Защита персональных данных в Беларуси: что нас ждет в ближайшем будущем — Беляевы и партнеры

Защита персональных данных в Беларуси: что нас ждет в ближайшем будущем

1. ТЕКУЩЕЕ СОСТОЯНИЕ ЗАКОНОДАТЕЛЬСТВА

vpn-for-entertainment-4072715_1920.jpgВ настоящее время основные положения, в соответствии с которыми осуществляется правовое регулирование защиты персональных данных, содержатся в Законе «Об информации, информатизации и защите информации» (далее – Закон об информации).

В свою очередь, некоторые отдельные положения, регулирующие данную сферу, также содержатся в таких правовых актах как Закон «О регистре населения» и Указ Президента «О совершенствовании государственного регулирования в области защиты информации».

В соответствии с Законом «О регистре населения», выделяются следующие виды персональных данных:

  • основные (идентификационный номер лица, его ФИО, пол, дата рождения, «цифровой фотопортрет», данные о гражданстве и данные о регистрации по месту жительства, данные о смерти или недееспособности человека),
  • дополнительные (к ним относится информация о родителях, семейном положении, супруге и детях, о высшем образовании и ученой степени, о роде занятий, пенсии и иных социальных выплатах, о налоговых обязательствах лица, исполнении воинской обязанности и инвалидности), 
  • а также иные персональные данные, позволяющие идентифицировать граждан Беларуси, иностранных граждан и лиц без гражданства, постоянно проживающих в Республике Беларусь.

Как видно, действующее белорусское законодательство в области персональных данных не распространяется на иностранных граждан, которые не имеют постоянного места жительства на территории Республики Беларусь.

Вместе с тем, персональные данные таких лиц могут активно собираться и использоваться на территории Республики Беларусь, к примеру, в процессе использования иностранными физическими лицами белорусских сайтов в сети Интернет.

Также действующим законодательством не урегулирован порядок сбора, хранения и использования информации, которая напрямую не относится к персональным данным, но при этом в совокупности с другими данными позволяет идентифицировать физическое лицо (т.н. «косвенная идентификация»). К таким данным, к примеру, могут относиться IP-адрес, данные о местоположении физического лица, номер телефона, и др.

В свою очередь, правовое регулирование данного вопроса, к примеру, в странах Европейского союза более совершенно, поскольку в соответствии с п. 1 ст. 4 GDPR – Общим регламентом по защите данных Евросоюза – любая информация, которая даже косвенно позволяет идентифицировать физическое лицо, охраняется так же, как и сведения, которые напрямую отнесены к персональным данным.

Сбор, обработка, хранение и передача персональных данных

Порядок получения и использования персональных данных физических лиц в действующем законодательстве также урегулирован достаточно слабо и ограничивается указанием на то, что сбор, обработка, хранение и последующая передача таких данных возможны только с письменного согласия идентифицируемого лица.

Такая формулировка создает достаточно сложностей для субъектов, которые осуществляют сбор и использование персональных данных, поскольку законодательство не уточняет, что именно понимается под письменным согласием.

В Гражданском кодексе Республики Беларусь, к примеру, есть указание на «письменную форму сделки», согласно которому письменной формой признается текстовый документ и документ в электронном виде, который должен быть подписан сторонами (подпись при этом может быть собственноручной, воспроизведенной с помощью факсимиле, с использованием ЭЦП и проч. Главное условие состоит в том, чтобы благодаря подписи можно было точно идентифицировать подписавшее лицо).

И хотя во многих случаях пользователю достаточно просто поставить галочку «Я согласен с Политикой конфиденциальности» (к примеру, если такой пользователь зарегистрирован под своими настоящими инициалами или если при регистрации на сайте он указал свои идентификационные данные), даже в таком случае может возникнуть формальное нарушение законодательства.

Защита персональных данных

computer-6133071_1920.jpgПорядок защиты персональных данных описан более подробно. Так, в Указе «О совершенствовании государственного регулирования в области защиты персональных данных» установлены обязанности собственников информационных систем, в которых обрабатываются персональные данные, информация о частной жизни физических лиц, электронные документы и проч.

Среди таких обязанностей выделяют, к примеру, «обеспечение проведения мероприятий по проектированию и созданию систем защиты информации в информационных системах» и еще несколько общих требований.

Более подробно о средствах защиты информации можно узнать в технических регламентах (в частности, в ТР 2013/027/BY). Данным техническим регламентом, к примеру, к программным средствам защиты информации относятся:

  • средства криптографической защиты информации;
  • антивирусные программы;
  • средства идентификации и аутентификации пользователей;
  • средства управления доступом;
  • средства протоколирования и аудита и т.д.

