Как планируют защищать персональные данные в Беларуси — рассказывают юристы

Новый проект Закона «О персональных данных» в Беларуси разработан на основе Регламента ЕС. В чем разница между этими двумя документами и на что нужно будет обратить внимание белорусским предпринимателям, чья работа связана с обработкой персональных данных клиентов, — рассказал старший партнер Юридической группы «Бюро 24» Алексей Корочкин.

— В Беларуси разработан проект Закона «О персональных данных», который прошел первое чтение в Палате представителей. Разработка законопроекта велась с  учетом Регламента ЕС, который вступил в силу 25 мая 2018 года.

---

Регламент (ЕС) № 2016/679 Европейского парламента и Совета ЕС о защите физических лиц при обработке персональных данных и свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий регламент по защите персональных данных) (далее — Регламент ЕС) устанавливает правила, которые обязаны соблюдать компании при работе с персональными данными граждан ЕС, и жесткие меры ответственности за их нарушение. Так, например, Google был оштрафован на € 50 млн за нарушение требований Регламента ЕС.

Закон «О персональных данных» вступит в силу в Беларуси только через год после его официальной публикации, а пока отношения между физическими лицами и компаниями, собирающими персональные данные, регулирует Закон «Об информации, информатизации и защите информации».

К чему нужно готовиться белорусскому бизнесу в связи с принятием нового законопректа, мы расскажем в этой статье.

Что будет регулировать закон

Согласно закону персональными данными — будет считаться любая информация, которая относится к какому-то конкретному человеку или человеку, который может быть идентифицирован с помощью этой информации. К таким данным относятся:

• Сведения о физиологических и биологических особенностях человека (отпечатки пальцев, ладоней, радужная оболочка глаза, характеристики лица и др. (биометрические данные)
• Уникальные и постоянные сведения о генетическом наследии и (или) коде ДНК человека (генетические данные)
• Данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и других убеждений, здоровья и половой жизни, судимости и др. (специальные данные).

Закон будет регулировать:

• Сбор
• Обработку
• Распространение
• Предоставление (далее — все перечисленное назовем обработкой персональных данных).

Любое физическое или юридическое лицо (интернет-магазин, банк, медицинское учреждение, частная компания и т.д.), которое будет заниматься обработкой данных, будет называться оператором и подпадать под действие закона. Обратите внимание, что обрабатывать данные операторы смогут только с согласия носителя данных (физического лица).

Цели обработки данных должны быть обоснованными и конкретными, а действия оператора — в точности им соответствовать.

Если цель изменится, оператор обязан получить новое согласие. А после достижения целей или утраты необходимости в их достижении данные нужно удалить или обезличить.

Как получить согласие на обработку данных

Обработка некоторых данных допускается без согласия. Например, при принудительном исполнении судебных актов и административных процедур, контроля за соблюдением налогового законодательства, в целях защиты жизни, здоровья и др. В остальных случаях оператору нужно получить согласие на обработку данных в письменной форме, в виде электронного документа или в иной электронной форме через:

• СМС-сообщение
• Письмо по электронной почте
• Галочку или иную отметку на интернет-ресурсе в соответствующем поле
• Или любыми другими способами, которые позволяют установить факт получения согласия. 

Мы считаем, что согласие с заранее автоматически проставленной галочкой, которое сейчас часто встречается в интернете, больше не будет иметь силы. Закон требует, чтобы галочку поставил сам человек. Такой подход полностью согласуется с положениями Регламента ЕС. 

Но это еще не все. По закону, когда человек дает согласие на обработку его персональных данных, он должен будет предоставить оператору:

• ФИО, дату рождения 
• Наименование (фамилию, собственное имя, отчество (при его наличии) и место нахождения (адрес места жительства (места пребывания) оператора, получающего согласие
• Цель (цели) сбора, обработки, распространения, предоставления данных
• Перечень данных, на обработку которых дается согласие
• Перечень действий с данными, на совершение которых дается согласие
• Срок, на который дается согласие
• Порядок отзыва согласия.

Интернет-ресурсам, аудиторию которых составляют дети до 16 лет, важно обратить внимание, что до достижения возраста 16 лет согласие на обработку данных должен дать один из законных представителей ребенка.

Согласно белорусскому законопроекту, соглашаясь на обработку данных, человек раскрывает еще больше информации, чем та, что у него запрашивали изначально.Интересно, что Регламент ЕС не содержит каких-либо требований о том, какие данные должны содержаться в согласии субъекта.

Мы считаем, что на практике соблюдение этого требования белорусского закона может стать помехой для бизнеса. Например, посетитель интернет-магазина, который заказал доставку телевизора, не захочет указывать дату своего рождения — мол, зачем кому-то это знать? И, скорее всего, компаниям придется самим разрабатывать готовые формы со своим названием, местонахождением, перечнем данных и целей их сбора, сроками, на которые дается согласие, и порядком отзыва согласия.

