Комментарий к Закону Республики Беларусь от 07.05.2021 № 99-З
С 15 ноября 2021 г. вступает в силу Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон). Им введен ряд новых обязанностей для операторов персональных данных, которые должны быть выполнены к моменту вступления Закона в силу. В статье рассмотрим основные нововведения, на которые необходимо обратить внимание.
Вопросы защиты персональных данных вышли на новый уровень развития с принятием Закона. Почему же вопрос защиты персональных данных актуален для юристов?
Ответ прост:
— с 1 марта 2021 г. ст. 23.7 КоАП введена административная ответственность за нарушение законодательства о защите персональных данных, а именно за незаконные сбор, обработку, хранение или предоставление персональных данных, нарушение прав субъекта данных, распространение персональных данных, несоблюдение мер обеспечения защиты персональных данных;
— 19 июня 2021 г. Уголовным кодексом Республики Беларусь (далее — УК) предусмотрена уголовная ответственность за нарушение законодательства о персональных данных (ст. 203¹ и 203² УК).
Таким образом, юристу строительной организации крайне важно соблюдать основные положения Закона, поскольку в случае их нарушения могут наступить неблагоприятные последствия.
Согласно абз. 8 ч. 1 ст. 1 Закона оператор — это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с указанными лицами организующие и (или) осуществляющие обработку персональных данных.
К определениям, которые косвенно затрагивают понятие оператора, относятся понятия «персональные данные» и «субъект персональных данных».
К персональным данным согласно абз. 9 ч. 1 ст. 1 Закона относится любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Субъект персональных данных — это физическое лицо, в отношении которого осуществляется обработка персональных данных (абз. 13 ч. 1 ст. 1 Закона).
Из анализа приведенных понятий следует, что любая организация является оператором персональных данных.
Справочно.
Любые организации являются операторами в отношении данных о своих работниках, контрагентах и др.
Таким образом, юристам необходимо изучить основные стандарты, установленные Законом, чтобы к 15 ноября 2021 г. привести свою деятельность в соответствие с данными требованиями.
Для приведения в соответствие внутренних процессов организации необходимо знать основные меры защиты персональных данных, закрепленные в ст. 17 Закона (см. схему 1).
Зачастую в организациях работу по вопросам защиты коммерческой тайны или персональных данных возлагают на юристов. Однако руководителю необходимо помнить, что у юристов, как правило, отсутствуют знания о технической стороне защиты информации. Поэтому целесообразно создать в организации небольшую группу из специалистов разных профилей. Так, например, это могут быть юрист, специалист по кадрам, системный администратор и др.
Справочно.
Порядок осуществления технической и криптографической защиты персональных данных установлен Оперативно-аналитическим центром при Президенте Республики Беларусь.
Ранее законодательство Республики Беларусь не разграничивало роли субъектов в процессе обработки персональных данных. Со вступлением в силу Закона введены понятия, аналогичные понятиям Общего регламента защиты персональных данных, принятого в Евросоюзе (General Data Protection Regulation, далее — GDPR).
Так, Законом введены понятия «оператор» — аналог «контроллера» в GDPR и «уполномоченное лицо» — аналог «процессора» в GDPR.
Справочно.
Уполномоченное лицо — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах (абз. 16 ч. 1 ст. 1 Закона).
Оператора от уполномоченного лица отличить несложно. Если организация сама принимает решение об обработке персональных данных, она является оператором. Если же организация обрабатывает персональные данные по указанию другого лица (в том числе на основе договора), она является уполномоченным лицом.
Справочно.
Примером может быть ситуация, когда в небольшой строительной организации учет кадров, воинский и бухгалтерский учет ведет специализированная организация или индивидуальный предприниматель. Такая специализированная организация или ИП будут являться уполномоченными лицами, а организация, поручившая им обработку персональных данных, — оператором.
Законом закреплены правила, в соответствии с которыми должны быть урегулированы отношения между оператором и уполномоченным лицом.
Так, договор должен содержать:
• действия, совершаемые с персональными данными;
• обязательство по соблюдению конфиденциальности персональных данных;
• цели обработки персональных данных;
• меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона (п. 1 ст. 7 Закона).
Если у организации уже имеется такой договор, то до момента вступления в силу Закона он должен быть приведен в соответствие с его требованиями (дополнительно урегулированы пункты, перечисленные выше).
В п. 3 ст. 4 Закона закреплено, что обработка персональных данных осуществляется с согласия субъекта персональных данных.
Статьей 6 Закона предусмотрены случаи, при которых обработка персональных данных может осуществляться без согласия субъекта персональных данных. Одним из таких случаев является получение персональных данных:
1) на основании договора, заключенного с субъектом персональных данных, в целях совершения действий, установленных этим договором;
2) при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством, и в других случаях.
К согласию, которое должно быть получено от субъекта персональных данных, Законом предъявляются определенные требования. Так, согласие должно быть свободным, однозначным и информированным.
Форма согласия установлена п. 2 ст. 5 Закона. Так, согласие может быть получено в письменной форме, в форме электронного документа или в иной электронной форме.
Справочно.
Ранее законодательством Республики Беларусь предусматривалась возможность получения исключительно письменного согласия.
Закон обязывает оператора сообщить субъекту персональных данных некоторую информацию (предусмотренную ч. 1 п. 5 ст. 5 Закона) перед получением согласия, а также простым и ясным языком разъяснить субъекту персональных данных его права, механизм их реализации, последствия дачи и отказа от дачи согласия.
Справочно.
Если все вышеуказанные условия не будут соблюдены, то согласие на обработку персональных данных будет считаться недействительным.
Закон предоставляет субъекту персональных данных право определенным образом распоряжаться своими персональными данными. В частности, субъекты персональных данных получают следующие права:
• право на отзыв согласия (ст. 10 Закона);
• право на получение информации об обработке данных (ст. 11 Закона);
• право на изменение персональных данных (ст. 11 Закона);
• право на получение информации о предоставлении данных третьим лицам (ст. 12 Закона);
• право требовать удаления данных или прекращения их обработки (ст. 13 Закона).
При получении заявления субъекта персональных данных оператор обязан в течение 15 дней (5 дней — в отношении права на получение информации об обработке персональных данных) выполнить одно из действий (см. схему 2).
Субъект персональных данных в случае отказа от предоставления информации или выполнения действий должен быть уведомлен о причинах такого отказа.
Ранее законодательство Республики Беларусь не регулировало вопросы передачи персональных данных за пределы Республики Беларусь. Закон же закрепляет правило, согласно которому передача данных за пределы Республики Беларусь в страны, которые не обеспечивают надлежащий уровень защиты данных, запрещается (п. 1 ст. 9 Закона).
Справочно.
Список стран, которые не обеспечивают надлежащий уровень защиты данных, на момент написания материала не опубликован.
Однако п. 1 ст. 9 Закона предусмотрен перечень условий, при которых возможна передача персональных данных. К таким условиям отнесены:
— наличие согласия субъекта персональных данных, который проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
— получение персональных данных на основании договора, заключенного с субъектом персональных данных, в целях совершения действий, установленных этим договором;
— персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
— передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
— обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
— получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