Какие из данных средств необходимо использовать в обязательном порядке, а какие – по желанию организации, законодательно не установлено. В Указе говорится только о том, что мероприятия по технической и криптографической защите информации должны предусматривать защиту от несанкционированного доступа и воздействия на персональные данные, обеспечение целостности и подлинности обрабатываемой информации.

Отдельно предусмотрено, что при создании системы защиты информации должны использоваться такие средства технической и криптографической защиты, которые имеют сертификат соответствия или положительное заключение по результатам экспертизы, проводимой ОАЦ (перечень таких сертифицированных средств защиты информации можно посмотреть на официальном сайте ОАЦ по ссылке: https://oac.gov.by/activity/information-security-tools/technical-and-cryptographic-information-protection/registry-ism).

2. КАКИЕ НОВШЕСТВА ОЖИДАЮТСЯ ОТ ЗАКОНА О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

14 мая был опубликован Закон от 07.04.2021 № 99-З «О защите персональных данных». Его положения вступят в силу спустя 6 месяцев, то есть 15 октября 2021 г.

В новом Законе персональные данные будут делиться уже по другому принципу, а именно на:

  • генетические (к ним относятся данные, которые содержат уникальную информацию о физиологии либо здоровье человека и которые могут быть выявлены, в частности, при исследовании биологического образца человека), 
  • биометрические (т.е. сведения, характеризующие физиологические и биологические особенности человека, которые используются для его уникальной идентификации (отпечатки пальцев, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.), 
  • общедоступные (т.е. распространенные самим человеком или распространенные с его согласия), 
  • а также специальные (персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, религиозных или других убеждений, здоровья или половой жизни, судимости; в эту группу включаются также биометрические и генетические персональные данные).

Сам Закон будет распространять свое действие на любое физическое лицо, которое может быть определено прямо или косвенно.

Сбор, обработка, распространение, предоставление персональных данных

Указанные действия по-прежнему будут по общему правилу осуществляться только с согласия идентифицируемого лица. Однако перечень способов, которым такое согласие можно будет получить, значительно расширится. В частности, согласие у пользователя на сбор, обработку, распространение и дальнейшее предоставление персональных данных станет возможным получить:

  • в письменном виде; 
  • в виде электронного документа;
  • посредством указания кода после получения СМС-сообщения или сообщения по электронной почте;
  • посредством простановки соответствующих отметок на интернет-ресурсе;
  • другими способами, позволяющими установить факт получения согласия.

При этом предполагается, что сбор, обработка, распространение и предоставление (далее, для удобства, - использование) персональных данных должны будут осуществляться в соответствии с обоснованными и конкретными целями. При использовании данных для иных целей, чем были заявлены изначально, у пользователя будет необходимо получить дополнительное согласие.

После достижения целей или если необходимость в их достижении отпала, персональные данные должны быть удалены.

Получение согласия идентифицируемого лица

Законом установлены также и иные особенности получения согласия у идентифицируемого лица. Так, собственник информационной системы (в редакции Закона – оператор) до получения согласия обязан сообщить:

  • свое наименование и местонахождение (ФИО и адрес места жительства, если оператором является ИП или физлицо);
  • цель сбора персональных данных;перечень данных, на сбор которых дается согласие;
  • перечень планируемых действий с персональными данными;
  • срок, на который дается согласие;
  • информацию о других лицах, которые осуществляют сбор персональных данных по поручению оператора;
  • права идентифицируемого лица, последствия согласия или отказа в даче согласия (информация, содержащаяся в данном пункте, должна быть представлена в отдельно от вышеперечисленной информации в письменной или электронной форме).

При этом обязанность доказывания того, что пользователь дал свое согласие, будет возлагаться на оператора.

Идентифицируемое лицо при даче своего согласия будет обязано указать свое ФИО, дату рождения и идентификационный номер. Если такие данные не нужны оператору в соответствии с заявленными им целями обработки, обрабатывать их запрещается.

Использование персональных данных без получения согласия

laptop-820274_1920.jpgСтоит отметить, что дополнительно к этому устанавливается перечень ситуаций, когда получения согласия не потребуется. К ним, в частности, будут относиться следующие причины использования персональных данных:

  • для оформления трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности (важное уточнение: несмотря на то, что сбор персональных данных в рамках трудовых правоотношений может осуществляться без согласия работника, дальнейшее их распространение без соответствующего согласия прямо запрещено Законом);
  • при реализации норм законодательства в области национальной безопасности, борьбы с коррупцией и проч.; 
  • в отношении общедоступных персональных данных (данное право оператора будет действовать до первого требования идентифицируемого лица);
  • в случаях, когда сбор персональных данных является обязательным в соответствии с законодательством; 
  • и др.

