Как сейчас защищаются персональные данные?
Понятие персональных данных
На сегодняшний день законодательство в области защиты персональных данных является фрагментарным и не имеет единого правового акта. Основными законодательными актами, регулирующими отдельные аспекты обработки и защиты персональных данных, являются Закон Республики Беларусь от 21.07.2008 № 418-З «О регистре населения» (далее — Закон о регистре населения) и Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» (далее — Закон об информации). Согласно абз. 24 ч. 1 ст. 1 Закона об информации под персональными данными понимаются основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами Республики Беларусь внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо.
В действительности это означает, что уже сейчас понятие персональных данных не ограничивается исключительно перечнем, установленным Законом о регистре населения, и распространяется также на любую информацию, способную идентифицировать определенное лицо. При этом Закон об информации не уточняет ни понятие идентификации, ни то, какими способами она может происходить.
Справочно.
Допускается в том числе и «косвенная» идентификация, которая широко признается за рубежом (например, в Регламенте GDPR).
В действующем законодательстве также пока не нашли прямого отражения и особые категории данных: биометрические, генетические и иные наиболее «уязвимые» персональные данные. Это означает, что их обработка производится на основании только общих правил, установленных ко всем персональным данным, без особых гарантий для физических лиц.
Получение письменного согласия
Закон об информации закрепляет необходимость получения обязательного письменного согласия физического лица:
— на сбор, обработку, хранение и пользование персональными данными;
— на последующую передачу персональных данных.
Вместе с тем действующее законодательство не дает ответа на вопрос о том, что же именно является письменной формой согласия для названных целей.
Справочно.
Специальных мер по защите персональных данных Закон об информации не приводит. На практике, поскольку персональные данные относятся к информации, распространение и (или) предоставление которой ограничено, нужно ориентироваться на общие меры по защите информации, а именно правовые, организационные и технические (ст. 28, 29 Закона об информации).
Несомненно, подписание физическим лицом согласия на бумажном носителе будет признано соблюденной письменной формой, однако получить согласие в такой форме бывает затруднительно.
Применение альтернативных методов получения согласия, при которых оно считалось бы полученным в письменной форме, является дискуссионным. Полагаем, что в связи с тем, что согласие физического лица порождает право у компании осуществлять обработку его персональных данных на законных основаниях, в качестве возможных альтернатив «бумажному согласию» могут быть использованы и иные способы с учетом общих правил о письменной форме сделки (ст. 161 ГК) и форме договора (п. 2 ст. 404 ГК), а также правил об акцепте (п. 3 ст. 408 ГК). Считаем, что следует признавать допустимым использование в том числе факсимильной подписи, любого иного аналога собственноручной подписи. Причем такое согласие может быть оформлено в качестве отдельного документа или, например, составной части соответствующего договора, заключаемого с физическим лицом.
Следует отметить, что данная проблема будет решена после принятия Закона «О персональных данных». Однако до его принятия и вступления в законную силу белорусским компаниям придется ориентироваться на положения в том числе Закона об информации.
Справочно.
Доступ к персональным данным без получения согласия имеют налоговые органы, ФСЗН, нотариусы, судебные исполнители, таможенные органы, КГК и др.
Вместе с тем исключения из необходимости получения обязательного письменного согласия физического лица могут устанавливаться законодательными актами (ч. 2 ст. 18 и ч. 2 ст. 32 Закона об информации).
Справочно.
Нарушение ч. 2 ст. 22.16 КоАП, в частности, касается собственников компьютерных клубов, интернет-кафе, домашних сетей и других мест, предоставляющих общий доступ к сети Интернет (п. 6 Указа Президента Республики Беларусь от 01.02.2010 № 60).
Ответственность
Действующее законодательство предусматривает административную ответственность:
— за умышленное незаконное разглашение персональных данных лицом, которому данные известны в связи с его профессиональной или служебной деятельностью (ст. 23.13 КоАП);
— за нарушение требований законодательных актов по учету и хранению персональных данных пользователей интернет-услуг (ч. 2 ст. 22.16 КоАП).
Какие изменения вносит Законопроект?
Новые участники отношений
Участниками отношений в области использования и защиты персональных данных будут являться операторы, уполномоченные операторами лица (далее — уполномоченное лицо), субъекты персональных данных, орган по защите персональных данных.
Оператором будет считаться государственный орган, физическое лицо, в том числе индивидуальный предприниматель, юридическое лицо Республики Беларусь, иная организация, самостоятельно или совместно с указанными лицами осуществляющие одно или несколько действий с персональными данными (сбор, обработка, распространение, предоставление персональных данных).
Подобную формулировку сложно назвать удачной: не конкретизированы «иные организации». Будут ли к ним относиться иностранные организации или только резиденты? Это напрямую влияет на вопрос об экстерриториальном действии будущего Закона.
Законопроект, исходя из толкования термина «оператор», также признает концепцию «со-операторов», то есть лиц, которые совместно совершают действия с персональными данными. Однако Законопроект не содержит положений, которые регламентируют взаимоотношения и ответственность «со-операторов». Получается, что каждый «со-оператор» должен соблюдать требования по обработке персональных данных и нести ответственность в полном объеме. При этом Закон не предусматривает права «со-операторов» заключить между собой соглашение для распределения своих функций и обязанностей.
Оператору будет предоставлено право поручить сбор, обработку, распространение, предоставление персональных данных «уполномоченному лицу». Такое «поручение» может основываться на договоре, акте законодательства или решении государственного органа. При этом «уполномоченное лицо» де-юре не имеет права перепоручения. На практике это может сработать так, что только сам оператор будет вправе определять распределение функций между несколькими «уполномоченными лицами», которые не будут подчиняться друг другу и будут нести индивидуальную ответственность непосредственно перед оператором.
