Вы на портале
Персональные данные

Законопроект «О персональных данных»: что нужно знать компаниям (часть 2)

В прошлом номере журнала мы описали действующий порядок защиты персональных данных и рассмотрели некоторые изменения, которые вносит законопроект «О персональных данных» (далее — Законопроект). Продолжая освещать нововведения, разберемся, когда работать с персональными данными можно без согласия лица и какие права имеют субъекты персональных данных, рассмотрим особенности обработки персональных данных и другие вопросы.

Кравченко Егор
Кравченко Егор

Старший юрист ООО «Лигалтакс», LLM 

9335 Shape 1 copy 6Created with Avocode.

Когда нужно получать согласие?

Законопроект построен таким образом, что использование персональных данных можно поделить на два больших блока:

1) с согласия субъекта персональных данных (ст. 5, п. 1 ст. 9 Законопроекта);

2) без согласия субъекта персональных данных (ст. 6, п. 2 ст. 9 Законопроекта). 

Так, не потребуется согласие на использование персональных данных: 

— для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов;

— при совершении нотариальных действий, оформлении наследственных прав;

— при заключении, исполнении договора, одной из сторон которого является субъект персональных данных.

Ввиду предлагаемого Законопроектом узкого подхода, основанного на единственном критерии в виде привязки к «сторонам» договора, под данное основание не будут подпадать, например, договоры, в которых физические лица не являются сторонами, а лишь выступают в качестве выгодоприобретателей. К примеру, страховщик не вправе будет использовать персональные данные выгодоприобретателя (третьего лица) со ссылкой на договор как основание для их использования в случае заключения договора страхования в пользу последнего. Это связано с тем, что стороной договора страхования в приведенном примере выгодоприобретатель не является. Соответственно страховщику, по всей видимости, нужно будет полагаться на другое основание для использования персональных данных выгодоприобретателя; 

Справочно.
Законопроект формально позволяет оператору ссылаться на договор как основание для обработки персональных данных и в случае, когда инициатива заключения договора исходит от оператора, а не от субъекта персональных данных. Теоретически это может создать почву для злоупотребления оператором своими правами: например, проведение предварительного сбора и анализа персональных данных на стадии заключения договора путем определения лиц, которым имеет смысл направлять оферту.

— при оформлении трудовых (служебных) отношений, в процессе трудовой (служебной) деятельности субъекта в случаях, предусмотренных законодательством.

Операторам будет предоставлено законное право получать нужные для трудоустройства персональные данные без необходимости получения согласия работника; 

Справочно.
В ТК до сих пор отсутствуют нормы, затрагивающие обращение с персональными данными работников.

— в иных случаях, предусмотренных Законопроектом. 

Форма получения согласия

В соответствии с Законопроектом теперь согласие субъекта персональных данных может быть получено не только в письменной, но и в электронной форме. 

Вид электронной формы строго не регламентирован — фактически допускается использование любых способов, позволяющих установить факт получения согласия. Оператор, выбирая электронный формат, должен быть готов при необходимости (например, по требованию органа по защите персональных данных) доказать факт надлежащего получения согласия от конкретного субъекта персональных данных.

Операторам, полагающимся на согласие как основание для использования персональных данных, следует учитывать, что в п. 4 ст. 5 Законопроекта закреплен перечень информации, которая должна быть предоставлена субъекту персональных данных до момента получения согласия (например, перечень персональных данных, в отношении которых дается согласие; цели их использования, срок действия согласия, сведения о лицах, которым выдается согласие, и др.), а также установлена обязанность оператора разъяснить субъекту персональных данных его права,  связанные со сбором, обработкой, распространением, предоставлением персональных данных, а также последствия согласия или отказа в даче согласия.

Справочно.
Оператор должен разъяснить субъекту персональных данных его права простым и ясным языком (ч. 2 п. 4 ст. 5 Законопроекта).

Минимизация и целевое ограничение

Минимизация и целевое ограничение — это ключевые принципы использования персональных данных, обеспечивающие в том числе и прозрачность. 

Основная задача — связать каждое использование персональных данных с заранее определенными и законными целями и не допустить необоснованного сбора персональных данных (например, запрос полных паспортных данных курьерской службой для осуществления доставки заказанного товара является избыточным). 

Операторы должны учитывать, что после достижения целей использования персональных данных они подлежат удалению (блокированию) при отсутствии оснований для дальнейшего их использования.

Права субъектов персональных данных

В Законопроекте впервые закреплена система прав физических лиц в отношении персональных данных. Одним из таких прав является право на «забвение» — право требовать прекращения сбора, обработки (за исключением обезличивания), распространения, предоставления персональных данных и (или) их удаления.

Данное право может быть реализовано в следующих случаях:

1. Отзыв согласия субъекта персональных данных при отсутствии иных оснований для использования персональных данных, предусмотренных Законопроектом и иными законодательными актами (п. 1 ст. 12 Законопроекта).

Справочно.
Субъект персональных данных вправе отозвать свое согласие посредством подачи оператору заявления (ст. 16 Законопроекта) либо в форме, посредством которой получено его согласие.

2. Окончание срока действия договора либо его расторжение, если иное не предусмотрено договором или актами законодательства (п. 3 ст. 12 Законопроекта).

