Каждый субъект хозяйствования в том или ином виде имеет дело с персональными данными физических лиц: данные собираются в маркетинговых целях, для рассылки уведомлений об акциях и скидках и т.д. Персональные данные становятся отдельной важной зоной ответственности современного бизнеса. Одно из главных условий для правильной работы с такой информацией — понимание установленного правового режима.
Что такое персональные данные физических лиц?
В настоящее время в Республике Беларусь нет специального закона о персональных данных. В Плане подготовки законопроектов на 2016 г., утвержденном Указом Президента Республики Беларусь от 31.12.2015 № 530, предусмотрена разработка концепции проекта закона «О персональных данных», которая должна быть внесена на согласование Президенту к сентябрю 2017 г.
Пока же основные вопросы персональных данных отражены в двух законах:
- Законе Республики Беларусь от 21.07.2008 № 418-З «О регистре населения» (далее — Закон о регистре);
- Законе Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» (далее — Закон об информации).
Справочно
В 2012 г. Еврокомиссия предложила реформу правил защиты информации в Евросоюзе. Основными ее целями были названы возврат гражданам контроля над их персональными данными и упрощение регулирования для бизнеса. Результатом реформы стало принятие Регламента (ЕС) 2016/679 от 27.04.2016 о защите физических лиц в связи с обработкой персональных данных и свободном перемещении таких данных (Регламент (ЕС) 2016/679), который заменил Директиву 95/46/ЕС, принятую еще в 1995 г.
Закон о регистре сам по себе имеет специфическое назначение. Сфера его регулирования сводится к установлению режима персональных данных только для целей ведения регистра населения (государственной централизованной автоматизированной информационной системы) и не охватывает сферу частных отношений*. Однако в аспекте защиты персональных данных субъектами хозяйствования в их повседневной деятельности данный Закон применяется в части используемой терминологии и классификации данных.
Закон об информации, в свою очередь, закладывает общую правовую базу для регулирования персональных данных. В нем закреплено ключевое понятие рассматриваемой темы: «персональные данные — основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами Республики Беларусь внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо» (абзац двадцать четвертый ст. 1 Закона об информации).
Таким образом, персональные данные включают в себя открытый перечень сведений, позволяющих идентифицировать физическое лицо. Такие сведения можно разделить на две группы:
- сведения, включаемые в регистр населения (даже собираемые субъектом хозяйствования не в целях ведения регистра, а в целях решения своих бизнес-задач);
- иные идентифицирующие данные.
Первая группа сведений детально раскрыта в законодательстве (в ст. 8 и 10 Закона о регистре). В качестве основных данных названы 9 типов сведений, среди которых: ФИО, дата рождения, идентификационный номер, цифровой фотопортрет.
Дополнительные персональные данные включают 6 типов сведений, в том числе сведения о родителях, супруге и детях, о наличии высшего образования, роде занятий, включая место работы, налоговых обязательствах.
Вторая группа сведений расширяет перечень персональных данных и делает его открытым для любых сведений о физическом лице, позволяющих его идентифицировать.
На сегодняшний день четкая практика отнесения тех или иных сведений к персональным данным в Беларуси отсутствует. Законодатель выделяет в качестве их ключевого признака способность идентифицировать физическое лицо. Исходя из этого, под понятие персональных данных может подпадать широкий перечень сведений, в том числе в их совокупности. К примеру, страховой номер, номер мобильного телефона. В «серой» зоне находятся адрес электронной почты, адрес страницы в социальной сети, IP-адрес. Например, адрес рабочей электронной почты, который содержит сокращенные инициалы работника и наименование компании-нанимателя, может быть отнесен к персональным данным.
Таким образом, к персональным данным можно отнести любые сведения о физическом лице (включая прямо поименованные в законодательстве), которые позволяют его идентифицировать.
Справочно
Белорусское законодательство не предоставляет особый режим для так называемых «чувствительных данных» (sensitive data), к примеру, этнической принадлежности и религиозных убеждений.
То есть, если предприятие собирает о клиентах фактически любую информацию, такая информация может быть признана персональными данными?
Полагаем, к персональным данным относится только та информация и в том объеме, который позволяет идентифицировать конкретное физическое лицо (в том числе в совокупности).
Для персональных данных, обрабатываемых в информационных системах, установлен специальный режим. Его условно можно разделить на две составляющие:
- получение персональных данных в соответствии с законодательством;
- защита персональных данных в информационных системах.
Белорусское законодательство не устанавливает требований к соотношению объема собираемых персональных данных и цели их использования.
Если сведения являются персональными данными, то требования к порядку их получения и защите следует соблюдать в любом случае, вне зависимости от их объема или направлений использования. При этом нужно помнить, что данные о физическом лице могут признаваться персональными, если они собраны в том объеме, который позволяет с достоверностью определить конкретное лицо.
Таким образом, CRM-системы, содержащие только ФИО и телефон клиента/контакта, могут признаваться подпадающими под регулирование о персональных данных.
Предприятие собирает информацию о клиентах в обычный файл Excel или в 1С. Какие у него могут возникнуть проблемы?
