В Законе появляется ряд новшеств. Вместе с тем уже можно отметить, что многое в ситуации использования Закона и защиты персональных данных будет зависеть от правоприменительной практики и позиции уполномоченного органа по защите прав субъектов персональных данных.
К моменту вступления Закона в силу очень многим субъектам хозяйствования необходимо тщательно готовиться: разработать положения либо политики, регулирующие вопросы обработки персональных данных, разработать проект согласия на обработку персональных данных, определить, какие данные, для каких целей будут собираться, а главное – где они будут обрабатываться и храниться.
Отдельно следует позаботиться о вопросах передачи персональных данных, если у субъекта хозяйствования нет серверов для хранения данных, а также о заключении договоров с уполномоченными лицами (третьи лица, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах), если планируется привлечение таких лиц. Интересным в данной связи является вопрос о возможности передачи и хранения данных за границей (допустим, создание таблиц с данными в сервисах Google либо заключение договора с другой организацией, которая предоставляет услуги по хранению и/или обработке таких данных).
В соответствии с нормами Закона лица, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных, являются операторами.
На сегодняшний день законодательство Республики Беларусь содержит только положение о том, что передача данных третьим лицам возможна с письменного согласия лица на такую передачу. Закон более подробно регламентирует эту процедуру, определяет права и обязанности уполномоченных лиц и операторов при обработке персональных данных.
Абзац 14 ст. 1 Закона содержит определение трансграничной передачи данных: трансграничная передача персональных данных – это передача персональных данных на территорию иностранного государства. Из этого определения следует, что использование при определенных условиях сервисов аналитики, рекламы, почтовых и платежных сервисов, использование иных сервисов и программ, которые физически размещены на серверах вне территории Республики Беларусь, будет являться трансграничной передачей данных. Это знание важно, поскольку Закон базово, по умолчанию, запрещает передачу данных субъектов персональных данных за границу, но такое возможно после получения согласия субъекта персональных данных.
Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:
- дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
- персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
- такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
- такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
- получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных (п. 1 ст. 9 Закона).
При этом уполномоченный орган по защите прав субъектов персональных данных должен будет до вступления Закона в силу определить список стран, где отсутствует надлежащая защита персональных данных (на сегодняшний день такой список отсутствует).
Заметим, что Закон не содержит обязательства для субъектов хозяйствования о том, что все данные субъектов персональных данных на территории Республики Беларусь должны храниться исключительно на серверах, физически размещенных на территории Республики Беларусь.
На практике уже сегодня возникает вопрос о возможности заключения договоров с уполномоченными лицами, находящимися вне территории Республики Беларусь. Полагаем, что Закон допускает такой вариант развития событий, вместе с тем локализация уполномоченных лиц вне территории Республики Беларусь – повод говорить о трансграничной передаче данных. Тем самым для субъектов, работающих с персональными данными, уже назревает необходимость готовить все необходимые документы для передачи, если они планируют воспользоваться механизмом трансграничной передачи данных, особенно с учетом того, что списка стран, где отсутствует надлежащая защита персональных данных, нет.
Отдельно встает вопрос о том, будет ли являться трансграничной передачей данных хранение персональных данных на серверах вне территории Республики Беларусь. Мировая практика исходит из того, что даже использование серверов на территории иностранного государства является трансграничной передачей данных. Анализ определения, содержащегося в белорусском Законе, по нашему мнению, позволяет говорить о том, что использование серверов, физически находящихся вне территории Республики Беларусь, является трансграничной передачей данных.
На основании изложенного с учетом требований вступающего в силу Закона для обеспечения соблюдения прав субъектов обработки персональных данных субъектам хозяйствования следует предпринять целый ряд действий:
1) заключить договоры с уполномоченными лицами в случаях, когда планируется привлечение таких лиц. В договоре между оператором и уполномоченным лицом должны быть определены:
- цели обработки персональных данных;
- перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
- обязанности по соблюдению конфиденциальности персональных данных;
- меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона (правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных).
Обратите внимание, что в п. 3 ст. 17 Закона определены обязательные меры по обеспечению защиты персональных данных. К таким мерам, в частности, отнесены: назначение оператором (уполномоченным лицом) (далее – оператор) структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных; издание оператором документов, определяющих политику оператора в отношении обработки персональных данных; ознакомление работников оператора и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством; установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе); осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
2) определить перечень сервисов и услуг, использование которых планируется. Выяснить местонахождение их серверов, офисов, сотрудников, которые непосредственно будут заниматься обработкой персональных данных;
3) привести в соответствие с Законом сайты организаций: разместить на них документы, связанные с обработкой персональных данных, произвести настройки cookies;
4) разработать формы согласия на трансграничную передачу данных.
Полагаем, что пик работы придется на период после создания уполномоченного органа по защите прав субъектов персональных данных. При этом следует помнить, что работа по защите персональных данных будет постоянной, потребует вовлеченности и иногда внедрения новых способов работы, изучения мирового опыта. Вместе с тем путь, по которому пойдет защита персональных данных, в значительной степени будет зависеть от правоприменительной практики. Тем не менее полагаем, что субъектам хозяйствования уже сейчас стоит начать работать с документацией, чтобы к моменту вступления Закона в силу было сделано практически все либо значительная часть для соответствия требованиям Закона.