Касается всех. Что изменится после принятия закона о персональных данных
На днях в первом чтении был принят проект первого в Беларуси закона о персональных данных. Про этот документ говорят с начала 2017 года, подчеркивая его значимость для закрепления основ информационной безопасности в Беларуси. В целом, сегодня защита персональных данных физических лиц является тенденцией развития законодательства в европейском масштабе (вспомните хотя бы GDPR и приводимые в соответствие с ним законы государств-членов ЕС), и Беларусь здесь предпринимает попытку урегулировать обработку персональных данных. В случае принятия закона, он затронет интересы всех: физических лиц, частных компаний и государственных органов.
При этом закон не будет распространяться на отношения, связанные с личным, семейным, домашним и иным аналогичным использованием персональных данных в некоммерческих целях, отмечает юрист Arzinger&Partners Вероника Павловская.
Проект закона еще ждет второе чтение, одобрение Советом Республики и подписание президентом. Поэтому пока оцениваем возможное влияние нового закона на перспективу.
О каких данных идет речь
Закон будет применяться в отношении данных физических лиц, то есть каждого из нас с вами, в связи с профессиональной или коммерческой деятельностью. Если данные или их совокупность позволяют идентифицировать именно вас (например, фамилия, имя и отчество, отпечатки пальцев, изображение, код ДНК), то такие данные считаются персональными. Оператор, который их обрабатывает с использованием средств автоматизации или без использования таких средств (но с возможностью поиска — например, картотеки, списки и базы данных), должен обеспечить соблюдение требований закона.
На что обратить внимание юридическим лицам: теперь вам как оператору нужно навести порядок в процессах работы с персональными данными, обеспечить защиту персональных данных своих работников, контрагентов-индивидуальных предпринимателей, потребителей и иных физических лиц, данные которых обрабатывает ваша компания.
«Даю добро на сбор данных»
Ключевым аспектом для обработки персональных данных становится согласие физического лица. Перечень случаев, когда обработка может осуществляться без согласия такого лица также закреплен проектом закона. Например, без согласия может осуществляться сбор, обработка, распространение и предоставление персональных данных при осуществлении правосудия, проведении государственных статистических наблюдений, оформлении наследственных прав, в целях назначения и выплаты пенсий, в научных целях при обязательном обезличивании, в целях осуществления профессиональной деятельности журналиста и СМИ, направленной на защиту общественного интереса. Интересно то, что для обработки персональных данных умерших людей также нужно их согласие, данное при жизни, или согласие наследников или близких родственников.
На что обратить внимание юридическим лицам: вам придется запрашивать согласие физических лиц на обработку их данных (но справедливости ради нужно отметить, что такое требование было и раньше). Хорошая новость в том, что без согласия можно обрабатывать данные физических лиц, с которыми у вас заключен договор (это работники и индивидуальные предприниматели, а также потребители при розничной торговле и оказании услуг). На использование обезличенных данных согласие тоже не нужно.
Согласие с первого клика
Проект закона предусматривает, что согласие должно быть «свободным, конкретным, информированным выражением воли субъекта». Простым языком, вы добровольно даете согласие на использование конкретного перечня своих данных для определенных целей, и вы проинформированы о том, кому и зачем вы предоставляете свои данные.
На что обратить внимание юридическим лицам: у вас есть выбор формы получения согласия — она может быть письменной или электронной, в том числе, путем указания субъектом кода после получения SMS или сообщения на адрес электронной почты, проставления галочки или иной отметки на сайте. Главное — чтобы в дальнейшем можно было установить факт получения согласия от физического лица.
Конец сбору «без разбора»
Персональные данные собирают для обоснованных и конкретных целей, в строгом соответствии с которыми должны проводиться операции с данными. Объем собираемых данных не должен быть избыточным по отношению к установленным целям.
На что обратить внимание юридическим лицам: не собирайте все данные и «про запас». Определите, какие из персональных данных реально вам нужны и уведомьте субъекта данных об этих целях так, чтобы он понял и дал согласие. Если цель, для которой собирались данные, меняется, вы обязаны снова получить согласие субъекта данных.
