Блог

15 ноября 2021 г. вступает в силу Закон от 07.05.2021 № 99-З «О защите персональных данных». Это первый закон, специально посвященный персональным данным в Беларуси. Его положения значительно изменяют и уточняют регулирование обработки персональных данных, а это может затронуть практически каждую компанию.

Из комментария вы узнаете, что нового предусмотрено для организаций; что предпринять для соблюдения Закона № 99-З; какие права получают лица, чьи данные собираются и используются; какие меры предусмотрены для защиты персональных данных.

Справочно До принятия Закона № 99-З использование персональных данных регулировалось: • Законом от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»; • Законом от 21.07.2008 № 418-З «О регистре населения»; • + правовыми актами, касающимися права использования персональных данных в определенных сферах (в основном государственными органами и организациями). Отдельного закона об использовании персональных данных не было.

Что такое персональные данные

Персональные данные — любая информация, относящаяся к:

1) идентифицированному физическому лицу;

2) физическому лицу, которое может быть идентифицировано (то есть прямо или косвенно определено через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности) (абз.9, 17 ст.1 Закона № 99-З).

В целом сохраняется действующий подход, в соответствии с которым персональными данными является любая информация, с помощью которой возможно идентифицировать лицо.

Как было:

Как будет с 15 ноября 2021 г.:

До принятия Закона № 99-З понятие персональных данных определялось через категории основных и дополнительных данных физического лица, подлежащих внесению в регистр населения, а также иных данных, позволяющих идентифицировать такое лицо (ст.4 Закона № 455-З). Однако по сути использование данных никак не дифференцировалось исходя из их категорий

Законом № 99-З выделяется особая категория персональных данных — специальные персональные данные (абз.12 ст.1 Закона № 99-З), которая включает в себя данные о: — расовой или национальной принадлежности, — политических взглядах, — членстве в профессиональных союзах, — религиозных или других убеждениях, — здоровье или половой жизни, — привлечении к административной или уголовной ответственности, — физиологических и биологических особенностях человека (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое), которые используются для его уникальной идентификации (биометрические персональные данные) (абз.2 ст.1 Закона № 99-З); и генетические персональные данные — наследуемые либо приобретенные генетические характеристики человека, которые содержат уникальные данные о его физиологии либо здоровье (абз.4 ст.1 Закона № 99-З)

В отношении специальных персональных данных предусматриваются дополнительные гарантии: осуществление их обработки допускается лишь при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при этом для прав и свобод субъектов персональных данных (п.3 ст.8 Закона № 99-З).

Кроме того, выделяется такая категория персональных данных, как общедоступные — это персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов (абз.7 ст.1 Закона № 99-З).

Если, например, специальные персональные данные сделаны общедоступными самим субъектом персональных данных, то согласие на их обработку не требуется (абз.2 п.2 ст.8 Закона № 99-З).

Проверьте! Используются ли персональные данные в деятельности вашей организации:

• заполнение анкет и проведение опросов;
• составление договоров (гражданско-правовые, трудовые), получение заявлений;
• сбор информации на сайте компании о пользователях с помощью куки-файлов;
• данные приложения или иного продукта (геолокация, изображения и иные данные пользователей);
• операции с любыми данными о любом человеке в ходе любой деятельности.

Обработку каких данных не регулирует Закон № 99-З

Из сферы действия Закона № 99-З исключены отношения, касающиеся случаев обработки персональных данных, отнесенных в установленном порядке к государственным секретам (п.2 ст.2 Закона № 99-З).

Кроме того, требования Закона № 99-З могут не соблюдаться при обработке персональных данных физическими лицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью (п.2 ст.2 Закона № 99-З).

Во всех остальных случаях обработка персональных данных требует учитывать положения Закона № 99-З. Кроме того, если законодательным актом, устанавливающим правовой режим охраняемой законом тайны, предусматриваются особенности обработки персональных данных, входящих в состав охраняемой законом тайны, применяются положения этого законодательного акта (п.3 ст.3 Закона № 99-З).