Все это может помешать получению согласия в принципе — человеку будет просто лень заполнять такое количество форм.

Права и обязанности оператора

Оператор имеет право:

1. Поручать обработку данных третьим лицам. Например, разработчикам сайта для интернет-магазина, которые находятся на аутсорсе. Чтобы реализовать это требование, наниматели и работники, скорее всего, начнут заключать соглашения о неразглашении. 

2. Предоставлять информацию третьим лицам. Но если, например, для доставки товара из интернет-магазина оператор должен сообщить адрес и ФИО клиента своему курьеру, сделать это без согласия клиента будет нельзя.

Отметим, что в Регламенте ЕС право человека на получение информации о получателях, которым будут раскрыты его данные, — безусловно. Но согласно белорусскому закону сведения о предоставлении данных третьим лицам могут не предоставляться оператором, если:

• Информационная система не позволяет вести учет данных. То есть сайт интернет-магазина, или CRM, или другая система, в которой содержатся данные, не позволяют вести учет предоставления данных третьим лицам 
• Данные может получить в открытом доступе любой пользователь интернета 
• Обработка данных ведется в соответствии с законодательством в области национальной безопасности, противодействия коррупции, судопроизводства и т.д.

Мы предполагаем, что первая причина для отказа (информационная система не позволяет вести учет данных) может стать универсальной.  Операторы сознательно не будут тратиться на разработку или внедрение программ, которые позволяют вести учет предоставления данных третьим лицам.

У них может появиться вопрос: зачем вкладываться в разработку, если можно сослаться на несовершенство действующей системы и законно отказать человеку в предоставлении информации.

Интересно, что статья 12 Регламента ЕС гласит, что оператор должен принять меры для предоставления человеку такой информации в сжатой, прозрачной, понятной и легкодоступной форме на понятном и простом языке.

То есть Регламент ЕС обязывает оператора иметь в наличии такую систему обработки данных, из которой можно оперативно получить информацию о третьих лицах, которым предоставлялись или будут предоставлены данные.

Обязанности оператора при обработке данных:

• Разъяснять субъекту данных его права, связанные с обработкой данных
• Получать согласие субъекта данных на их обработку
• Предоставлять человеку возможность ознакомления со своими данными
• Прекратить обработку данных или удалить их по требованию 
• Обеспечивать защиту данных 
• Уведомлять уполномоченный орган о нарушениях систем защиты данных незамедлительно, но не позднее 3-х дней после того, как оператору стало известно о таких нарушениях. Исключение — случаи, когда нарушения систем защиты данных незначительны 
• Исполнять требования уполномоченного органа об устранении нарушений законодательства о данных

• Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки данных, а также к требованиям по защите данных.

Мы считаем, что к моменту вступления в силу закона компании должны будут разместить на своих сайтах в общем доступе (или опубликовать иным образом) соответствующий документ, например, под названием «Политика обработки и защиты персональных данных». В таком документе  нужно будет расписать порядок сбора, обработки, распространения и предоставления персональных данных.

Права субъекта данных

Человек, который оставил свои данные оператору, по закону имеет право:

• Получать от оператора информацию о своих правах, связанных с обработкой данных
• Давать согласие на обработку своих данных
• Отзывать согласие на обработку своих данных
• Знакомиться со своими данными, требовать внесения в них изменений
• Требовать прекращения обработки данных, в том числе распространенных данных, и (или) их удаления
• Требовать прекращения обработки данных и (или) удаления данных, если они не нужны для заявленной цели, а также в случае истечения соответствующего срока обработки данных
• Обжаловать действия (бездействие) и решения оператора, связанные с обработкой своих данных, в уполномоченном органе по защите прав субъектов данных. Отметим, что в Регламенте ЕС, помимо обжалования, предусмотрено безусловное право субъекта данных на направление жалобы в суд, без предварительного обращения в адрес уполномоченного государственного органа. Если положения белорусского законопроекта будут приняты без изменения этого пункта, то, на наш взгляд, перед обращением в суд человеку придется обращаться за защитой в уполномоченный орган. Насколько это положение оправдано, будет зависеть от способности уполномоченного органа оперативно и эффективно защищать нарушенные права. Если решения уполномоченного органа будут справедливы, необходимость последующего обращения в суд отпадет сама собой.
• Человек вправе отозвать свое согласие на обработку данных. Оператор будет обязан не позднее, чем в 15-дневный срок прекратить обработку данных, удалить их и уведомить об этом своего клиента.

Отметим, что в Регламенте ЕС закреплено также право человека, который предоставил данные, не разрешать их исключительно  автоматическую обработку, включая формирование профиля, которое влечет юридические последствия или существенно воздействует на человека. На практике такое бывает, например, при проведении банками так называемого кредитного скоринга, в ходе которого автоматизированная система принимает решение о наличии оснований для выдачи или для отказа в выдаче кредита.

