21 ноября
«Создать успешное агентство — как выиграть в казино», сооснователь WakeApp Эдуард Лебедев
2 | 2 | 2 |
Новый проект Закона «О персональных данных» в Беларуси разработан на основе Регламента ЕС. В чем разница между этими двумя документами и на что нужно будет обратить внимание белорусским предпринимателям, чья работа связана с обработкой персональных данных клиентов, — рассказал старший партнер Юридической группы «Бюро 24» Алексей Корочкин.
— В Беларуси разработан проект Закона «О персональных данных», который прошел первое чтение в Палате представителей. Разработка законопроекта велась с учетом Регламента ЕС, который вступил в силу 25 мая 2018 года.
Регламент (ЕС) № 2016/679 Европейского парламента и Совета ЕС о защите физических лиц при обработке персональных данных и свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий регламент по защите персональных данных) (далее — Регламент ЕС) устанавливает правила, которые обязаны соблюдать компании при работе с персональными данными граждан ЕС, и жесткие меры ответственности за их нарушение. Так, например, Google был оштрафован на € 50 млн за нарушение требований Регламента ЕС.
Закон «О персональных данных» вступит в силу в Беларуси только через год после его официальной публикации, а пока отношения между физическими лицами и компаниями, собирающими персональные данные, регулирует Закон «Об информации, информатизации и защите информации».
К чему нужно готовиться белорусскому бизнесу в связи с принятием нового законопректа, мы расскажем в этой статье.
Согласно закону персональными данными — будет считаться любая информация, которая относится к какому-то конкретному человеку или человеку, который может быть идентифицирован с помощью этой информации. К таким данным относятся:
Закон будет регулировать:
Любое физическое или юридическое лицо (интернет-магазин, банк, медицинское учреждение, частная компания и т.д.), которое будет заниматься обработкой данных, будет называться оператором и подпадать под действие закона. Обратите внимание, что обрабатывать данные операторы смогут только с согласия носителя данных (физического лица).
Цели обработки данных должны быть обоснованными и конкретными, а действия оператора — в точности им соответствовать.
Если цель изменится, оператор обязан получить новое согласие. А после достижения целей или утраты необходимости в их достижении данные нужно удалить или обезличить.
Обработка некоторых данных допускается без согласия. Например, при принудительном исполнении судебных актов и административных процедур, контроля за соблюдением налогового законодательства, в целях защиты жизни, здоровья и др. В остальных случаях оператору нужно получить согласие на обработку данных в письменной форме, в виде электронного документа или в иной электронной форме через:
Мы считаем, что согласие с заранее автоматически проставленной галочкой, которое сейчас часто встречается в интернете, больше не будет иметь силы. Закон требует, чтобы галочку поставил сам человек. Такой подход полностью согласуется с положениями Регламента ЕС.
Но это еще не все. По закону, когда человек дает согласие на обработку его персональных данных, он должен будет предоставить оператору:
Интернет-ресурсам, аудиторию которых составляют дети до 16 лет, важно обратить внимание, что до достижения возраста 16 лет согласие на обработку данных должен дать один из законных представителей ребенка.
Согласно белорусскому законопроекту, соглашаясь на обработку данных, человек раскрывает еще больше информации, чем та, что у него запрашивали изначально.Интересно, что Регламент ЕС не содержит каких-либо требований о том, какие данные должны содержаться в согласии субъекта.
Мы считаем, что на практике соблюдение этого требования белорусского закона может стать помехой для бизнеса. Например, посетитель интернет-магазина, который заказал доставку телевизора, не захочет указывать дату своего рождения — мол, зачем кому-то это знать? И, скорее всего, компаниям придется самим разрабатывать готовые формы со своим названием, местонахождением, перечнем данных и целей их сбора, сроками, на которые дается согласие, и порядком отзыва согласия.
Все это может помешать получению согласия в принципе — человеку будет просто лень заполнять такое количество форм.
Оператор имеет право:
1. Поручать обработку данных третьим лицам. Например, разработчикам сайта для интернет-магазина, которые находятся на аутсорсе. Чтобы реализовать это требование, наниматели и работники, скорее всего, начнут заключать соглашения о неразглашении.
2. Предоставлять информацию третьим лицам. Но если, например, для доставки товара из интернет-магазина оператор должен сообщить адрес и ФИО клиента своему курьеру, сделать это без согласия клиента будет нельзя.
Отметим, что в Регламенте ЕС право человека на получение информации о получателях, которым будут раскрыты его данные, — безусловно. Но согласно белорусскому закону сведения о предоставлении данных третьим лицам могут не предоставляться оператором, если:
Мы предполагаем, что первая причина для отказа (информационная система не позволяет вести учет данных) может стать универсальной. Операторы сознательно не будут тратиться на разработку или внедрение программ, которые позволяют вести учет предоставления данных третьим лицам.
У них может появиться вопрос: зачем вкладываться в разработку, если можно сослаться на несовершенство действующей системы и законно отказать человеку в предоставлении информации.
Интересно, что статья 12 Регламента ЕС гласит, что оператор должен принять меры для предоставления человеку такой информации в сжатой, прозрачной, понятной и легкодоступной форме на понятном и простом языке.
