Обзор нового Закона о защите персональных данных

14 мая был опубликован Закон о защите персональных данных. Он вступит в силу через 6 месяцев, то есть 15 ноября 2021 года. В течение 3 месяцев должен быт создан уполномоченный орган по вопросам защиты персональных данных. 

Закон кардинально меняет правила работы с персональными данными в Беларуси, поскольку раньше, как такового законодательства о защите персональных данных в Беларуси не было.

Что поменяется в работе бизнеса со вступлением в силу Закона? Разбираемся вместе с Алёной Поторской, ведущим юристом практики IT/IP REVERA law firm.

Вводится определение персональных данных

Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Это определение очень схоже с определением, закрепленным в GDPR, но оно не привычно для белорусской правовой системы. Раньше в Беларуси был закрытый перечень персональных данных – в него входила только информация, которая вносится в реестр населения (ФИО, дата рождения, пол, адрес регистрации и т.д.). С введением нового определения предполагается, что объем информации, которая будет относиться к персональным данным, будет значительно шире. 

Для IT бизнеса зачастую большую долю данных, с которыми он работает, составляют данные об устройствах пользователей (IP адрес, локация, рекламные идентификаторы (IDFA, Google Advertising ID), информация о пользовательском поведении (на какие разделы сайта пользователь заходил и что просматривал). Закон пока не содержит однозначного ответа, будет ли относиться такая информация к персональным данным, но в соответствии с общемировыми подходами –  должна. 

Детализируются основания для обработки персональных данных

Обработка персональных данных будет возможна при наличии согласия субъекта данных. То есть Закон предусматривает согласие как главное основание для обработки данных (в отличие от GDPR, где к согласию можно обратиться только, если остальные основания такие как жизненный интерес, договор, требования закона, публичный интерес, законный интерес – не применимы). 

Согласие не требуется только в предусмотренных Законом случаях. В частности, в рамках заключения и исполнения договора с субъектом данных, в том числе в рамках трудовых отношений.

Обращаем внимание, что Закон не упоминает такое основание для обработки данных, как законный (легитимный интерес), на которое компании, в частности IT, которые работают на европейский рынок, часто ссылаются, к примеру, для осуществления рассылки. К примеру, вы делаете рассылку для своих клиентов, предлагая им свои услуги, скидки и другие предложения. В этом случае при определенных условиях по GDPR вы можете не получать согласие пользователя, а ссылаться на законный интерес. В Беларуси такие действия могут быть совершены только при наличии согласия субъекта. 

Появляются требования к согласию

Раньше согласие должно было быть получено в письменной форме, что практически невозможно для онлайн-бизнеса. Закон решает эту проблему и предусматривает, что согласие может быть дано в письменной форме, в форме электронного документа или иного документа в электронной форма, в том числе путем проставления галочки.

Закон также говорит о том, что согласие субъекта «представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных». 

У компании появляется ряд обязательств по защите персональных данных: 

1.    Назначить лицо или отдел, ответственные за защиту персональных данных в компании.
2.    Разработать политику компании в отношении обработки персональных данных и сделать ее доступной для неограниченного круга лиц (в том числе посредством сети Интернет).
3.    Провести обучение работников работе с персональными данными.
4.    Установить порядок доступа к персональным данным.
5.    Осуществлять техническую и криптографическую защиту персональных данных.

Закон регламентирует вопросы передачи персональных данных 

Сейчас законодательство Республики Беларусь содержит только положение о том, что передача данных третьим лицам возможна с письменного согласия лица на такую передачу. Закон же регулирует отношения между оператором и уполномоченным лицом, а также вводит правила передачи данных за пределы Республики Беларусь.

Если вы поручаете обработку данных другому лицу от вашего имени (уполномоченное лицо), в договоре между вами и таким лицом должны быть предусмотрены (1) цели обработки данных, (2) действия, совершаемые с данными, (3) обязательство о конфиденциальности, (4) меры по защите данных.

В мировой практике такие уполномоченные лица называются «процессорами» и к ним, в частности, можно при определенных условиях отнести сервисы аналитики, рекламы, платежные сервисы и другие.  

Передача данных за пределы Республики Беларусь в страны, которые не обеспечивают надлежащий уровень защиты данных (списка таких стран пока нет, но должен быть разработан, к примеру, для ЕС такой страной является Беларусь, США и др.) будет возможна только при наличии определённых оснований. К примеру, если получено согласие субъекта данных на такую передачу, при условии, что субъект уведомлён о рисках такой передачи.

У субъектов появляются права распоряжаться своими данными 

Бизнесу нужно будет подготовиться к тому, что Закон даёт пользователям право определённым образом распоряжаться своими данными. У пользователей будет право на отзыв согласия, право на получение информации об обработке данных, право на внесение изменений в персональные данные, право на получение информации о предоставлении данных третьим лицам, право требовать удаления данных или прекращения их обработки.
 
Обращаем внимание, что реализация прав пользователей будет несколько труднее, чем в соответствии с GDPR. К примеру, субъект данных может запрашивать информацию о предоставлении своих персональных данных третьим лицам только 1 раз в год, а само заявление о реализации любого из прав должно подаваться либо в форме письменного документа, либо в форме электронного документа, подписанного ЭЦП. Также Закон устанавливает ряд требований к информации, которую субъект данных должен указать в таком заявлении. Для сравнения: в GDPR требований к такому заявлению нет, субъект может подать его в электронной форме (написать на электронную почту, к примеру), и в свободной форме. 

Компания должна исполнить запрос на реализацию любого из вышеперечисленных прав в течение 15 дней с момента его получения, кроме предоставления информации (на это дается 5 дней). Для сравнения, срок ответа на запрос пользователя по GDPR – 1 месяц, и этот срок может быть продлен. 

Напоминаем, что с 1 марта в Беларуси действует административная ответственность за нарушение законодательства о защите персональных данных, а именно за незаконные сбор, обработку, хранение или предоставление персональных данных, нарушение прав субъекта данных, распространение персональных данных, несоблюдение мер обеспечения защиты персональных данных.



Компания REVERA готова оказать полный цикл сопровождения приведения ваших процессов в соответствие с новым Законом, а также провести обучение для работников вашей компании новым правилам работы с персональными данными.

Вы можете связаться с нашим специалистом ведущим юристом практики IT/IP компании REVERA Аленой Поторской: anp@revera.by. 

Другие наши обзоры Закона также можно найти по ссылке: https://revera.by/info-centr/news-and-analytical-materials/800-poyavilsya-tekst-proekta-zakona-o-zashhite-personalnyx-dannyx/ 

Также информируем вас о том, что REVERA совместно с Data Privacy Office запустила образовательный проект по персональным данным, в рамках которого предусмотрена серия обучающих мероприятий, а также Telegram-канал с актуальной информацией по теме. 

Ссылка на информацию о проекте: https://revera.by/info-centr/news-and-analytical-materials/810-v-belarusi-zapustili-obrazovatelnyj-proekt-po-rabote-s-personalnymi-dannymi/ 

Подключиться к Telegram-каналу: https://t.me/joinchat/6OmqcQBuokw5MDUy