Закон «О защите персональных данных» был официально опубликован 14 мая 2021 года. Он вступит в силу через 6 месяцев с момента опубликования, то есть уже в ноябре этого года.
Это первый закон, специально посвященный персональным данным в Беларуси. Его положения значительно изменяют и уточняют регулирование обработки персональных данных, что может затронуть практически каждую компанию. Наша команда коммерческой и регуляторной практики подготовила для Вас ключевые моменты из нового закона.
В соответствии с Законом появится определение персональных данных
Под персональными данными теперь понимается любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано. Тем самым обширный круг данных может подпадать под категорию персональных.
Закон также вводит понятия «оператора» и «уполномоченного лица», которые несколько схожи с концепцией data controller и data processor в GDPR. Так, оператор самостоятельно организует или осуществляет обработку персональных данных, а уполномоченное лицо обрабатывает их от имени или в интересах оператора, например, на основании договора с ним.
Ключевое основание для обработки персональных данных – согласие субъекта персональных данных
Закон устанавливает определенные критерии, без которых согласие не будет являться надлежащим. В частности, согласие должно быть информированным, т.е. перед дачей согласия субъекту персональных данных должна быть предоставлена следующая информация:
- название и местонахождение оператора;
- цель обработки;
- перечень персональных данных;
- срок, на который дается согласие;
- информация об уполномоченных третьих лицах;
- перечень действий с персональными данными;
- иная информация для «прозрачности» процесса обработки персональных данных.
До получения согласия оператор обязан простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена отдельно от иной информации, что может потребовать политику конфиденциальности.
Предусматриваются различные формы получения согласия: кроме письменной формы согласие можно будет получить с помощью CMC-сообщения с кодом, электронной почты, а также проставления отметки на сайте.
Среди случаев, когда согласие не требуется:
1) на основании договора с субъектом персональных данных в целях его исполнения;
2) при оформлении и в процессе трудовых отношений;
3) в отношении распространенных ранее персональных данных до момента заявления требований о прекращении обработки распространенных персональных данных или их удалении.
Цели обработки персональных данных
Закон вводит требование о соразмерности обработки ее целям. Такие цели должны быть законными, конкретными, заранее заявленными, а также обеспечивать на всех этапах обработки справедливое соотношение интересов всех заинтересованных лиц. Хранение персональных данных не должно быть дольше, чем этого требуют заявленные цели обработки.
Субъекты персональных данных будут иметь следующие права (кроме прочего):
- на отзыв согласия;
- на получение информации об обработке персональных данных и их изменение;
- на информирование о предоставлении персональных данных третьим лицам;
- требовать прекращения обработки персональных данных и (или) их удаления;
- обжаловать действия (бездействие) и решения оператора.
Отношения между оператором и уполномоченным лицом
В договоре между оператором и уполномоченной третьей стороной должны быть указаны:
- цели обработки персональных данных;
- перечень действий, которые уполномоченное лицо будет совершать с персональными данными;
- обязательства по соблюдению конфиденциальности;
- меры по обеспечению защиты персональных данных.
При этом уполномоченное третье лицо не обязано самостоятельно получать согласие субъекта персональных данных, за это отвечает оператор.
Субъект персональных данных вправе получать от оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно. Стандартный срок для ответа – 15 дней.
Трансграничная передача персональных данных
Трансграничная передача персональных данных может осуществляться только в том случае, если:
- дается согласие субъекта персональных данных;
- персональные данные получены на основании договора с субъектом персональных данных;
- персональные данные могут быть получены любым лицом посредством направления запроса;
- такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
- такая передача осуществляется органом финансового мониторинга;
- на основании разрешения уполномоченного органа.
В Беларуси впервые будет создан уполномоченный орган по защите прав субъектов персональных данных
В его компетенции будет принятие мер по защите прав субъектов персональных данных при обработке персональных данных. Среди прочего, уполномоченный орган будет:
- осуществлять контроль за обработкой персональных данных операторами (уполномоченными лицами);
- рассматривать жалобы субъектов персональных данных;
- при необходимости, требовать от операторов изменения, блокирования или удаления неточных или незаконно полученных персональных данных;
- определять перечень стран с надлежащим уровнем защиты прав субъектов персональных данных и выдавать разрешения на трансграничную передачу;
- разъяснять законодательство о персональных данных.
Ответственность за нарушение в сфере персональных данных
В настоящее время совершенствуются санкции в сфере персональных данных, включая гражданскую, административную и уголовную ответственность.
Предполагается, что субъект персональных данных сможет требовать возмещения имущественного вреда и понесенных убытков, а также морального вреда, причиненного субъекту персональных данных вследствие нарушения его прав.
С 1 марта 2021 г. незаконная обработка, нарушение прав субъекта персональных данных либо правил их защиты влечет административную ответственность. В зависимости от нарушения санкция может налагаться на физическое лицо (руководителя) или компанию и ее размер может варьироваться до 200 базовых величин, что составляет около 1 900 евро на сегодня. Подробнее Вы можете ознакомиться с этим вопросом здесь.
Кроме того, на рассмотрении в Парламенте находится проект изменений в Уголовный Кодекс Республики Беларусь, который предусматривает введение уголовной ответственности в отношении персональных данных.
Чем мы можем помочь?
Белорусский офис Sorainen осуществляет консультирование по всем юридическим аспектам соответствия законодательству в области персональных данных. В частности, мы можем предоставить помощь на следующих этапах:
- Оценка модели обработки данных на соответствие применимым требованиям;
- Анализ и подготовка форм согласия на обработку персональных данных;
- Разработка положений договора между оператором и уполномоченным лицом;
- Оценка и внедрение процедур реагирования операторов/уполномоченных лиц на запросы субъектов персональных данных;
- Подготовка пакета документов, определяющих политику оператора в отношении персональных данных;
- Внедрение процедур взаимодействия с работниками и иными лицами, непосредственно осуществляющими обработку персональных данных.
Напишите нашим экспертам, если у вас остались вопросы:
Адвокат, глава сектора Технологий, медиа и телекоммуникаций