То есть Регламент ЕС обязывает оператора иметь в наличии такую систему обработки данных, из которой можно оперативно получить информацию о третьих лицах, которым предоставлялись или будут предоставлены данные.
Обязанности оператора при обработке данных:
Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки данных, а также к требованиям по защите данных.
Мы считаем, что к моменту вступления в силу закона компании должны будут разместить на своих сайтах в общем доступе (или опубликовать иным образом) соответствующий документ, например, под названием «Политика обработки и защиты персональных данных». В таком документе нужно будет расписать порядок сбора, обработки, распространения и предоставления персональных данных.
Человек, который оставил свои данные оператору, по закону имеет право:
Отметим, что в Регламенте ЕС закреплено также право человека, который предоставил данные, не разрешать их исключительно автоматическую обработку, включая формирование профиля, которое влечет юридические последствия или существенно воздействует на человека. На практике такое бывает, например, при проведении банками так называемого кредитного скоринга, в ходе которого автоматизированная система принимает решение о наличии оснований для выдачи или для отказа в выдаче кредита.
Белорусский законопроект подобных положений пока не содержит.
Закон обязывает операторов принимать правовые, организационные и технические меры по защите данных от несанкционированного или случайного доступа к ним — удаления, модификации, блокирования, копирования, предоставления, распространения и других иных неправомерных действий. Обязательными мерами для обеспечения защиты данных являются:
Подобные положения также можно найти и в Регламенте ЕС. В ряде случаев он предусматривает дополнительную обязанность оператора информировать об утечке данных не только уполномоченный орган, но и человека лично. Такое уведомление должно описывать ясным и простым языком характер утечки данных и содержать как минимум следующую информацию:
Приведем несколько примеров из практики применения Регламента ЕС. Так, в Болгарии национальный надзорный орган оштрафовал оператора на € 500 за то, что тот использовал данные студента без наличия его согласия. В Венгрии банк ошибочно направил данные о состоянии кредитной карты на телефонный номер другого лица, несмотря на то, что клиент ранее предоставлял в банк сведения об изменении своего телефонного номера. За данную ошибку банк вынужден был выплатить штраф в € 1560.
Есть примеры и более значительных штрафов. Так, в Великобритании в результате кибератаки 9000 клиентов одного из банков лишились 2,26 млн фунтов. А из-за нарушения требований по защите персональных текущих счетов клиентов банк был оштрафован на 16,4 млн фунтов.
Закон устанавливает, что уполномоченный орган по защите прав субъектов данных вправе требовать от оператора изменения, удаления или блокирования недостоверных или полученных незаконным путем данных и устранения прочих нарушений закона. Других мер реагирования, которые может применить уполномоченный орган в отношении нарушителей, закон не содержит.
Но меры ответственности за неправомерные действия в отношении данных уже предусмотрены в законодательстве Республики Беларусь. Так, например, согласно статье 22.13 Кодекса Республики Беларусь об административных правонарушениях (далее — КоАП) умышленное незаконное разглашение данных человеком, которому они стали известны в связи с его профессиональной деятельностью, — влечет штраф от четырех до двадцати базовых величин.
А в соответствии с частью 2 статьи 22.16 КоАП нарушение требований законодательных актов по хранению данных пользователей интернет-услуг — влечет штраф от пяти до пятнадцати базовых величин. Мы считаем, что дополнительные санкции в отношении нарушителей могут появиться после принятия проекта закона как в нормах КоАП, так и в положениях иных актов законодательства.
Обращаясь к Регламенту ЕС, можно вспомнить, что надзорный орган ЕС вправе:
Мы рассмотрели только общие подходы к работе с данными. Закон устанавливает ряд исключений, которые нужно будет учитывать в каждой конкретной ситуации. Как мы уже говорили выше, закон вступит в силу через год после его официального опубликования, поэтому и у операторов, и у рядовых граждан будет достаточно времени для адаптации к новым требованиям по защите данных.
В завершение необходимо отметить, что Регламент ЕС содержит более строгие требования в вопросах обращения операторов с данными субъектов. Например, Регламент ЕС применяется в отношении обработки данных людей, которые находятся в ЕС, если обработка касается:
Следовательно, белорусским компаниям, которые предоставляют товары/услуги клиентам, находящимся на территории ЕС, уже необходимо принимать во внимание требование Регламента ЕС, для избежания санкций со стороны надзорного органа ЕС. Даже в том случае, когда такие требования еще не установлены в законе.
21 ноября
«Создать успешное агентство — как выиграть в казино», сооснователь WakeApp Эдуард Лебедев
19 ноября
Особое признание: Betera с двумя наградами престижной премии ADMA
19 ноября
Республиканский DemoDay – победители «Стартап-марафона» определятся в ближайшее время
19 ноября
3Х-кратный рост мясоперерабатывающего предприятия благодаря внедрению «1С:ERP Управление предприятием 2» компанией Академ и К
19 ноября
Бесплатные БелВЭБ-Кассы от Банка БелВЭБ!
18 ноября
Специальная партия SERES | AITO M5 уже в Минске: ваш рациональный выбор здесь и сейчас!
18 ноября
Международный форум ЭДО в Москве 2024: Взгляд на будущее электронного документооборота
18 ноября
Вторая жизнь рекламных баннеров: компания МТС презентовала уникальный мерч