Зачем нашему бизнесу закон о персональных данных, и какую пользу он принесет – мнение юриста

ИТ-компании, ритейлеры, медицинские центры и другие бизнесы в Беларуси, собирающие личную информацию о своих клиентах, вынуждены хранить и обрабатывать эти персональные данные «вслепую». Это сказывается на лояльности клиентов, вызывает настороженность иностранных инвесторов. На какие аспекты законодательства важно обратить внимание – своим мнением делится Тимофей Савицкий, младший юрист юридической компании COBALT.

– Защита персональных данных – уже давно актуальный вопрос для бизнеса во всем мире. Отсутствие качественной дискуссии по этому поводу в Беларуси вызывает некоторое удивление.

Почему работу с персональными данными важно регулировать

Под личной или персональной информацией в международной практике понимается практически все, что может идентифицировать определенного человека – от его имени и года рождения до информации о хобби и любимых мест досуга.

При этом, определенной охраной обладают даже данные, которые прямо не идентифицируют человека, но могут, например, в совокупности с другой информацией указывать на него.

Пример: при агрегации данных в социальных сетях комбинированная информация (предпочтения, год рождения, город проживания) может в итоге указать на имя и фамилию определенного человека.

В чем смысл защиты персональных данных? Любой человек может контролировать распространение информации о себе и решать, как и в каком объеме она сообщается третьим лицам. Например, компаниям.

Огромное количество людей, включая потребителей из Беларуси, пользуются информационными технологиями без понимания, что оставляют за собой «информационный след».Они предоставляют персональные данные компаниям в обмен на использование их сервисов.

Многие данные хранятся на серверах различных учреждений (от медицинских до образовательных), заносятся в разнообразные базы (от государственных учреждений до частных – баз данных социальных сетей, веб-сервисов и пр.).

Сбор и обработка персональных данных уже давно перешла в коммерческую область. Компании занимаются их анализом во время обработки big data, настройки контекстной рекламы и т.д.

Что происходит в Беларуси

В Беларуси, к сожалению, правовое регулирование данных вопросов пока крайне фрагментарно. Сбор, обработка и хранение персональных данных регулируются несколькими законами.

«Закон о регистре населения». Понятие «персональные данные» определяются вполне конкретно – имя, фамилия, дата рождения, пол, дата вступления в брак. Всего около 30 позиций.

Фактически, под персональными данными понимается идентификационная информация, собираемая государственными органами для ведения регистра и баз данных госорганов.

Законом никак не определяется, как коммерческим компаниям использовать подобную информацию. «Закон об информации, информатизации и защите информации». Регулирует вопрос сбора, обработки и хранения персональных данных лишь частично. В нем четко прописаны лишь принципы:

• «Согласия» (не разрешается собирать и обрабатывать персональные данные, передавать их третьим лицам без согласия субъекта)
• «Осведомленности» (субъект вправе знать, какие данные о нем хранятся в различных системах – на серверах компаний, на бумажных носителях и т.д.)

В нем, как и в предыдущем законе, отсутствует несколько важных моментов. Не определяется, как получать данные:

• При каких обстоятельствах
• Кто их собирает
• Какими способами

Остальные же аспекты не прописаны. Например:

1. Возможность корректировать или удалять персональные данные, которые хранит компания.

2. Сбор только той информации, которая нужна для конкретно определенных целей компании.

«Закон о переписи населения». Он узкоспециализированный, поэтому наибольшего внимания заслуживают первые два.

Чего еще нет в законодательстве

В целом, законодательство не выделяет конкретные критерии отнесения информации к персональной.