Отзыв согласия

Идентифицируемое лицо также сможет в любой момент отозвать данное им согласие на использование персональных данных. После получения такого отзыва оператор в 15-дневный срок будет обязан прекратить сбор персональных данных, удалить их и уведомить об этом пользователя.

Если же у оператора не будет технической возможности удалить персональные данные, то ему будет вменяться в обязанность принять меры по недопущению их дальнейших обработки, распространения и предоставления (включая обязанность по блокировке данных) и уведомить в тот же срок.

Те же последствия, что и отзыв согласия (т.е. обязанность прекратить, удалить, уведомить) будут наступать при окончании срока действия или расторжения договора, в соответствии с которым осуществлялось использование персональных данных.

Поручение обработки данных третьим лицам

В новом Законе наряду с общими основами использования персональных данных установлены и более частные права, обязанности и ограничения в деятельности операторов: они, к примеру, будут вправе поручить обработку персональных данных другому лицу (иными словами, привлечь на аутсорсинг), если получат соответствующее согласие идентифицируемого лица.

Трансграничная передача персональных данных

По общему правилу, передача персональных данных за границу будет запрещена. При этом законодатель обещает, что вскоре после вступления Закона в силу будет принят перечень стран, в которых обеспечивается надлежащий уровень защиты и, соответственно, в отношении которых можно будет осуществлять передачу данных.

Также трансграничная передача данных будет разрешена в случаях, когда:

  • дано согласие идентифицируемого лица;
  • передача осуществляется во исполнение договора, заключенного между оператором и пользователем;
  • передаваемые данные являются общедоступными (или когда они могут быть получены любым лицом при составлении соответствующего запроса); 
  • сбор осуществляется в рамках исполнения международного договора Республики Беларусь;
  • получено разрешение ОАЦ (или иного уполномоченного органа по защите прав субъектов персональных данных).

Меры обеспечения защиты персональных данных

writing-828911_1920.jpgОператоры должны защищать персональные данные от несанкционированного или случайного доступа к ним, удаления, модификации, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

В новом Законе, в отличие от того, что установлено текущим законодательством, установлен перечень мер, который будет являться для операторов обязательным к исполнению. Среди них:

  • назначение структурного подразделения или лица, ответственного за организацию сбора персональных данных (если оператором является юридическое лицо);
  • издание документов, определяющих политику оператора в отношении сбора персональных данных (для операторов, являющихся организациями, индивидуальными предпринимателями);
  • ознакомление работников и иных лиц, осуществляющих сбор персональных данных, с положениями законодательства о персональных данных и (или) обучение указанных работников и иных лиц;установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
  • осуществление технической и криптографической защиты персональных данных в порядке, устанавливаемом ОАЦ.

Оператор – ИП или юрлицо будет обязан обеспечить неограниченный доступ, в т.ч. с использованием сети Интернет, к своей политике конфиденциальности до начала осуществления соответствующих действий с персональными данными.

Как видно, что касается мер по обеспечению защиты персональных данных, планируется на законодательном уровне закрепить сложившуюся практику, при которой субъекты, которые в связи со своей деятельностью осуществляют сбор и использование персональных данных, разрабатывали политики конфиденциальности и размещали их на принадлежащих им сайтах в сети Интернет.

3.  ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ

В связи с вступлением в силу нового КоАП существенно расширился перечень составов, по которым можно привлечь к ответственности за нарушения в области персональных данных.

В предыдущей редакции КоАП, которая действовала до 1 марта 2021 г., было предусмотрено всего несколько статей, за которые могли привлечь к ответственности в данной сфере: к примеру, за умышленное разглашение персональных данных или за нарушение правил хранения персональных данных пользователей интернет-услуг.

В новом КоАП данный перечень подвергся значительному расширению. Так, к административной ответственности могут привлечь:

1. За умышленный и незаконный сбор, обработку, хранение, предоставление персональных данных (размер налагаемого штрафа – до 50 БВ);

2. За совершение лицом, которому персональные данные известны в связи с его профессиональной/служебной деятельностью, деяний, указанных выше, - штраф в размере от 4 до 100 БВ;

3. За незаконное распространение персональных данных – штраф до 200 БВ;

4. За несоблюдение мер по обеспечению защиты таких данных (на физическое лицо будет налагаться штраф в размере от 2 до 10 БВ, на ИП – от 10 до 25 БВ, а на юридическое лицо – от 20 до 50 базовых).

Важно помнить: разница между «предоставлением» и «распространением» персональных данных заключается в том, что под «предоставлением» понимают ознакомление с такими данными заранее определенного круга лиц, а под «распространением» - ознакомление неопределенного круга лиц (чаще всего – размещение информации в общем доступе).

Также стоит отметить, что сейчас ответственность за совершение правонарушений, связанных с разглашением персональных данных, наступает независимо от того, предъявил ли такое требование потерпевший.