Защита персональных данных в Республике Беларусь вступает в новый период своего развития. 14 мая 2021 г. был официально опубликован Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон). Документ вступает в силу через 6 месяцев после опубликования — уже в ноябре 2021 г.
В Законе появляется ряд новшеств. Вместе с тем уже можно отметить, что многое в ситуации использования Закона и защиты персональных данных будет зависеть от правоприменительной практики и позиции уполномоченного органа по защите прав субъектов персональных данных.
К моменту вступления Закона в силу очень многим субъектам хозяйствования необходимо тщательно готовиться: разработать положения либо политики, регулирующие вопросы обработки персональных данных, разработать проект согласия на обработку персональных данных, определить, какие данные, для каких целей будут собираться, а главное – где они будут обрабатываться и храниться.
Отдельно следует позаботиться о вопросах передачи персональных данных, если у субъекта хозяйствования нет серверов для хранения данных, а также о заключении договоров с уполномоченными лицами (третьи лица, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах), если планируется привлечение таких лиц. Интересным в данной связи является вопрос о возможности передачи и хранения данных за границей (допустим, создание таблиц с данными в сервисах Google либо заключение договора с другой организацией, которая предоставляет услуги по хранению и/или обработке таких данных).
В соответствии с нормами Закона лица, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных, являются операторами.
На сегодняшний день законодательство Республики Беларусь содержит только положение о том, что передача данных третьим лицам возможна с письменного согласия лица на такую передачу. Закон более подробно регламентирует эту процедуру, определяет права и обязанности уполномоченных лиц и операторов при обработке персональных данных.
Абзац 14 ст. 1 Закона содержит определение трансграничной передачи данных: трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства. Из этого определения следует, что использование при определенных условиях сервисов аналитики, рекламы, почтовых и платежных сервисов, использование иных сервисов и программ, которые физически размещены на серверах вне территории Республики Беларусь, будет являться трансграничной передачей данных. Это знание важно, поскольку Закон базово, по умолчанию, запрещает передачу данных субъектов персональных данных за границу, но такое возможно после получения согласия субъекта персональных данных.
Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
При этом уполномоченный орган по защите прав субъектов персональных данных должен будет до вступления Закона в силу определить список стран, где отсутствует надлежащая защита персональных данных (на сегодняшний день такой список отсутствует).
Заметим, что Закон не содержит обязательства для субъектов хозяйствования о том, что все данные субъектов персональных данных на территории Республики Беларусь должны храниться исключительно на серверах, физически размещенных на территории Республики Беларусь.
На практике уже сегодня возникает вопрос о возможности заключения договоров с уполномоченными лицами, находящимися вне территории Республики Беларусь. Полагаем, что Закон допускает такой вариант развития событий, вместе с тем локализация уполномоченных лиц вне территории Республики Беларусь – повод говорить о трансграничной передаче данных. Тем самым для субъектов, работающих с персональными данными, уже назревает необходимость готовить все необходимые документы для передачи, если они планируют воспользоваться механизмом трансграничной передачи данных, особенно с учетом того, что списка стран, где отсутствует надлежащая защита персональных данных, нет.
Отдельно встает вопрос о том, будет ли являться трансграничной передачей данных хранение персональных данных на серверах вне территории Республики Беларусь. Мировая практика исходит из того, что даже использование серверов на территории иностранного государства является трансграничной передачей данных. Анализ определения, содержащегося в белорусском Законе, по нашему мнению, позволяет говорить о том, что использование серверов, физически находящихся вне территории Республики Беларусь, является трансграничной передачей данных.
На основании изложенного с учетом требований вступающего в силу Закона для обеспечения соблюдения прав субъектов обработки персональных данных субъектам хозяйствования следует предпринять целый ряд действий:
1) заключить договоры с уполномоченными лицами в случаях, когда планируется привлечение таких лиц. В договоре между оператором и уполномоченным лицом должны быть определены:
Обратите внимание, что в п. 3 ст. 17 Закона определены обязательные меры по обеспечению защиты персональных данных. К таким мерам, в частности, отнесены: назначение оператором (уполномоченным лицом) (далее – оператор) структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных; издание оператором документов, определяющих политику оператора в отношении обработки персональных данных; ознакомление работников оператора и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством; установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе); осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
2) определить перечень сервисов и услуг, использование которых планируется. Выяснить местонахождение их серверов, офисов, сотрудников, которые непосредственно будут заниматься обработкой персональных данных;
3) привести в соответствие с Законом сайты организаций: разместить на них документы, связанные с обработкой персональных данных, произвести настройки cookies;
4) разработать формы согласия на трансграничную передачу данных.
Полагаем, что пик работы придется на период после создания уполномоченного органа по защите прав субъектов персональных данных. При этом следует помнить, что работа по защите персональных данных будет постоянной, потребует вовлеченности и иногда внедрения новых способов работы, изучения мирового опыта. Вместе с тем путь, по которому пойдет защита персональных данных, в значительной степени будет зависеть от правоприменительной практики. Тем не менее полагаем, что субъектам хозяйствования уже сейчас стоит начать работать с документацией, чтобы к моменту вступления Закона в силу было сделано практически все либо значительная часть для соответствия требованиям Закона.