Фактически новые виды данных, будь то генетическая информация или IP-адреса, пропадают из поля зрения белорусского законодателя.Не устанавливаются четкие правила игры для компаний, занимающихся обработкой персональных данных. К ним можно отнести практически любой бизнес. Например:

• Ритейлеры, выдающие дисконтные и накопительные карты при заполнении анкеты, где вводятся персональные данные
• ИT-компании, выпускающих мобильные приложения и программное обеспечения. Как известно, при их использовании конечный пользователь обязан предоставлять свои персональные данные

Нет понятия «чувствительных данных», относящегося, например, к медицинской (история болезней, физические показатели здоровья, выписанные рецепты и т.д.) и финансовой информации (размер уплаченных налогов, доход и т.д.).

Нормы почти не затрагивают бизнес-аспекты сбора и обработки личной информации. Так, в «Законе о здравоохранении» говорится лишь о врачебной тайне и информационных отношениях между врачом и пациентом. Вопросы сбора, обработки и хранения медицинской информации в широком смысле совсем не затрагиваются.

Например: неясно, какими принципами должна руководствоваться компания, выпускающая фитнес-трекеры или мобильные приложения, считывающие информацию о здоровье потребителя.

• Как такие данные должны храниться и в течение какого времени
• Могут ли они передаваться в иностранные юрисдикции 

Почему законодательство о персональных данных важно для бизнеса

Существующие нормы не решают многие актуальные вопросы трансграничной передачи данных, электронного маркетинга (включая интернет-маркетинг, таргетинг). Нет механизма привлечения к ответственности за нарушения правил сбора, обработки и хранения персональной информации для компании из любой сферы.

Да, отсутствие четкого регулирования позволяет белорусским компаниям беспрепятственно собирать, обрабатывать и хранить огромные массивы личных данных о клиентах. Главное, чтобы были соблюдены базовые условия – например, получено письменное согласие клиента, который предоставил информацию о себе.

В краткосрочной перспективе баланс между бизнес-интересами и интересами потребителей может быть и ненужным – это повлечет лишние издержки. Необходимо будет отслеживать изменения в законодательстве и пр. Однако в среднесрочной и долгосрочной перспективе такой баланс необходим.

Имиджевый аспект. Отсутствие регулирования воспринимается как отсутствие гарантий и безопасности. Это негативно сказывается на лояльности потребителя.  

Если четко регламентированных норм нет даже на такие простые операции, как анкетирование, сбор персональной информации для регистрации на сайте, получения дисконтной карты в магазине и т.д., то эти действия могут нарушить уже существующие в законодательстве правила.

Препятствие некоторым бизнесам. Отсутствие правовых гарантий по сбору, обработке и хранению персональных данных может мешать приходу в Беларусь крупных ИT,  телекоммуникационных компаний. Их бизнес-модель зачастую включает обработку и транснациональную передачу персональных данных.

Во многих странах и юрисдикциях (например, ЕС) запрещено передавать персональные данные граждан в иные страны, если там не гарантирован равный правовой режим. То есть, Беларусь может представляться для многих крупных компаний как «небезопасная» юрисдикция. 

Персональные данные – смешанная категория. Она включает как коммерческие аспекты (персональные данные как товар), так и аспекты, связанные с конституционными правами (элемент права на неприкосновенность частной жизни и пр.).

Например, в «Законе об информации» прописано, что согласие на сбор персональных данных должно быть дано письменно – без уточнения на конкретные формы такого письменного согласия.

Не совсем ясно, является ли письменным согласием клик по соответствующей отметке в поле  сайта («Я согласен на обработку персональных данных»). В случае, если «письменное согласие» не распространяется на подобную электронную форму, существует риск, что подобный сбор персональной информации будет незаконным.

Перспективы

По информации на февраль этого года, до конца 2016 в нашей стране будет разработана концепция закона «О персональных данных». Однако его содержание пока неизвестно.

На наш взгляд, крайне важным является установление баланса между обязанностями компаний и правами физических лиц. Излишняя «зарегулированность» сферы не привнесет желаемого результата.

Закон о персональных данных должен гарантировать, что будут соблюдаться основные международные принципы обработки персональных данных, обязанности всех участников, механизмы трансграничной/международной передачи персональных данных.

Вот что, по моему мнению, важно уточнить в законодательстве: