов персональных данных.

Проект предполагает, что субъект будет обладать нижеперечисленными правами:

  • соглашаться или отказывать от акцепта на обработку персональных данных;
  • требовать от оператора ПД внесения изменений в свои персональных данных;
  • получать от оператора персональных данных сведения о том, передавались ли ПД субъекта любому третьему лицу;
  • обжаловать действия оператора персональных данных.

Оператор наделен в законопроекте следующими обязанностями:

  • обязательство получить согласие субъекта на обработку его персональных данных;
  • обязательство сообщать субъекту о целях использования его персональных данных;
  • обязательство недопущения компрометации персональных данных субъекта.

Регламентация действий оператора персональных данных представлена в статье 17 законопроекта. В частности, действия оператора должны будут включать в себя:

  • разработку и применение политики безопасности персональных данных;
  • разработку и применение норм доступа к персональным данным;
  • разработку и применение действенных средств технической и криптографической защиты персональных данных.

Также статья 17 вводит обязательность осуществления деятельности операторов персональных данных в соответствии с Положениями головного государственного органа по защите информации – Аналитического центра при Президенте Республики Беларусь (ОАЦ).

Директивы по безопасности

Методика разработки и ввода системы защиты персональных данных, включает в себя более 50 номинаций, исполнение большинства из которых будет дорогостоящим и времезатратным. В силу этого стоит предположить, что малый и средний бизнес не справится с требованиями по защите персональных данных.

Некоторую надежду вселяет положение законопроекта о предоставляемой оператору возможности обратиться к помощи аутсорсинга, то есть возможности возложить сбор, обработку и хранение персональных данных на третью сторону.

В случае размещения оборудования облачного провайдера в крупных центрах хранения данных с развитыми системами резервирования и строгим пропускным режимом, часть требований регламента, относящихся к физической защите данных, обеспечению безопасности виртуальной инфраструктуры и проведению аудитов, будет закрыта

К примеру, 1сloud совсем недавно разместил свое оборудование в дата-центре beCloud в пригороде Минска. Центр получил сертификацию по стандарту Tier III, то есть обладает способностью обеспечения сохранности и доступа к персональным данным в полном соответствии с законодательством Беларуси.

Проект размещения оборудования в данном центре первоначально не был связан с законопроектом «О персональных данных». Были лишь пожелания и приглашения партнеров и клиентов из Беларуси.

Необходимость размещения оборудования именно на территории Беларуси обусловлена требованиями Указа Президента РБ (№60) и Постановлением Совмина РБ (№644). В соответствии с этими правительственными актами любые коммерческие сайты в Беларуси должны размещаться только на оборудовании, дислоцированном на территории РБ.

В связи с разработкой Законопроекта «О персональных данных» к вышеизложенным требованиям добавились и требования, связанные с обработкой персональных данных, часть которых можно переложить на местного облачного провайдера.

Из слов Сергея Белкина следует, что перекладывая часть проблем, связанных с исполнением закона «О персональных данных» на вендора, компания сможет экономить и время, и деньги, занимаясь исключительно вопросами прибыльности бизнеса.

Правовые санкции

Основным условием хранения персональных данных граждан Беларуси станет переход на беларуский хостинг. Никаких дополнительных реестров не предусмотрено.

В штатном расписании потребуется учреждение должности ответственного по защите персональных данных или учреждение дополнительного отдела. Все зависит от объема работы и возможностей оператора.

Санкции, то есть виды наказаний за неисполнение предписаний закона, пока не введены. Думается, что после принятия закона и административный, и уголовный кодексы пополнятся новыми статьями. Пока за нарушение правил сохранности ПД наступает либо гражданская ответственности, либо деяние квалифицируется по сходным статьям уголовного и административного кодексов.

