Согласно абз. 8 ч. 1 cт. 1 Закона оператор — это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с указанными лицами организующие и (или) осуществляющие обработку персональных данных. При этом к персональным данным относится любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (абз. 9 ч. 1 ст. 1 Закона).
Справочно.
Субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных (абз. 13 ч. 1 ст. 1 Закона).
Таким образом, любая организация является оператором персональных данных: как минимум в отношении данных о собственных участниках (если это физические лица), их представителях (например, если участник — юридическое лицо), работниках и представителях своих клиентов (или самих клиентов, если они — физические лица). Соответственно, уже к 15 ноября 2021 г. каждая организация должна привести свою деятельность в области обработки персональных данных в соответствие со стандартами, установленными Законом.
Шаг 1. Приведение в соответствие внутренних процессов оператора
Закон предусматривает, что операторы должны предпринять следующие меры по защите персональных данных:
1) назначить лицо или отдел, ответственные за защиту персональных данных в компании (абз. 2 п. 3 ст. 17 Закона);
2) разработать политику компании в отношении обработки персональных данных и сделать ее доступной для неограниченного круга лиц (в том числе посредством сети Интернет) (абз. 3 п. 3 ст. 17 Закона);
3) ознакомить работников с положениями законодательства о защите персональных данных, документами, определяющими политику субъекта хозяйствования в отношении обработки персональных данных, а также провести обучение работников (абз. 4 п. 3 ст. 17 Закона);
4) установить порядок доступа к персональным данным (абз. 5 п. 3 ст. 17 Закона);
5) осуществлять техническую и криптографическую защиту персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные (абз. 6 п. 3 ст. 17 Закона).
Зачастую организации возлагают работу по околоюридическим вопросам (защите коммерческой тайны, персональных данных) на юристов. Однако у юристов обычно отсутствуют знания о технической стороне защиты информации. Кроме того, из-за занятости специалиста дополнительные вопросы могут регулярно откладываться «на потом». Поэтому целесообразно создать в компании рабочую группу из представителей разных областей. В нее могут входить юрист, специалист по кадрам, сотрудник службы безопасности, системный администратор.
Шаг 2. Приведение в соответствие отношений с уполномоченными лицами
Ранее законодательство Республики Беларусь не разграничивало роли субъектов в процессе обработки персональных данных. Закон вводит понятия «оператор» — аналог «контролера» в Общем регламенте защиты персональных данных, принятом в Евросоюзе (General Data Protection Regulation, GDPR) — и «уполномоченное лицо» — аналог «процессора» в GDPR.
Уполномоченное лицо — это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах (абз. 16 ч. 1 ст. 1 Закона).
Справочно.
Оператора от уполномоченного лица отличить несложно. Если компания сама принимает решение об обработке персональных данных, она является оператором. Если компания обрабатывает персональные данные не по собственной инициативе, а по указанию другого лица (в том числе на основе договора), она является уполномоченным лицом.
Ситуации, когда компания поручает обработку персональных данных сторонним лицам, достаточно часты. Например, в небольшой компании учет кадров, воинский и бухгалтерский учет может вести специализированная организация или индивидуальный предприниматель. В этом случае такая специализированная организация или ИП будут являться уполномоченными лицами, а организация, поручившая им обработку персональных данных, — оператором.
Еще один пример — передача интернет-магазином функции доставки сторонней организации. Поскольку сторонняя организация будет иметь доступ к именам и адресам клиентов интернет-магазина, она будет обрабатывать персональные данные. Однако тот факт, что она делает это по запросу интернет-магазина, определяет ее роль как уполномоченного лица.
Закон закрепляет правила, как должны быть урегулированы отношения оператора и уполномоченного лица. Так, в договоре между ними должны быть предусмотрены:
1) цели обработки персональных данных;
2) действия, совершаемые с персональными данными;
3) обязательство по соблюдению конфиденциальности персональных данных;
4) меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона (п. 1 ст. 7 Закона).
До момента вступления в силу Закона такие договоры должны быть заключены либо приведены в соответствие с требованиями Закона (дополнительно урегулированы пункты, перечисленные выше).
