Палата Представителей во втором чтении приняла проект закона «О защите персональных данных». Рассмотрим его подробнее.

Появился текст проекта закона «О защите персональных данных» (Закон), который был принят во втором чтении Палатой представителей. Есть высокая вероятность, что Закон вступит в силу именно в таком виде. 

Что же он изменит в регулировании персональных данных? 

1.    В Беларуси появится определение персональных данных.

Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано. 

Эта концепция очень схожа с концепцией определения персональных данных в GDPR, но для белорусской правовой системы немного не привычная. Мы привыкли, что есть четкий перечень того, что подразумевается под тем или иным понятием, но белорусский законодатель отошел от этого подхода и правильно сделал – в современном мире невозможно составить исчерпывающий перечень персональных данных.

Попробуем разобраться с тем, что может относиться к персональным данным по Закону на примере мировой практики. 

ВАЖНО окончательное решение в том, что будет относиться к персональным данным, а что нет, будет зависеть от того, как пойдет практика применения Закона (то есть от позиции правоприменительных органов). 

Итак, персональные данные – это:

1)    любая информация
«любая» может означать, что такая информация не будет ограничена по форме (в том числе видео, аудио, цифровые, графические и фотографические материалы могут содержать персональные данные), а также может содержать как объективную информацию (к примеру, возраст лица), так и субъективную (к примеру, оценка психологического состояния человека).

2)    относящаяся к идентифицированному физическому лицу 
Базово, если вы можете отличить одного человека от других – этот человек идентифицирован. К примеру, часто можно идентифицировать человека по его ФИО (то есть ФИО здесь – это персональные данные, которые идентифицируют человека).

Информация, «относящаяся к идентифицированному физическому лицу» – это соответственно любая информация, которая относится к человеку, которого вы уже идентифицировали. К примеру, его работа, имущество, звания, увлечения и так далее до бесконечности: все это при определенных условиях тоже является персональными данными. 

3)    физическому лицу, которое может быть идентифицировано. 

Если вы не можете идентифицировать человека сразу, но это возможно сделать потом, сопоставив имеющуюся у вас информацию с другой (с той, которую также вы имеете либо доступ к которой можно получить через третьих лиц), то такое лицо «может быть идентифицировано». К примеру, у вас есть только имя человека – не всегда по имени вы можете установить, кто это конкретно. Но сопоставив эту информацию с рядом другой информации, к примеру, с локацией, ростом, описанием внешности, такой человек может быть идентифицирован.

Данные о вашем девайсе

Также важно понимать, что в мировой практике персональные данные относятся не только к конкретному человеку, но и к его девайсам (к примеру, IP адрес). К персональным данным также относятся другие идентификаторы (к примеру, IDFA, Google Advertising ID), информация о пользовательском поведении (на какие разделы сайта пользователь этого девайса заходил и что просматривал), полученная, к примеру, с помощью cookies. В Беларуси больше привыкли к тому, что персональные данные – это что-то о конкретном человеке, но не об устройствах, которые он использует. Но в современном мире интернет-технологий владеть информацией о девайсе пользователя и его действиях в сети зачастую намного интереснее для бизнеса, чем знать ФИО и адрес этого человека. К примеру, информация о девайсе и о поведении пользователя используется для показа персонифицированной рекламы для такого пользователя. Закон пока не содержит прямого ответа на вопрос, будет ли такая информация относиться к персональным данным в Беларуси. По этому вопросу нужно будет ждать разъяснений от правоприменительного органа.

На каком основании данные могут обрабатываться
Закон предусматривает согласие как главное основание для обработки данных, и только в перечисленных исключениях согласие не требуется, к примеру: 
  • при исполнении (заключении) договора с субъектом данных, в частности в рамках трудовых отношений, 
  • в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами, 
  • в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами и др. 
Согласие на обработку персональных данных

Если же обработка персональных данных производится на основании согласия, то Закон устанавливает требования к согласию.

Это очень важно: не любое «согласие» теперь будет считаться исполнением ваших обязанностей по закону.

Согласие должно соответствовать определенным критериям:

  1. Согласие может быть дано в письменной форме, в форме электронного документа или иного документа в электронной форма, в том числе путем проставления галочки.