В случае возможных хищений данных оператор будет обязан известить о факте хищения правоохранительные органы в течение 3 дней с момента обнаружения «утечки». Одновременно информация должны быть направлена в орган по защите прав субъектов ПД. В случае незначительности «утечки» либо при отсутствии пагубных последствий «утечки» для субъектов извещение регулятора и правоохранительных органов не будет обязательным.

В соответствии с положениями законопроекта, будет учрежден центральный орган по защите прав субъектов ПД. На орган будут возложены обязанности:

  • рассмотрения заявлений граждан по вопросам их персональных данных;
  • наблюдения за исполнением закона операторами;
  • защиты прав субъектов.

Юрисдикция закона

Положения законопроекта, в случае его принятия, повлияют на все без исключения организации, задействованные в обработке персональных данных в Беларуси.

  • Возникнет необходимость в разработке методик работы с ПД и политики обеспечения безопасности ПД.
  • Потребуется разработка автоматизированных систем обработки, а также неавтоматизированных картотек и каталогов.

При этом законопроект предусматривает некоторые исключения из общих правил. К примеру, снимается директивность требования по получению согласия лица на обработку его данных в случаях:

  • угрозы жизни и здоровью лица;
  • угрозы жизни и здоровью населения;
  • когда данные истребуются лицами, осуществляющими законную журналистскую деятельность;
  • когда данные истребуются учеными, осуществляющими статистические исследования.

То есть в основе исключений лежат некие экстраординарные события, способные причинить значительный ущерб субъектам ПД.

В статье 6 законопроекта приведен полный список исключений.

«Правовой форум» о законопроекте

Большинство экспертов и специалистов, принявших участие в общественном обсуждении законопроекта, пришли к выводу, что законопроект несовершенен и некоторые его части нуждаются в доработке.

Высказавшиеся по поводу законопроекта пользователи «Правового форума» Беларуси отмечают:

  • излишнее отягощение текста закона специальной терминологией и избыточность формулировок;
  • противоречия в статье 17, касающейся вопросов обеспечения безопасности ПД. Так, в статье пункт 3, регламентирующий организацию защиты со стороны ОАЦ, противоречит пункту 5, в котором организация защиты относится к компетенции иного госоргана;
  • неполноту определения понятия оператора ПД и сферы его деятельности;
  • отсутствие в законе норм, определяющих правомочия Президента и Совмина РБ в вопросах защиты персональных данных.

Вступление закона в силу

Обсуждение законопроекта закончилось в августе этого года. Проект принят Палатой представителей и одобрен Советом Республики. Подробный текст закона размещён на официальном сайте.

Национальный центр законодательства и правовых исследований Беларуси – о защите персональных данных

В Беларуси разработан проект закона «О персональных данных». Этот системный, комплексный документ станет важным шагом в защите персональных данных, а также установит для госорганов и физлиц понятные правила работы с личной информацией. Какие вопросы планируется урегулировать законопроектом, рассказали в Национальном центре законодательства и правовых исследований Беларуси.

Как пояснили в НЦЗПИ, под персональными данными понимается любая информация, которая относится к конкретному физическому лицу или физлицу, которое может быть идентифицировано на ее основании. Сегодня это не только паспортные данные, сведения об образовании, обладании недвижимостью, семейном положении, но и субъективные мнения, касающиеся того или иного человека (например, служебная характеристика, докладная о привлечении к дисциплинарной ответственности и др.). Сюда же можно отнести видеозаписи, фотографии, на которых указан человек, сведения о его политических воззрениях, участии в тех или иных общественных объединениях и многое другое.

При этом те или иные сведения относятся к персональным данным вне зависимости от формы их существования. Это может быть текст, фото, рисунок, аудио или видеозапись, е-mail и др. Исчерпывающего или примерного перечня таких данных нет, что обусловлено их разнообразием.