3. По требованию субъекта персональных данных или без такого требования при отсутствии оснований для использования персональных данных, предусмотренных Законопроектом и иными законодательными актами (абз. 7 ч. 1 ст. 18, ч. 1 п. 1 ст. 15 Законопроекта). 

В случаях, указанных в пп. 1 и 3, право на «забвение» может быть реализовано лишь при отсутствии оснований для использования персональных данных, предусмотренных Законопроектом и иными законодательными актами. Следовательно, требование субъекта персональных данных о прекращении использования его персональных данных и их удалении не является абсолютным. В частности, операторам для отказа в реализации права на «забвение» будет достаточно найти другое законное основание для дальнейшего использования персональных данных или норму в законодательстве, исключающую возможность удаления персональных данных (например, сослаться на пятилетний срок хранения каждой записи кредитной истории). 

4. Право на «забвение» может быть реализовано по требованию субъекта персональных данных или без такого требования, если:

— персональные данные не являются необходимыми для заявленной цели их использования (то есть при избыточности, несоразмерности или необоснованности фактически используемого объема персональных данных для достижения конкретных заявленных целей); либо

— истек срок использования персональных данных, на который давалось согласие субъекта (то есть только если предшествующее использование персональных данных было основано на согласии, а не на иных законных основаниях); либо

— истек срок использования персональных данных, установленный законодательными актами (ч. 2 п. 1 ст. 15 Законопроекта). Например, применительно к ранее упомянутым кредитным историям по истечении установленного срока хранения Национальный банк аннулирует запись кредитной истории. 

Интересно, что Законопроект предлагает не использовать упомянутые в четвертом случае основания для реализации права на «забвение» в отношении «распространенных» персональных данных (ч. 2 п. 1 ст. 15 Законопроекта). Вместе с тем логика законодателя в данной ситуации не в полной мере ясна и прозрачна. Полагаем, что если законодатель заинтересован предусмотреть особые правила реализации права на «забвение» в отношении «распространенных» персональных данных, то логично было бы указать, что право на «забвение» к ним применяется лишь тогда, когда у оператора есть техническая возможность удалить (заблокировать) и прекратить использование таких данных.

Меры обеспечения защиты 

Несмотря на то, что оператор сам определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, Законопроект вводит перечень мер, которые являются обязательными к применению. Данные меры перечислены в п. 3 ст. 19 Законопроекта, и обязательность их применения в том числе зависит от юридического статуса оператора.

Справочно.
Распространенные персональные данные — персональные данные, с которыми может ознакомиться неопределенный круг лиц.

К примеру, оператору — юридическому лицу Республики Беларусь или иной организации необходимо назначить структурное подразделение/лицо, ответственное за использование персональных данных. Никаких норм, регламентирующих правовой статус таких ответственных подразделений или лиц, Законопроект не устанавливает.

Также, например, операторы должны: издать документы, определяющие их политику в отношении использования персональных данных, и предоставить к ним неограниченный доступ, в том числе через Интернет; установить порядок доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), и т.д.

Ответственность

Законопроект не предлагает каких-либо отдельных норм, предусматривающих ответственность. Вместе с тем ожидается, что новая редакция КоАП в случае ее принятия пополнится ст. 23.7 «Нарушение законодательства о защите персональных данных», предусматривающей ответственность:

— за умышленную незаконную обработку персональных данных физического лица без его согласия либо нарушение его прав, связанных с обработкой персональных данных;

— за те же деяния, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью; 

— за несоблюдение мер обеспечения защиты персональных данных.

Резюме.
Законопроект вносит некоторую ясность в правовое регулирование отношений по использованию персональных данных и потребует от белорусских субъектов предпринимать меры по соблюдению гарантий и прав субъектов персональных данных. Вместе с тем остаются нерешенными следующие вопросы:
— отсутствие права на переносимость персональных данных;
— отсутствие обязанности операторов уведомлять субъектов персональных данных о нарушениях систем защиты персональных данных и произошедших утечках;
— отсутствие права субъектов персональных данных на возражение в случаях принятия юридически значимых решений на основании исключительно автоматизированной обработки их данных;
— отсутствие легального закрепления набирающих популярность стандартов «privacy by design» и «privacy by default»*;
— отсутствие возможности у субъекта персональных данных подать оператору заявление для реализации своих прав в «обычной» электронной форме. Например, через заполнение электронной формы на веб-сайте оператора (допускается только личное обращение с документом, удостоверяющим личность, либо письменная форма, либо электронный документ).

* «Рrivacy by design» — стандарт, подразумевающий необходимость заблаговременного принятия мер по защите персональных данных в действиях, решениях, продуктах и бизнес-процессах компании. «Рrivacy by default» — стандарт, предполагающий предоставление субъекту персональных данных по умолчанию наиболее полной защиты персональных данных и обеспечивающий использование только персональных данных, необходимых для достижения конкретно заявленных целей их использования.

Дополнительно по теме:
>>Демидик И. Локализация персональных данных в России: стоит ли бояться белорусским операторам?
>>Негареш С., Салей И. Персональные данные и блокчейн: «тест на совместимость» 
>>Козлюк А. Что юристу необходимо знать о персональных данных и их защите в Беларуси (аудио) 

9335 Shape 1 copy 6Created with Avocode.
Последнее
по теме