Проект закона «О персональных данных» вынесли на обсуждение. 10 важных моментов

Определения. Смотрите, основные понятия определены почти как в GDPR. Это хорошо, т.к. снимет разночтения (а мы помним, что GDPR будет применяться ко многим белорусским компаниям). В определениях нет профайлинга, среди специальных персданных нет информации о членстве в профсоюзе, но давайте не будем придираться.
 

Сфера применения. Это накроет (в хорошем смысле) всех. Закон применяется в первую очередь к автоматической обработке данных. Были дискуссии о том, включать ли бумажные документы. В итоге, как мы видим, неавтоматизированная обработка подпадает под действие закона, когда информация собрана в каталог и позволяет вести поиск по признакам (картотеки, списки, базы данных и др.). Это хорошо. Закон не распространяется на обработку данных людьми в личной или бытовой деятельности. Ваши телефонные книжки вне подозрений. Это тоже хорошо. Госсекреты, разведывательная и контрразведывательная деятельность тоже вне регулирования. Так везде. Интересно, что разработчики никак не определили территориальное действие, в онлайне это не так просто, как кажется. Могут ли закон использовать против журналистов, например, для ограничения информации о чиновниках? В тексте есть оговорка на этот счет, позволяющая журналистам использовать персональные данные без согласия субъекта. И все же, пока у нас не будет закона о доступе к информации, вероятность злоупотреблений есть.
 

Принципы. В отличие от GDPR или Конвенции СЕ №108 в нашем законопроекте принципы, касающиеся обработки персданных, не выделены в отдельную статью. Это принципиальная позиция разработчиков и в этом мы разошлись во мнениях. Впрочем, это дело законодательной техники, давайте лучше посмотрим, есть ли они в содержании. Мы видим элементы:

1. ​​принципа законности, справедливости и прозрачности;

2. принципа ограничения целей сбора и обработки;

3. принципа минимизации данных;

4. принципа точности данных;

5. принципа ограничения хранения;

6. принципа целостности и конфиденциальности данных.​
   Неплохо.
    

Контролер (con­troller) vs. обработчик (proces­sor). Это стандартное для европейского права разделение тех, кто обрабатывает наши данные. Контролер определяет цели сбора и обработки, а обработчик действует по его поручению и в пределах задания. Здорово помогает при определении полномочий и степени ответственности. В беларусском законопроекте сделали по примеру РФ: в тексте используется определение «оператор» и «лицо, осуществляющее сбор, обработку, распространение, предоставление персональных данных по поручению оператора». Смиритесь, громоздкие конструкции — это крест нашей правовой системы, но по сути это и есть те самые две категории. Между оператором и… этим самым «лицом» должен быть договор с определенными обязательными условиями. И вот тут возникает вопрос формы договора и прочие детали. А еще сюрприз: в большинстве случаев потребуется согласие субъекта данных на передачу информации обработчику. Попробуйте представить стандартную ситуацию, при которой фирма пользуется зарубежным облачным решением для CRM, всякими GSuite и проч. В общем, здесь стоит покопаться.
 

Согласие. Это одно из основных условий (но не единственное) сбора и обработки персданных. В ст. 5 законопроекта очень подробно описывается, каким должно быть это согласие: «свободное, конкретное, информированное выражение воли субъекта», в письменной или электронной форме (сейчас только в письменной). Доказывание факта получения согласия лежит на операторе (это тот, кто собирает и обрабатывает данные). Есть перечень других условий для сбора и обработки, с этим стоит разобраться подробнее, но хорошо, что новый закон не остановит, например, работу почты.
 

Права субъекта. То есть наши с вами права. Что мы имеем:

1. ​​право давать и отзывать согласие;

2. знакомиться со своими персональными данными, требовать внесения в них изменений;

3. получать информацию о предоставлении своих персональных данных третьим лицам;

4. требовать прекращения действий с персданным при определенных условиях, а также удаления данных;

5. обжаловать действия оператора уполномоченному органу (который еще неизвестно когда будет создан). 
   В последнем пункте хорошо бы иметь отдельную оговорку про обжалование действий оператора в суде, а так неплохой набор. Хотелось бы видеть среди прав еще и переносимость данных, а также гарантии при профайлинге и принятии решений без участия человека.
    

Обязанности оператора. Хорошая новость: операторам не надо регистрироваться ни в каких реестрах (этот атавизм до сих пор есть в некоторых странах). Очень хорошая новость: требования локализации данных, т.е. хранения данных беларусских пользователей в национальном сегменте, тоже нет. Публикация политики приватности станет обязательной для всех операторов. Юристы Human Con­stan­ta уже думают над универсальным генератором текста политики приватности.И вот еще, каждая организация должна будет назначить DPO (сотрудник/отдел по защите персональных данных). Да-да, прямо как в GDPR. Добро пожаловать на курсы переквалификации. 
 

Уполномоченный орган. А вот здесь все еще неопределённость: орган по защите прав субъектов данных будет определен президентом. По срокам, месту в системе госорганов, формальной независимости и т.д. никакой ясности. Это плохо, так как уполномоченный орган — ключевой элемент системы. Хороший закон + плохой уполномоченный (или его отсутствие) = неработающий закон. С другой стороны, в тексте нет ничего, что намекает на невозможность хорошего исхода, то есть создания независимого органа с достаточными полномочиями. В общем, вопрос просто еще раз отложили. При этом разработчики предлагают, что помимо этого надзор за исполнением законодательства о персональных данных будет осуществлять прокуратура.
 

Ответственность. Лица, виновные в нарушении закона, несут ответственность, предусмотренную законодательными актами. Стоит ждать изменений в КоАП и возможно даже УК. Также можно заявлять моральный вред, который не зависит от материальных убытков.
 

Срок. Поздравляем, у всех есть время на подготовку. Закон вступит в силу через год после принятия.