В проекте закона оговаривается, что для совершения каких-либо действий с персональными данными госорганам, юридическим и физическим лицам, в том числе ИП, необходимо получить согласие соответствующего лица. В законе планируется закрепить наряду с письменной формой возможность получать такое согласие в электронной форме, в том числе без использования электронной цифровой подписи. Речь идет о проставлении отметки на интернет-ресурсе, указании кода после получения SMS-сообщения и др.

В некоторых ситуациях согласие физического лица не потребуется. Это касается в том числе осуществления правосудия, уголовного преследования, ведения административного процесса, контроля за соблюдением налогового законодательства, назначения и выплаты пенсий.

В законопроекте закреплен широкий круг прав физических лиц. Так, граждане смогут отзывать свое согласие на действия с персональными данными, ознакамливаться с ними и изменять, знать, кто имел доступ к их личной информации и др. Законопроект «О персональных данных» также предусматривает, что физлица могут требовать прекращения сбора, обработки (за исключением обезличивания), распространения, предоставления своих персональных данных, а также их удаления, если нет законных оснований для таких действий.

Что касается защиты прав субъектов персональных данных, эти функции возложат на уполномоченный орган. Конкретный орган будет определен актом главы государства.

Подобные нормативные акты приняты более чем в 100 странах мира, в том числе в России, Украине, Казахстане, Молдове, Словакии, Германии, Финляндии, Швеции, Эстонии. Белорусский законопроект разработан в соответствии с положениями международных документов, в первую очередь Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных №108 от 28 января 1981 года, но с учетом национальных особенностей.

В НЦЗПИ уверены, что принятие закона позволит обеспечить надлежащий уровень защиты персональных данных в государстве и будет способствовать развитию бизнеса, торгово-экономических отношений Беларуси с другими государствами.

Закон о персональных данных планируется подготовить в 2018 году

5 февраля, Минск /Корр. БЕЛТА/. Закон о персональных данных планируется подготовить в 2018 году. Об этом сегодня на пресс-конференции в пресс-центре БЕЛТА сообщил директор Национального центра законодательства и правовых исследований Вадим Ипатов, передает корреспондент БЕЛТА.

«План законотворчества на 2018 год содержит очень важную инициативу — разработку закона о персональных данных. Такого системного, комплексного документа у нас в стране не было — проведена очень большая работа. Она начиналась с формирования концепции соответствующего законопроекта. В ее разработке помимо НЦЗПИ принимали участие большое количество госорганов — в первую очередь МВД, КГБ, Верховный суд, Следственный комитет, Минюст и другие, поскольку нам необходимо было определиться, как в дальнейшем совершенствовать эту сферу», — сказал Вадим Ипатов.

Как проинформировал директор НЦЗПИ, на сегодня отработана концепция, она согласована на самом высоком уровне. «Сейчас мы приступаем к разработке непосредственно закона. В нем будет использоваться международный опыт, опыт регулирования в европейский странах. Причем с учетом наших национальных интересов, с учетом правоприменительной практики и с участием госорганов. Я думаю, это будет важный шаг вперед в защите персональных данных, а также в защите прав и обязанностей госорганов, которые работают с персональными данными», — подчеркнул он.

Конституцией Беларуси в статье 28 закрепляется важнейшее конституционное право — право каждого на защиту от незаконного вмешательства в его личную жизнь. Вместе с этим в Беларуси отсутствует комплексное правовое регулирование порядка работы с персональными данными физлиц. Это нередко приводит к нарушению указанного права и вызывает затруднения в практической деятельности.

В условиях глобализации информационных процессов в международной практике выработаны единые подходы к защите персональных данных, воспринять которые с учетом особенностей национальной правовой системы необходимо и Беларуси. «В ином случае мы не можем быть вовлечены в процессы трансграничной передачи персональных данных физических лиц и будем оставаться для мирового сообщества государством с ненадлежащим уровнем их правовой защиты», — добавил директор НЦЗПИ.