Новые категории субъектов: оператор и уполномоченное лицо

Закон № 99-З вводит две новые категории субъектов в сфере обработки и защиты персональных данных: оператор и уполномоченное лицо.

Любой субъект, который самостоятельно или совместно с кем-либо организует и (или) осуществляет обработку персональных данных, является оператором (абз.8 ст.1 Закона № 99-З).

Справочно Закон № 99-З приводит следующий перечень операторов: государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель.

По сути, оператором может стать любое лицо, которое осуществляет обработку персональных данных в связи с профессиональной или предпринимательской деятельностью. При этом не важно, как именно обрабатываются данные: с помощью автоматизированных средств или без них (например, картотеки, списки и т. п.) (п.1 ст.2 Закона № 99-З).

При этом законодатель признает, что не всегда непосредственную обработку данных (или часть действий с ними) осуществляет оператор. В этой связи введена такая категория как уполномоченное лицо — субъект, который осуществляет обработку персональных данных от имени оператора или в его интересах в соответствии с актом законодательства или на основании договора (абз.16 ст.1 Закона № 99-З).

Справочно К числу операторов Законом № 99-З отнесены: • государственный орган, • юридическое лицо Республики Беларусь, • иная организация, физическое лицо.

Важно! Если на лицо распространяется статус оператора или уполномоченного лица, оно обязано соблюдать требования, установленные законодательством о защите персональных данных.

Права субъектов персональных данных. Согласие на обработку

Субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных (абз.13 ст.1 Закона № 99-З).

Обработка персональных данных подразумевает под собой любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных (абз.6 ст.1 Закона № 99-З).

В Законе № 99-З согласие на обработку является базовым основанием для обработки (п.3 ст.4 Закона № 99-З). Однако законодатель учел разнообразие ситуаций, при которых могут собираться и обрабатываться персональные данные, указав случаи, при которых обработка персональных данных будет законной и без получения на это согласия.

Перечень таких случаев достаточно широкий и в основном связан с деятельностью государственных структур при осуществлении ими своих функций (ст.6 Закона № 99-З). Однако некоторые изъятия важны и непосредственно применимы в деятельности для субъектов хозяйствования. Так, например, согласие на обработку персональных данных не требуется при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством (абз.8 ст.6 Закона № 99-З). Также отдельное согласие не требуется, если оператор получает персональные данные на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором (абз.15 ст.6 Закона № 99-З). Случай, когда физическое лицо указывает персональные данные в документе, подписанном им и адресованном оператору (запрос, заявление, обращение и т. п.), также подпадает под изъятие (абз.16 ст.6 Закона № 99-З).

Как было:	Как будет с 15 ноября 2021 г.:
До принятия Закона № 99-З единственным основанием как для сбора и обработки персональных данных, так и для их передачи любым третьим лицам, было согласие субъекта данных, предоставляемое в письменной форме (ст.4 Закона № 455-З)	Закон № 99-З сохраняет возможность фиксации дачи согласия в письменной форме, в виде электронного документа или в иной электронной форме (например, введение подтверждающего кода из смс-сообщения, проставление отметки «я согласен» в соответствующей форме на сайте и т. п.) (п.3 ст.5 Закона № 99-З)

Важно! Согласие субъекта персональных данных — это свободное, однозначное, информированное выражение его воли (п.1 ст.5 Закона № 99-З). Исходя из практики реализации схожих норм за рубежом, согласие не будет считаться полученным:

• если лицу не была дана полная и понятная информация об обработке данных;
• если лицо было вынуждено дать согласие, чтобы воспользоваться определенной услугой (хотя сама по себе эта услуга не требует использования персональных данных);
• если невозможно достоверно установить наличие согласия (например, когда согласием на обработку считается использование лицом сервиса).

Субъект персональных данных имеет право в любое время без объяснения причин отозвать свое согласие на обработку данных, а если такое согласие не давалось (либо отсутствуют иные законные основания для обработки) — потребовать прекращения их обработки и (или) удаления (п.1 ст.10 Закона № 99-З).