Справочно.
У оператора появилась возможность на основании договора передать процесс обработки персональных данных на аутсорсинг (например, аналитические сервисы, облачные хранилища, платежные сервисы).
Ответственность перед субъектом персональных данных за действия «уполномоченного лица» будет нести оператор, а само «уполномоченное лицо» несет ответственность перед оператором (ст. 7 Законопроекта).
Предметная сфера
Законопроект будет распространяться на сбор, обработку, распространение, предоставление персональных данных, осуществляемые операторами:
— с использованием средств автоматизации;
— без использования средств автоматизации, если при этом обеспечивается поиск персональных данных и (или) доступ к таким персональным данным по определенным критериям (картотеки, списки, базы данных и др.).
Законопроект не нацелен на регулирование сбора, обработки и предоставления персональных данных физическими лицами в процессе исключительно личной или бытовой деятельности, не связанной с профессиональной или коммерческой деятельностью. Однако в Законе четкое понятие того, что понимается под такой деятельностью, не раскрыто.
Справочно.
Предполагаем, что отход от традиционной категории «предпринимательская деятельность» в пользу профессиональной и коммерческой деятельности обусловлен стремлением максимально охватить все возможные способы коммерциализации использования персональных данных.
Предполагаем, что личная или бытовая деятельность может включать в себя личную переписку, взаимодействие через социальные сети, иную активность в сети Интернет, а также использование персональных данных в личных или семейных целях (например, сын запрашивает личные данные матери для направления ей денежного перевода) без намерения использовать полученные данные в профессиональной (например, врачебной, ремесленной, адвокатской и др.) или коммерческой деятельности (например, для предложения товаров, работ или услуг). В иных случаях Законопроект, на наш взгляд, должен применяться.
Территориальная сфера действия
Действие Законопроекта ввиду отсутствия конкретных предписаний о его экстерриториальности ограничено исключительно территорией Республики Беларусь, а значит, и распространяется только на лиц, находящихся в ее пределах и под ее юрисдикцией.
В настоящее время получается двойственная ситуация. С одной стороны, белорусские субъекты, выступая операторами, должны соблюдать требования Законопроекта и предоставлять гарантии и права любым субъектам данных независимо от гражданства (Законопроект не затрагивает критерии гражданства и места жительства). С другой стороны, Закон не предлагает методов воздействия по соблюдению требований белорусского законодательства на иностранных субъектов, которые обрабатывают персональные данные физических лиц, находящихся в Республике Беларусь.
В этой связи видится спорным отсутствие намерения законодателя обеспечить защиту персональных данных от недобросовестных иностранных субъектов.
Понятие персональных данных
Под персональными данными будет пониматься любая информация, относящаяся к физическому лицу, которое индентифицировано или может быть идентифицировано на основании такой информации (абз. 9 ч. 1 ст. 1 Законопроекта).
Различные части информации, не обладающие по отдельности идентифицирующими свойствами, при объединении могут идентифицировать конкретное лицо. В таком случае они становятся персональными данными. Если же информация носит обобщенный характер и не позволяет с достаточной определенностью идентифицировать физическое лицо, то она не относится к персональным данным.
Специальные и общедоступные персональные данные
Законопроект вводит категорию «специальные персональные данные», в которую входят персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, религиозных или других убеждений, здоровья или половой жизни, судимости, а также биометрические и генетические персональные данные.
Справочно.
Правила обращения с персональными данными будут обязательны для соблюдения белорусскими операторами вне зависимости от гражданства и места жительства физических лиц, чьи персональные данные обрабатываются.
Причина появления такой категории — следование трендам, а также особая уязвимость и ценность специальных персональных данных, что требует повышенных мер и стандартов защиты прав их субъектов. Для того, чтобы обрабатывать такие данные, нужно либо получить согласие субъекта данных, либо подпадать под исключения, установленные в п. 2 ст. 9 Законопроекта (например, данные сделаны общедоступными самим субъектом).
Законопроект выделяет общедоступные персональные данные — персональные данные, распространенные их субъектом с его согласия или в соответствии с требованиями законодательства (абз. 7 ч. 1 ст. 1 Законопроекта).
Согласно Законопроекту, во-первых, требования к обеспечению конфиденциальности общедоступных персональных данных не устанавливаются; во-вторых, согласие на их обработку получать не нужно; в-третьих, допускается их трансграничная передача, даже если в другом государстве не обеспечивается надлежащий уровень их защиты.
Справочно.
При подходе, изложенном в Законопроекте, общедоступные персональные данные не подлежат реальной защите и контролю их использования — фактически такие данные могут свободно «уплыть» за пределы страны.
Если персональные данные стали широкодоступными неправомерно, то для целей Законопроекта они не будут считаться общедоступными, а значит, субъект персональных данных вправе требовать принятия мер по обеспечению их конфиденциальности и защиты. Вместе с тем на практике субъект данных не всегда может оперативно и эффективно восстановить свои права и устранить допущенные нарушения. Поэтому выделение в Законопроекте общедоступных персональных данных с подобного рода исключениями в отношении их использования является неоднозначным и, скорее всего, связано с ориентацией на подходы российского права и стремлением облегчить жизнь белорусским операторам.
Продолжение статьи читайте в следующем номере журнала. Будут рассмотрены основания для сбора, обработки, распространения и предоставления персональных данных, права субъектов персональных данных, особенности обработки персональных данных и другие вопросы.