Принятие закона с учетом общеевропейских подходов к защите персональных данных позволит устранить препятствия для развития бизнеса, связанного с информационными технологиями. Основная идея законопроекта — поиск разумного баланса между защитой персональных данных, развитием информационных технологий и необходимостью выполнения государственных функций.

В законопроекте планируется закрепить порядок трансграничной передачи персональных данных и случаи, когда обработка персональных данных может осуществляться без согласия граждан. Устанавливается определение категорий общедоступных персональных данных, которые не подлежат защите, и специальных персональных данных, подлежащих дополнительной защите.

Предполагается регулирование вопросов контроля и общих положений об ответственности в сфере обращения с персональными данными, компетенции уполномоченного органа по защите прав субъектов персональных данных.

Как рассказал Вадим Ипатов, сейчас в Палате представителей на рассмотрении находятся два законопроекта. Один из них предусматривает внесение изменений и дополнений в закон о регистре населения и второй, который будет корректировать закон об электронном документе и электронной цифровой подписи.-0-

Регулирование персональных данных в Беларуси: что нужно знать

В последнее время вопрос защиты персональных данных все более на слуху: он постоянно фигурирует в СМИ, на него обращают внимание как частный сектор, так и государство. В конечном итоге и обычные граждане задумываются, что происходит с той личной информацией, которую о них собирают государственные органы и частные компании: уж слишком много ситуаций, в которых нашим гражданам необходимо делиться своей частной информацией – от регистрации в поликлинике и до использования большинства интернет-ресурсов.

В зарубежных странах законодательство о защите персональных данных отличается динамичностью – так в Европейском союзе в прошлом году был принят новый Регламент о защите персональных данных взамен старой Директивы, в Российской Федерации значительно увеличился размер административных санкций за нарушения, связанные с неправомерным сбором, хранением, обработкой и использованием персональных данных, в США происходят нескончаемые дебаты о пределах вмешательства государства в личную жизнь человека.

В Беларуси на этом фоне тема защиты персональных данных выглядит побочной повесткой: только в этом году планируется утвердить концепцию закона о персональных данных и в 2018 году уже принять сам закон.

Тимофей Савицкий, юридическая фирма COBALT, рассмотрит основные аспекты защиты персональных данных, которые на настоящий момент урегулированы белорусским законодательством.

Что такое персональные данные?

В соответствии Закон Республики Беларусь от 10.11.2008 N 455-З (ред. от 11.05.2016) «Об информации, информатизации и защите информации» (далее – Закон об информации), персональные данные — основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами Республики Беларусь внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо. Персональные данные относится к информации, распространение и предоставление которой ограничено.

Закон Республики Беларусь от 21.07.2008 N 418-З (ред. от 04.01.2015) «О регистре населения» (далее – Закон о регистре населения) определяет следующие основные персональные данные: идентификационный номер, фамилия, собственное имя, отчество, пол, число, месяц, год рождения, место рождения, цифровой фотопортрет, данные о гражданстве (подданстве), данные о регистрации по месту жительства и (или) месту пребывания, данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным.

Дополнительными персональными данными, в соответствии с Законом о регистре населения, являются: данные о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица, о высшем образовании, ученой степени, ученом звании, о роде занятий, о налоговых обязательствах и некоторые иные.

Закон об информации содержит расширительную формулировку «и иные данные, позволяющие идентифицировать такое лицо», что свидетельствует о том, что белорусское законодательство не ограничивается перечнем, установленным Законом о регистре населения, но распространяет свое действие на любую информацию, способную идентифицировать определенное лицо.

Закон об информации, тем не менее, не уточняет, о какой идентификации идет речь – прямой или косвенной. Некоторые виды данных (например, IP-адрес) могут лишь косвенно идентифицировать субъекта – в совокупности с иными данными. В законодательстве большинства западных государств подобный аспект урегулирован и «косвенные» персональные также подлежат такой же защите, как и «прямые». Белорусское законодательство пока не содержит таких деталей.