Белорусский законопроект подобных положений пока не содержит.

Утечка и защита данных

Закон обязывает операторов принимать правовые, организационные и технические меры по защите данных от несанкционированного или случайного доступа к ним  — удаления, модификации, блокирования, копирования, предоставления, распространения и других иных неправомерных действий. Обязательными мерами для обеспечения защиты данных являются:

• Назначение оператором (если это организация) структурного подразделения или лица, ответственного за организацию обработки данных
• Издание документов, которые определяют политику оператора в отношении обработки данных, а также локальных нормативных правовых актов, в которых прописаны процедуры по поиску и предотвращению нарушений, устранение последствий таких нарушений
• Ознакомление работников оператора и иных лиц, которые работают с данными, с положениями законодательства, локальными нормативными правовыми актами по вопросам обработки данных, и (или) обучение 
• Установление порядка доступа к данным
• Осуществление технической и криптографической защиты данных.

Подобные положения также можно найти и в Регламенте ЕС. В ряде случаев он предусматривает дополнительную обязанность оператора информировать об утечке данных не только уполномоченный орган, но и человека лично. Такое уведомление должно описывать ясным и простым языком характер утечки данных и содержать как минимум следующую информацию:

• Фамилию и контактные данные инспектора по защите данных или уполномоченного координационного центра, в котором можно получить более подробную информацию
• Описание возможных последствий утечки данных
• Описание принятых или планируемых мер для устранения нарушения.

Приведем несколько примеров из практики применения Регламента ЕС. Так, в Болгарии национальный надзорный орган оштрафовал оператора на € 500 за то, что тот использовал данные студента без наличия его согласия. В Венгрии банк ошибочно направил данные о состоянии кредитной карты на телефонный номер другого лица, несмотря на то, что клиент ранее предоставлял в банк сведения об изменении своего телефонного номера. За данную ошибку банк вынужден был выплатить штраф в € 1560.

Есть примеры и более значительных штрафов. Так, в Великобритании в результате кибератаки 9000 клиентов одного из банков лишились 2,26 млн фунтов. А из-за нарушения требований по защите персональных текущих счетов клиентов банк был оштрафован на 16,4 млн фунтов.

Ответственность за нарушение правил обработки данных

Закон устанавливает, что уполномоченный орган по защите прав субъектов данных вправе требовать от оператора изменения, удаления или блокирования недостоверных или полученных незаконным путем данных и устранения прочих нарушений закона. Других мер реагирования, которые может применить уполномоченный орган в отношении нарушителей, закон не содержит.

Но меры ответственности за неправомерные действия в отношении данных уже предусмотрены в законодательстве Республики Беларусь. Так, например, согласно статье 22.13 Кодекса Республики Беларусь об административных правонарушениях (далее — КоАП) умышленное незаконное разглашение данных человеком, которому они стали  известны в связи с его профессиональной деятельностью, — влечет штраф  от четырех до двадцати базовых величин.

А в соответствии с частью 2 статьи 22.16 КоАП нарушение требований законодательных актов по хранению данных пользователей интернет-услуг — влечет штраф от пяти до пятнадцати базовых величин. Мы считаем, что  дополнительные санкции в отношении нарушителей могут появиться после принятия проекта закона как в нормах КоАП, так и в положениях иных актов законодательства.

Обращаясь к Регламенту ЕС, можно вспомнить, что надзорный орган ЕС вправе:

• Выносить предупреждения
• Требовать от компании соблюдать запросы субъекта данных
• Требовать от контролера привести процесс обработки данных в соответствие с GDPR
• Требовать от контролера сообщить субъекту данных об утечке
• Наложить временное или окончательное ограничение на обработку данных
• Требовать исправления или уничтожения данных
• Наложить административный штраф (в размере не более € 20 млн или не более 4% от общего годового оборота за предыдущий финансовый год, в зависимости от того, какая сумма больше).

Выводы

Мы рассмотрели только общие подходы к работе с данными. Закон устанавливает ряд исключений, которые нужно будет учитывать  в каждой конкретной ситуации. Как мы уже говорили выше,  закон вступит в силу  через год после его официального опубликования, поэтому и у операторов, и у рядовых граждан будет достаточно времени для адаптации к новым требованиям по защите данных.

В завершение необходимо отметить, что Регламент ЕС содержит более строгие требования в вопросах обращения операторов с данными субъектов.  Например, Регламент ЕС применяется в отношении обработки данных людей, которые находятся в ЕС, если обработка касается:

• Предоставления товаров и/или услуг субъектам данных в ЕС
• Мониторинга деятельности, которая осуществляется в ЕС

Следовательно, белорусским компаниям, которые предоставляют товары/услуги клиентам, находящимся на территории ЕС, уже необходимо принимать во внимание требование Регламента ЕС, для избежания санкций со стороны надзорного органа ЕС. Даже в том случае, когда такие требования еще не установлены в законе.