Шаг 3. Контроль трансграничной передачи персональных данных
Ранее законодательство Республики Беларусь не регулировало вопросы передачи персональных данных за пределы Республики Беларусь.
Закон же закрепляет правило, согласно которому передача данных за пределы Республики Беларусь в страны, которые не обеспечивают надлежащий уровень защиты данных, запрещается (п. 1 ст. 9 Закона). Список таких стран на момент написания материала не опубликован.
Однако такая передача возможна при наличии определенных оснований, например, если получено согласие субъекта персональных данных на такую передачу при условии, что субъект уведомлен о рисках такой передачи (абз. 2 п. 1 ст. 9 Закона).
Шаг 4. Приведение в соответствие процессов обработки персональных данных
В п. 3 ст. 4 Закона закреплено, что обработка персональных данных осуществляется с согласия субъекта персональных данных. В ряде случаев, перечисленных в ст. 6 Закона, обработка персональных данных может осуществляться без согласия субъекта персональных данных:
1) при получении персональных данных на основании договора, заключенного с субъектом персональных данных, в целях совершения действия, установленных этим договором;
Справочно.
Если субъект заказывает товар в интернет-магазине и оставляет свой адрес для доставки товара на дом, согласие на обработку таких данных не требуется, поскольку данные получены на основании договора в целях его исполнения (доставки товара).
2) при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством, и в других случаях.
Важно отметить, что Закон предусматривает ряд требований к согласию, которые должны быть соблюдены, чтобы оно считалось действительным (ранее законодательство Республики Беларусь содержало только общие требования о необходимости получать согласие, но не устанавливало никаких требований к согласию):
1) Закон требует, чтобы согласие было свободным, однозначным и информированным (п. 1 ст. 5 Закона);
2) Закон устанавливает форму, в которой согласие может быть получено: в письменной форме, в форме электронного документа или в иной электронной форме, в том числе путем проставления пользователем галочки в чек-боксе (пп. 2, 3 ст. 5 Закона) (ранее — только в письменной форме);
3) Закон обязывает сообщить субъекту персональных данных некоторую информацию перед получением согласия, а также простым и ясным языком разъяснить субъекту персональных данных его права, механизм их реализации, последствия дачи и отказа от дачи согласия (ч. 2 п. 5 ст. 5 Закона).
Справочно.
В силу ч.1 п. 5 ст. 5 Закона до получения согласия субъекта данных оператор обязан предоставить ему следующую информацию:
– наименование оператора;
– цели обработки персональных данных;
– перечень персональных данных, на обработку которых дается согласие;
– срок, на который дается согласие;
– сведения об уполномоченных лицах;
– сведения о действиях, осуществляемых с персональными данными.
Шаг 5. Контроль и соблюдение прав субъектов персональных данных
Закон предоставляет субъекту персональных данных право определенным образом распоряжаться своими персональными данными. В частности, субъекты персональных данных получают следующие права:
• право на отзыв согласия (ст. 10 Закона);
• право на получение информации об обработке данных (ст. 11 Закона);
• право на изменение персональных данных (ст. 11 Закона);
• право на получение информации о предоставлении данных третьим лицам (ст. 12 Закона);
• право требовать удаления данных или прекращения их обработки (ст. 13 Закона).
Оператор обязан в течение 15 дней (5 дней — в отношении права на получение информации об обработке персональных данных) после получения заявления субъекта персональных данных предоставить ему запрашиваемую информацию (или совершить соответствующее действие) либо уведомить о причинах отказа.
Справочно.
С 1 марта 2021 г. была введена административная ответственность (ст. 23.7 КоАП) за нарушение законодательства о защите персональных данных, а именно за незаконные сбор, обработку, хранение или предоставление персональных данных, нарушение прав субъекта данных, распространение персональных данных, несоблюдение мер обеспечения защиты персональных данных. А с 19 июня 2021 г. вступили в силу нормы УК, которые устанавливают уголовную ответственность за нарушение законодательства о персональных данных (ст. 203¹ и 203² УК).