Обязательное письменное согласие на сбор, обработку, хранение и пользование

В соответствии с Законом об информации при сборе, обработке, хранении персональных данных необходимо получать согласие физического лица, к которому эти персональные данные относятся. При этом, согласие должно быть дано в письменной форме.

Ни Закон об информации, ни иные нормативно-правовые акты не уточняют, что подразумевается под согласием в «письменной форме». Гражданский кодекс лишь содержит определение того, чем является совершение сделки в письменной форме, – к нему, например, относится и обмен факсимильными подписями и иными аналогами подписей.

Применение подобного положения возможно по аналогии и к выражению согласия на сбор, обработку, хранение и пользование персональными данными. Тем не менее, в отсутствие четкого указание на форму согласия в законодательстве, многие субъекты (например, визовые центры при обработке анкет) вынуждены собирать подписи «вручную» — при помощи форм-согласий, которые подписываются лицом, к которому относятся персональные данные.

Подобное положение, к слову, затрудняет работу многим компаниям – простых кликов «я согласен» в некоторых случаях бывает недостаточно, и формально может возникнуть нарушение Закона об информации. Некоторые компании (в частности, онлайн-магазины) включают согласие на сбор персональных данных в публичные договоры (договоры присоединения), заключение которых возможно простым присоединением (например, покупкой товара в магазине). Законодательно они приравниваются к письменным. Тем не менее, здесь речь опять-таки идет о письменной форме договора, а не согласия как такового.

Принятие мер по защите персональных данных

Закон об информации налагает обязательство на любое лицо, собирающее персональные данные, принимать меры по их надлежащей защите до момента, когда лицо, к которому относятся персональные данные, дает согласие на их разглашение либо до момента обезличивания персональных данных.

Закон не содержит точных указаний на то, какими эти меры должны быть. Тем не менее, исходя из практики и применяемых подзаконных актов, под защитой персональных данных как информации, распространение которой ограничено, понимаются организационные и технические меры защиты (например, предусмотренные приказом ОАЦ № 62). К организационным мерам может относится принятие внутренних положений по работе с персональным, к техническим – применение криптографической защиты.

Обязательное письменное согласие на последующую передачу персональных данных

Как и в случае со сбором персональных данных, любой трансфер нуждается в отдельном письменном согласии лица, к которому эти персональные данные относятся. Такое согласие может быть получено непосредственно при сборе персональных данных. Здесь, тем не менее, также возникает вопрос о возможности получения электронного согласия.

С учетом того, что трансграничная передача данных сейчас стала нормальной практикой (особенно в ИТ-сфере), необходимость получения согласия в письменной форме не способствует упрощению и ускорению информационного обмена.

Право на ознакомление с персональными данными

Любое лицо, о котором собираются персональные данные, имеет право на ознакомление с тем, какие и в каком объеме персональные данные содержатся о нем в определенных системах (у определенных лиц).

Ответственность за нарушение законодательства о персональных данных

Административной ответственности за нарушение законодательства о персональных данных пока нет. В настоящий момент известно, что в КоАП будут вноситься изменения, согласно которым за нарушение законодательства о персональных данных будет налагаться штраф до 20 базовых величин.

Уголовный кодекс содержит статью 179 («незаконное собирание либо распространение информации о частной жизни), однако на практике она не применяется для ситуаций по незаконному разглашению и распространению персональных данных.

Что дальше?

Как видно из анализа текущего законодательства Республики Беларусь в области защиты персональных данных, в настоящее время оно достаточно фрагментарно и затрагивает лишь следующие аспекты:

  1. Дефиницию персональных данных;
  2. Необходимость получения письменного согласия при сборе, обработке, хранении, пользовании и последующей передаче персональных данных;
  3. Обязанность по принятию мер по защите персональных данных;
  4. Право субъектов на получение информации о том, какие персональные данные о нем собраны и в каком объеме.