    Наконец-то решен вопрос с тем, что раньше в Беларуси можно было получать согласие только в письменной форме, что практически нереально для онлайн-сервисов.

  2. Закон также говорит о том, что согласие субъекта «представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных».

    Попробуем разобраться, что значат эти слова.

 

А. Согласие должно быть свободным

В мировой практике это означает, что у человека должна быть реальная возможность дать свое согласие или не соглашаться на обработку его персональных данных.

К примеру, если для получения услуг пользователя вынуждают дать согласие на обработку его персональных данных, такое согласие не считается свободным. В таких случаях данные, в необходимом для оказания услуг объеме (это важно), должны обрабатываться на основании «договора», а не согласия.  

Б. Согласие должно быть информированным

Это означает, что оператор должен донести до пользователя ряд информации: 

  • его наименование и место нахождения;
  • цели обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъектом персональных данных;
  • срок, на который дается согласие субъекта персональных данных;
  • информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
  • перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
  • разъяснение прав субъекта персональных данных.

В. Согласие должно быть однозначным выражением воли лица

Это означает, что не должно быть сомнений, что согласие было дано.

К примеру, баннер «Продолжая пользоваться нашим сервисом, вы соглашаетесь на обработку ваших персональных данных» уже не будет валиден, потому что пользователь не дал свое однозначное согласие на это.

Очень важно отметить, что теперь согласие должно предоставляться на определенные цели обработки данных (то есть вы должны рассказать пользователю, как будут использоваться его данные), а если цели меняются – вы должны получить новое согласие. 

Привлечение к обработке данных третьих лиц

Если вы поручаете обработку данных третьему лицу (к примеру, вы привлекли компанию, которая осуществляет техподдержку вашего приложения, и она оперирует персональными данными ваших пользователей, подключаете рекламный сервис, сервис аналитики и т.д.), между вами как оператором и такой компанией должен быть заключен договор, где должны быть зафиксированы: 

  • цели обработки персональных данных;
  • перечень действий, которые будут совершаться с персональными данными этим третьим лицом;
  • обязанности по соблюдению конфиденциальности персональных данных;
  • меры по обеспечению защиты персональных данных.

Если такое третье лицо находится за пределами Республики Беларусь (к примеру, вы подключили Google Ads для измерения эффективности рекламы в вашем приложении, а Google Ads получает доступ к данным ваших пользователей, чтобы эту эффективность измерить), то важно иметь в виду, что передача данных за границу базово запрещена, но этот вопрос может быть решен, к примеру, получением согласия пользователя на такую передачу.

В то же время требования о локализации (хранении) данных (как в России) всех белорусских пользователей на территории Республики Беларусь Закон не вводит. 

Самое важное для пользователей

Самое важное для пользователей – это то, что Закон дает пользователям определенные права по отношению к их персональным данным:

  • право на отзыв согласия,
  • право на получение информации об обработке данных,
  • право на получение информации о предоставлении данных третьим лицам,
  • право требовать удаления данных или прекращения их обработки. 

Реализовать эти права можно путем подачи заявления в письменном виде либо в виде электронного документа (то есть подписанный электронной цифровой подписью). Такая форма подачи заявления значительно затруднит процесс реализации прав пользователей. В мировой практике часто «заявления» подаются просто в форме письма на адрес электронной почты компании в свободной форме.

Упрощение процедуры реализации прав пользователей оказало бы положительный эффект на развитие вопроса персональных данных в нашей стране в целом. Пользователей много и у них намного больше ресурсов отслеживать нарушения их прав, чем у госорганов, и они наиболее заинтересованы в том, чтобы их права соблюдались. Так, в мире, бóльшая часть жалоб в отношении бизнеса инициируются именно пользователями, в результате чего у бизнеса больше мотивации соблюдать законодательство. 

Обязанности для бизнеса

У бизнеса также появляется ряд обязанностей:

  • назначить лицо, ответственное за вопросы обработки персональных данных (DPO),
  • разработать политику в отношении обработки персональных данных,
  • провести инструктаж работников и т.д. 

Закон также предусматривает создание отдельного органа по защите прав субъектов персональных данных

ВАЖНО Закон вступит в силу через 6 месяцев после его официального опубликования (а не через 1 год, как было в прошлой версии Закона).