Хочу нанять подрядчика для обработки, можно?
Можно, в том числе, в другие страны, но оператору снова нужно получить согласие субъекта персональных данных (не обижайтесь, просто он главный по распоряжению информацией о себе). Хорошая новость заключается в том, что согласие не нужно в случае передачи данных, в том числе, трансграничной, когда заключается и исполняется договор, одной из сторон которого является субъект персональных данных (например, если такое лицо заказывает товары в интернет-магазине). Обработка данных третьим лицом должна осуществляться на основании договора, и такое лицо должно принимать меры по защите данных.
На что обратить внимание юридическим лицам: вы несете ответственность перед субъектом данных за действия всех ваших подрядчиков. Подходите к их выбору внимательно. И помните, что согласие на работу с данными получает тот, кому эти данные нужны (то есть, оператор, а не подрядчик).
Медицинские и исследовательские организации. А заодно и услуги по фото- и видеосъемке
Проект закона относит биометрические и генетические данные к специальным персональным данным. Это, в том числе, отпечатки пальцев, характеристики лица человека и его изображение, информация о физиологии человека и его здоровье. Поэтому если вы медицинская организация или, например, профессиональный фотограф, то новые правила затронут и вас.
На что обратить внимание юридическим лицам: перечень случаев, когда вы можете обрабатывать такие данные, строго ограничен. Могут быть установлены дополнительные требования. Например, в медицинской организации такие данные могут собираться в целях оказания медицинской помощи (1), медицинским, фармацевтическим работником или иным работником здравоохранения (2), на которого возложены обязанности по обеспечению защиты персональных данных (3) и распространяется обязанность сохранять врачебную тайну (4). Если вы фотограф, то обязательно получайте согласие на съемку.
Имеете право!
Наконец основные права субъектов персональных данных нашли отражение в тексте законодательства. Физические лица могут получать информацию о своих правах в связи в обработкой персональных данных, давать и отзывать согласие, знакомиться со своими персональными данными, требовать прекращения сбора и обработки, и другие. Порядок подачи заявлений оператору и требования к ним также закреплены проектом закона. При этом заявление может быть в устной или письменной форме, а также в форме электронного документа с электронной цифровой подписью — если трактовать совсем строго, то заявление оператору нельзя будет направить по электронной почте.
На что обратить внимание юридическим лицам: а у вас теперь есть обязанность эти права разъяснить и обеспечить их реализацию.
А если утечка данных?
В тексте законопроекта появилась норма, которая запрещает операторам скрывать утечку персональных данных, что также служит для защиты интересов субъектов данных.
На что обратить внимание юридическим лицам: нужно уведомить уполномоченный орган (который определят после принятия закона) незамедлительно, но не позднее трех дней после того, как стало известно о таких нарушениях.
Кто будет за этим всем следить
Проектом закона предусмотрено, что президентом будет определен уполномоченный орган по защите прав субъектов персональных данных. Такой орган будет контролировать работу с персональными данными, рассматривать жалобы и толковать законодательство, определять перечень государств, обеспечивающих надлежащий уровень защиты прав субъектов персональных данных и выдавать разрешения на трансграничную передачу данных в страны, не обеспечивающих такой уровень защиты. А надзор будет осуществлять генеральный прокурор и подчиненные ему прокуроры. Так что все серьезно.
На что обратить внимание юридическим лицам: нужно будет представлять уполномоченному органу информацию, необходимую для определения законности действий вас как оператора. Порядок подачи такой информации пока не определен.
Ответственный за защиту
Проект закона предусматривает требования к мерам защиты информации, в том числе, устанавливает обязательные для соблюдения оператором меры: назначение структурного подразделения или лица, ответственного за защиту данных, издание документа, определяющего политику организации по работе с данными, информирование работников, установление порядка доступа к персональным данным, осуществление технической и криптографической защиты. При этом в случае выявления нарушений субъекты персональных данных имеют право на возмещение, в том числе, морального вреда.
На что обратить внимание юридическим лицам: впереди много работы, но вам дадут целый год на подготовку и обеспечение соответствия.