В законодательстве пока не содержится разграничения на чувствительные (например, данные о здоровье) и нечувствительные персональные данные (у чувствительных данных большая защита), конкретных обязанностей обработчиков персональных данных и прав субъектов персональных данных, санкций за нарушение законодательства о персональных данных и многих иных принципов, принятых в европейских государствах, Российской Федерации и многих других странах.

Отсутствие профильного регулирования имеет ряд негативных последствий как для граждан, так и для бизнеса, таких как, например, низкая защита прав и интересов граждан, неопределенность международного бизнеса при выходе на рынок Беларуси, противоречивость применения норм действующего законодательства. Закон о персональных данных (2018) ставит свой целью разрешить выделенные проблемы.

Проект закона о персональных данных: больше защиты и обязанностей

На общественное обсуждение вынесен проект Закона Республики Беларусь
«О персональных данных».

В проекте дается определение, в частности, персональных данных: это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано на основании такой информации. Приводится определение сбора персональных данных: это действия, направленные на получение персональных данных субъекта персональных данных, включая аудиозапись, фото- и видеосъемку. По общему правилу на сбор, обработку, распространение, предоставление персональных данных потребуется получить согласие физлица. Вместе с этим в ряде случаев такие действия допускаются без его согласия. В частности, для осуществления правосудия, исполнения судебного постановления и иных исполнительных документов; в целях заключения, исполнения договора, одной из сторон которого является субъект персональных данных. Организации и физические лица, в том числе ИП, которые имеют дело с персональными данными, названы операторами. Для них установлен ряд обязанностей. Так же будет определен уполномоченный орган по защите прав субъектов персональных данных.

В настоящее время в отношении персональных данных физических лиц в Республике Беларусь действует Закон «Об информации, информатизации и защите информации». Персональные данные согласно Закону – это сведения о физическом лице, которые вносятся в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо. Понятие сбора персональных данных Закон не дает.

Субъектам хозяйствования Республики Беларусь, которые работают на территории Евросоюза, важно знать, что на этой территории с 25 мая 2018 г. применяется Общий регламент о защите персональных данных (GDPR) — Регламент (ЕС) N 2016/679 Европейского парламента и Совета ЕС о защите физических лиц при обработке персональных данных и о свободном обращении таких данных.

Смотрите еще:

  • Заявление на получение патента индивидуального предпринимателя Образец заявления на получение патента по форме 26.5-1 на 2018 год Патентная система налогообложения – это единственный специальный режим, доступный только индивидуальным предпринимателям. Чаще всего купить патент […]
  • Трудовой кодекс рб статья 47 Статья 48. Трудового кодекса РБВыходное пособие Выходное пособие выплачивается в случаях, предусмотренных настоящим Кодексом и иными актами законодательства, коллективным договором, соглашением. При прекращении […]
  • Чернобай татьяна адвокат Чернобай татьяна адвокат Спиридонов Сергей Закончил Российскую академию государственной службы. До 2001 года - старший консультант правового отдела Нотариальной палаты Волгоградской областиа; с 2001 года по 2008 […]
  • Земля под ижс в железногорске Купить участок под ИЖС без посредников в Железногорске Средняя стоимость участка земли под ижс в Железногорске 415 000 рублей, цена за сотку - 14 000 рублей. Продается два земельных участка по 15 соток (общей площадью […]
  • Протокол 1 родительских собраний в 11 классе Материал (11 класс) на тему: Протокол родительского собрания в 11 классе Протокол №2 родительского собрания 11 класса МБОУ «Поведниковская СОШ» г.о. Мытищи от «18» апреля 2017 г. Предварительный просмотр: 11 класса […]
  • Налоговый кодекс рф статья 126 Статья 126. Непредставление налоговому органу сведений, необходимых для осуществления налогового контроля 1. Непредставление в установленный срок налогоплательщиком (плательщиком сбора, плательщиком страховых взносов, […]