При этом отзыв согласия действует только на будущее время: персональные данные, которые обрабатывались пока действовало согласие, считаются обрабатывавшимися на законной основе (а соответствующие материалы, в которых могли бы быть зафиксированы данные лица, не подлежат изъятию из гражданского оборота) (п.4 ст.10 Закона № 99-З).

Также субъект персональных данных имеет право получить информацию о том, какие данные о нем имеются у оператора, а также потребовать корректировки сведений о себе (пп.1-4 ст.11 Закона № 99-З). Один раз в году можно также на безвозмездной основе получить информацию о том, кому (каким третьим лицам) предоставлялись персональные данные субъекта (абз.1 п.1 ст.12 Закона № 99-З).

Субъект персональных данных вправе обжаловать действия (бездействие) и решения оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных, а далее — в суд (ст.15 Закона № 99-З).

Справочно Пример письменного согласия на обработку персональных данных содержится в приложении 8 к Инструкции о порядке выписывания рецепта врача и создания электронных рецептов врача, утвержденной постановлением Минздрава от 31.10.2007 № 99.

Обязанности операторов

Закон № 99-З возлагает достаточно много обязанностей на оператора. В основном они указаны в ст.16 Закона № 99-З. Вместе с тем многие обязанности конкретизируются и раскрываются в иных статьях. В этой связи нами составлен следующий перечень основных обязанностей операторов:

Перечень основных обязанностей операторов

Обязанность	Норма Закона № 99-З
1. Обеспечивать на всех этапах обработки персональных данных справедливое соотношение интересов всех заинтересованных лиц	Пункт 2 ст.4
2. Обеспечивать соразмерность обработки персональных данных заявленным целям их обработки	Пункт 2 ст.4
3. При изменении целей обработки персональных данных получать на это отдельное согласие	Пункт 4 ст.4
4. Принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их (а также корректировать по запросам субъектов данных)	Пункт 7 ст.4, п.1 ст.16
5. Хранить персональные данные не дольше, чем это требуют заявленные цели обработки	Пункт 8 ст.4
6. Предоставлять субъекту данных информацию обо всех условиях обработки персональных данных. Важно! Рекомендуется разработать стандартные формы для различных категорий персональных данных	Абзацы 2, 5 п.1 ст.16
7. Предоставлять пользователю отдельный документ (в письменном или электронном виде), в котором простым и ясным языком разъяснить субъекту данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия	Часть 2 п.5 ст.5
8. Получать согласие на обработку персональных данных от субъектов данных. Важно! Рекомендуется обеспечить фиксацию и хранение соответствующих данных, так как согласно п.7 ст.5 Закона № 99-З обязанность доказывания получения согласия субъекта персональных данных возлагается на оператора	Абзац 3 п.1 ст.16
9. Обеспечивать защиту персональных данных	Абзац 4 п.1 ст.16
10. При обработке специальных персональных данных принимать комплекс мер, направленных на предупреждение рисков, которые могут возникнуть при этом для прав и свобод субъектов персональных данных	Пункт 3 ст.8
11. Соблюдать процедуры и условия трансграничной передачи данных	Статья 9
12. При получении заявления от субъекта персональных данных при наличии установленных оснований прекратить обработку данных, осуществить их удаление (или, в зависимости от технических возможностей, блокирование) и уведомить субъекта об этом	Абзац 7 п.1 ст.16
13. По запросу субъекта персональных данных предоставлять ему в доступной форме информацию о том, какие его данные обрабатываются и как (категории, сроки, источники и т. п.), кому они передавались	Абзац 5 п.1 ст.16
14. В установленном порядке уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных	Абзац 8 п.1 ст.16
15. Выполнять указания уполномоченного органа по защите прав субъектов персональных данных по изменению, блокированию или удалению недостоверных или полученных незаконным путем персональных данных	Абзац 9 п.1 ст.16

Справочно Закон № 99-З предусматривает создание уполномоченного органа по защите персональных данных, анализ деятельности которого не входит в предмет настоящего материала (гл.4).