На сегодняшний день необеспечение конфиденциальности, целостности, подлинности, доступности и/или сохранности персональных данных в информационных системах не образует специальный состав правонарушения или преступления. Указанные нарушения могут охватываться общими составами административного и уголовного воздействия.
Часть вторая ст. 22.7 КоАП устанавливает ответственность за использование информационных систем, а также средств защиты информации, не прошедших обязательное подтверждение соответствия требованиям технических нормативных правовых актов.
Полагаем, положения данной статьи теоретически могут распространяться на использование информационной системы с системой защиты информации, не прошедшей аттестацию или созданной с использованием средств технической защиты информации, не прошедших подтверждение соответствия. Сложившейся практики применения такой санкции к частным субъектам нет. Это может быть обусловлено трудностями выявления таких нарушений: трудно определить, содержит ли информационная система частной компании персональные данные, в отношении которых должны предприниматься описанные меры защиты.
Сбор и хранение персональных данных без согласия физического лица могут повлечь недоверие контрагентов, а утечка информации — нанести ущерб репутации компании.
Справочно
Иностранные государства, как правило, применяют два вида мер: 1) право владельца персональных данных требовать возмещения причиненных ему убытков и морального вреда, а также 2) меры административно-правового воздействия, которые обычно заключаются в применении штрафов к нарушителю. Так, в соответствии со ст. 13.11 КоАП РФ нарушение порядка сбора, хранения, использования или распространения персональных данных может повлечь применение к юридическому лицу административного взыскания в виде предупреждения или штрафа в размере от 5 до 10 тыс. российских рублей. Более существенные штрафы предусмотрены законодательством ЕС, где нарушение в области защиты персональных данных может стоить компании до 10–20 млн евро или до 2–4 % ее мирового годового оборота (Регламент (ЕС) 2016/679).
Как правильно в соответствии с законодательством организовать сбор персональной информации?
Основным требованием к работе с персональными данными является согласие физического лица (субъекта персональных данных). Такое согласие должно быть обязательно выражено в письменной форме (часть вторая ст. 18 Закона об информации).
При этом в законодательстве есть примеры прямого исключения из данного требования. В частности, письменное согласие не требуется для целей Указа Президента Республики Беларусь от 15.03.2016 № 98 «О совершенствовании порядка передачи сообщений электросвязи».
Законодательство не устанавливает конкретную форму или требования к письменному согласию. Полагаем, такое согласие может быть составлено в виде отдельного документа или включено в гражданско-правовой/трудовой договор. Оно должно прямо содержать согласие на сбор, обработку, хранение и/или использование персональных данных (в зависимости от цели).
Дополнительно может быть включено согласие на последующую передачу персональных данных.
Неясным остается вопрос, может ли приравниваться к письменной форме согласие, которое было дано путем клика в соответствующем окне автоматизированной системы или на странице в сети Интернет. Для целей функционирования системы электронной очереди транспортных средств в пунктах пропуска к письменному согласию приравнивается внесение платы за бронирование в системе электронной очереди времени въезда транспортного средства в пункт пропуска и (или) въезда в зону ожидания. Полагаем, применение такого подхода по аналогии в иных случаях во многом упростит вопрос обращения персональных данных.
Есть ли какие-то требования к системам хранения персональных данных?
В качестве возможных операций с персональными данными в Законе об информации перечисляются «сбор», «обработка», «хранение» и «пользование». Данные операции перечисляются как равнозначные, что не вполне согласуется с международными подходами и усложняет понятийный аппарат.
Защите персональных данных посвящена ст. 32 Закона об информации. В ней установлена обязанность по принятию мер по защите от разглашения персональных данных, полученных от субъекта, а также период применения таких мер, завершающийся уничтожением персональных данных, их обезличиванием или получением письменного согласия субъекта персональных данных на их разглашение.
Закон об информации устанавливает особые требования к защите персональных данных, содержащихся в информационных системах, к которым можно отнести любую упорядоченную совокупность данных, которая обрабатывается в автоматизированных системах (к примеру, банки данных с персональными данными работников или клиентов).
Персональные данные относятся к «информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам» (информации ограниченного распространения) согласно абзацу второму части первой ст. 17 Закона об информации.
В связи с этим к информационной системе, обрабатывающей персональные данные, должно применяться общее требование, установленное в отношении информации ограниченного распространения: использование аттестованной системы защиты информации.
Обязанность собственников (владельцев) информационных систем, в которых обрабатываются персональные данные, по обеспечению мер защиты также прямо вытекает из п. 5 Положения о технической и криптографической защите информации в Республике Беларусь, утвержденного Указом Президента Республики Беларусь от 16.04.2013 № 196.
Следует отметить, что процесс создания системы защиты информации охватывает широкий круг мероприятий, включая организационные и правовые меры (осуществляются путем принятия соответствующих ЛНПА владельцем информационной системы). В то же время полагаем, что мероприятия по технической защите персональных данных составляют ядро этих мероприятий.
* Аналогично специальное регулирование режима персональных данных закреплено для целей переписи населения в Законе Республики Беларусь от 13.07.2006 № 144-З «О переписи населения» и Положении о порядке защиты персональных данных переписи населения Республики Беларусь, утвержденном постановлением Совета Министров Республики Беларусь от 10.09.2009 № 1178.
по теме