Меры по защите персональных данных

Особое внимание законодатель уделяет мерам по защите персональных данных (ст.17 Закона № 99-З). Оператор (уполномоченное лицо) обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных (п.1 ст.17 Закона № 99-З).

Действующий Закон № 455-З уже предусматривает необходимость принятия правовых, технических и организационных мер по защите информации (при этом персональные данные также защищаются данным Законом как информация ограниченного распространения) (абз.10 ст.1, ст.29 Закона № 455-З). Таким образом, субъекты, у которых данные меры уже реализованы, должны будут их скорректировать с учетом дополнительных требований, которые устанавливаются Законом № 99-З.

Если операторы и уполномоченные лица относятся к таким категориям субъектов как государственные органы, юридические лица Республики Беларусь, иные организации, они должны издать документы, определяющие политику оператора (уполномоченного лица) в отношении обработки персональных данных, и обеспечить к ним неограниченный доступ, например, через Интернет, до начала такой обработки (п.4 ст.17 Закона № 99-З).

Кроме того, должно быть назначено структурное подразделение или лицо, ответственное за внутренний контроль за обработкой персональных данных (абз.2 п.3 ст.17 Закона № 99-З).

Как было:	Как будет с 15 ноября 2021 г.:
Госорганы и юрлица, осуществляющие обработку информации, распространение и (или) предоставление которой ограничено (к которым относятся и персональные данные), определяют соответствующие подразделения или должностных лиц, ответственных за обеспечение защиты информации (ст.29 Закона № 455-З)	Субъекты хозяйствования будут иметь возможность либо расширить функционал имеющихся подразделений (ответственных лиц), либо выделить для данного направления работы дополнительный штат

Обязательным является ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с политиками в сфере защиты персональных данных, а также прохождение необходимого обучения (абз.4 п.3 ст.17 Закона № 99-З). Потребуется также установить порядок доступа к персональным данным, принять меры по осуществлению на должном уровне технической и криптографической защиты (абз.5 п.3 ст.17 Закона № 99-З).

Ответственность в сфере защиты персональных данных

Административная ответственность

С 1 марта 2021 г. скорректированы нормы КоАП об ответственности за нарушения в сфере персональных данных.

Как было до 1 марта 2021 г.:

Как будет с 15 ноября 2021 г.:

Статья 22.13 КоАП касалась только узкого круга физических лиц (которым коммерческая или иная охраняемая законом тайна либо персональные данные известны в связи с профессиональной или служебной деятельностью). Умышленное разглашение коммерческой или иной охраняемой законом тайны без согласия ее владельца либо умышленное незаконное разглашение персональных данных лицом, которому коммерческая или иная охраняемая законом тайна либо персональные данные известны в связи с его профессиональной или служебной деятельностью, если в этих деяниях нет состава преступления, влекут штраф от 4 до 20 БВ (ст.22.13)

С 1 марта 2021 г. ответственность распространяется и на физлиц, и на юрлиц. Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, влекут штраф до 50 БВ (ч.1 ст.23.7 КоАП). Деяния, предусмотренные ч.1 ст.23.7 КоАП, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, влекут штраф от 4 до 100 БВ (ч.2 ст.23.7 КоАП). Умышленное незаконное распространение персональных данных физических лиц влечет штраф до 200 БВ (ч.3 ст.23.7 КоАП). Несоблюдение мер обеспечения защиты персональных данных физических лиц влечет штраф от 2 до 10 БВ, на ИП — от 10 до 25 БВ, а на юрлицо — от 20 до 50 БВ (ч.4 ст.23.7 КоАП)

Уголовная ответственность

Планируется ужесточить уголовную ответственность за незаконное раскрытие персональных данных (на рассмотрении в Парламенте находится проект изменений в УК). В частности, предлагается ввести уголовную ответственность за умышленное незаконное предоставление информации о частной жизни и персональных данных другого лица без его согласия, повлекшее причинение существенного вреда правам, свободам и законным интересам гражданина, совершенное в том числе в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга.

Сейчас в ст.179 УК предусмотрена ответственность только за незаконное предоставление сведений о частной жизни (личная или семейная тайна), и не упоминаются персональные данные.

Кроме того, уголовная ответственность предусмотрена за разглашение тайны усыновления (удочерения) (ст.177 УК); разглашение врачебной тайны (ст.178 УК).

Рекомендации: действия для самопроверки

Рекомендуем уделить особое внимание вопросу защиты персональных данных физических лиц, проведя «ревизию» соответствующей сферы.

Последовательность действий для самопроверки

Действие	Комментарий
1. Определите, персональные данные каких категорий физических лиц вы используете	Среди наиболее часто встречающихся — данные о работниках, представителях контрагентов, клиентах (например, физические лица могут оставить свои данные при заполнении информации для аккаунтов на веб-сайтах, в приложениях, при заполнении карт лояльности или при обращении в организацию по любому вопросу)
2. Определите категории персональных данных, которые могут собираться по упрощенной процедуре (то есть без получения согласия субъекта данных) в силу прямого указания закона	Обратите внимание на нюансы соответствующих изъятий. Например, данные работников (в объеме, который требуется законодательством) могут собираться без получения от них на то отдельного согласия. Однако некоторые сведения не в полной мере связаны со вступлением в трудовые отношения. К примеру, работник может прислать резюме, которое не требуется по трудовому договору. Либо в автобиографии от работника может быть запрошена/изложена информация о его родственниках (так как они не вовлекаются в трудовые отношения с нанимателем, может быть поставлен вопрос о правомерности сбора и обработки соответствующих данных). В этой связи рекомендуем обратить внимание на то, какие сведения истребуются от работника, оценить их реальную необходимость для работы организации. Исключить из шаблонов запрос сведений, которые не касаются непосредственно работника
3. Формализуйте порядок сбора персональных данных во внутренних политиках организации, в этих целях:
3.1. Определите цели, для которых собираются персональные данные, а также их объем. С учетом проведенного анализа оцените, насколько эти данные необходимы, чтобы максимально сократить объем собираемой и обрабатываемой информации, ограничить сроки их хранения
3.2. Разработайте политику обработки персональных данных, регулирующую процедурные вопросы их сбора, обработки внутри организации, а также передачи третьим лицам, в том числе с учетом деятельности. Однозначно определите структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных. Обеспечьте согласование с ними всех основных решений в деятельности организации, которые могут затронуть обработку персональных данных. При необходимости обучите персонал работе с персональными данными. Все лица, работающие с персональными данными, должны понимать, какую информацию они имеют право раскрывать третьим лицам, как следует реагировать на инциденты безопасности, связанные с угрозой персональным данным, а также какие шаги должны быть приняты после такого инцидента
3.3. Разработайте и утвердите политику обработки персональных данных для «внешнего контура», то есть раскрывающую достаточно подробно информацию о том, как, для чего, на каких условиях и на какой срок собираются данные, а также как можно отказаться от их сбора или потребовать удаления информации (в том числе формы согласий с учетом собираемых персональных данных и целей их сбора)
4. Предусмотрите периодический анализ собираемых и хранимых персональных данных, чтобы исключить хранение информации, которая более не является необходимой для организации

31.05.2021

Надежда Шакель, кандидат юридических наук, советник Адвокатского бюро «Степановский, Папакуль и партнеры»

По этой теме также см.:

1. Создан Национальный центр защиты персональных данных. Комментарий к Указу от 28.10.2021 № 422.
2. Защита персональных данных. Комментарий к Указу от 28.10.2021 № 422.
3. Алгоритм принятия решения о способе организации контроля за обработкой персональных данных и введения в штат должности DPO (data protection officer, менеджера (специалиста, инженера) по защите персональных данных) ответственного за осуществление внутреннего контроля за обработкой персональных данных.
4. Политика в отношении обработки персональных данных ООО «Рассвет» (пример).