Николай Саванович
О проекте Закона о персональных данных и о применении GDPR рассказал Николай Саванович.
В Беларуси готовится проект Закона, посвященный регулированию персональных данных. Известны ли какие-то конкретные временные рамки его подготовки?
Подготовка проекта Закона о персональных данных ведется уже не первый год.
На первом этапе в 2017 году была разработана концепция соответствующего законопроекта, содержащая базовые положения будущего закона. К подготовке данного документа привлекался широкий круг заинтересованных государственных органов и организаций, различные бизнес-ассоциации, а также европейские эксперты. В дальнейшем концепция Закона была согласована Главой государства и на ее основе в план подготовки законопроектов на 2018 год был включен проект Закона о персональных данных <*>. Срок подготовки проекта Закона – декабрь 2018 г. Внесение законопроекта в парламент планируется в апреле 2019 г. Учитывая предусмотренный в проекте Закона о персональных данных срок вступления его в силу, соответствующий акт может начать действовать не ранее середины 2020 г.
В сети Интернет большое внимание уделяется вступлению в 2018 году в силу в Европейском Союзе GDPR – Общего регламента о защите персональных данных. В этой связи многих интересует вопрос о соотношении нашего проекта Закона о персональных данных и GDPR.
В самом общем виде можно сказать, что отечественный проект Закона о персональных данных является облегченной версией GDPR. Многие положения законопроекта очень схожи с нормами GDPR. Это и понятие персональных данных, и общие подходы к обработке персональных данных, и перечень основных прав субъекта персональных данных, включая право на «забвение», и наличие органа по защите персональных данных. Однако полного соответствия между ними нет.
В отличие от GDPR, где многие вопросы регламентируются с помощью норм-принципов, отечественный законопроект в большей степени ориентирован на более детальное регулирование конкретных прав и обязанностей субъектов. Кроме того, в белорусском проекте по различным причинам не предусматриваются такие требования, как «privacy by design» и «privacy by default» (встроенная приватность и приватность по умолчанию), не предусматривается необходимость информирования лица, если персональные данные получаются от третьих лиц, не регулируется вопрос о принятии решения на основании автоматического анализа данных и др.
Во многом это связано с готовностью (неготовностью) операторов выполнять определенные требования, а также способностью государства обеспечить их принудительную реализацию в случае неисполнения.
Таким образом, для тех организаций, которые планируют осуществлять деятельность в пределах страны, достаточно будет выполнять требования отечественного закона. Тем же, которые будут подпадать под действие GDPR, необходимо будет соблюдать требования указанного регламента, принимая во внимание, что его требования более жесткие по сравнению с подходом, отраженным в белорусском законопроекте.
Ключевой категорией законопроекта является понятие «персональные данные». Можете в общем виде охарактеризовать, что попадает в указанную категорию?
В проекте Закона о персональных данных персональные данные определены как любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано на основании такой информации. Такое же определение существует и в большинстве зарубежных законов о персональных данных.
Не сложно заметить, что определение достаточно общее, что порождает множество вопросов относительно отнесения тех или иных сведений к персональным данным. Особые дискуссии данное понятие вызывает в связи с использованием современных информационных технологий, когда можно практически по любому «кусочку» информации идентифицировать лицо, которого она касается.
Многие практические работники в этой связи указывают на необходимость исчерпывающего перечня персональных данных, хотя бы на уровне подзаконных актов.
К сожалению, ситуация далеко не так проста, как видится на первый взгляд. В действительности установление исчерпывающего перечня персональных данных на сегодняшний день представляется весьма опасным, поскольку такой перечень всегда будет неполным, оставляя вне защиты значительный объем личной информации.
Очень важно понимать, что персональные данные охватывают не только традиционные паспортные данные, данные об образовании, обладании недвижимостью, семейном положении и другие аналогичные сведения, но и субъективные мнения, касающиеся определенного лица (например, служебная характеристика, докладная о привлечении к дисциплинарной ответственности и др.), различные фотографии, на которых указано лицо, сведения о политических воззрениях лица, его участии в тех или иных общественных объединениях, а также любые иные сведения об определенном лице, которые данное лицо не желает делать достоянием третьих лиц. При этом отнесение сведений к персональным данным не зависит от формы их существования (текст, фото, рисунок, аудио или видеозапись, е-mail и др.).
Нельзя забывать и о динамизме самого понятия «персональные данные». Одни и те же сведения в одних ситуациях могут быть персональными данными, а в других – нет. Например, фамилия того или иного лица сама по себе персональными данными не является, поскольку в обычной ситуации не дает возможности выделить конкретное лицо, но указание на лицо, имеющее такую фамилию, применительно к небольшому трудовому коллективу позволяет с легкостью идентифицировать лицо.
Кроме того, понятие «персональные данные» отражает существующий в определенное время уровень развития информационных технологий. И то, что на определенном этапе является невозможным, становится реальным через несколько лет.
В такой ситуации, скорее всего, нам всем придется работать с общим определением. Я надеюсь, что возникающие проблемные вопросы относительно отнесения сведений к персональным данным по мере расширения практики применения закона будут успешно разрешаться, в том числе и с учетом разъяснений уполномоченного органа по защите персональных данных.
На заметку
В связи с появлением все новых идентификаторов физических лиц ожидается множество вопросов о том, относится ли та или иная информация к персональным данным. Например, о том, относится ли к ним IP-адрес. В одних странах IP-адрес не считается персональными данными, т.к. он идентифицирует не субъекта, а устройство, а в других – признается персональными данными.
Когда мы упоминаем о персональных данных, первое, что приходит в голову – необходимость получения согласия на действия с персональными данными. Действительно ли всегда нужно получать такое согласие?
На самом деле нет. Более того, на практике гораздо чаще персональные данные обрабатываются без согласия их субъекта в силу различных требований законодательства. В целом можно выделить обработку персональных данных на основании согласия лица и обработку в силу требований акта законодательства.
В любом случае для использования персональных данных у оператора должно быть одно из указанных оснований.
В случае обработки обычных персональных данных, то есть тех, которые не относятся к категории специальных персональных данных, в законе планируется закрепить отдельные случаи, когда обработка таких данных допускается без согласия физического лица. Такой перечень не будет исчерпывающим. Будет допускаться расширение перечня на уровне других законодательных актов.
Что касается обработки специальных категорий персональных данных, то есть данных, касающихся расовой либо национальной принадлежности, политических взглядов, религиозных или других убеждений, здоровья или половой жизни, судимости, а также биометрических и генетических персональных данных, то исчерпывающий перечень случаев их обработки без согласия лица будет содержаться в самом законе.
И все-таки для большинства коммерческих организаций основным условием обработки персональных данных останется, вероятно, согласие лица. Есть ли какие-либо требования к форме получения такого согласия?
Действующее законодательство уже содержит отдельные положения о персональных данных. По общему правилу обработка персональных данных должна происходить с письменного согласия физического лица <*>. Однако в настоящее время на практике это не реализуется, так как большинство персональных данных обрабатывается с помощью сети Интернет. В проекте Закона о персональных данных более гибкий механизм получения согласия: оно может быть получено в письменной форме, в форме электронного документа, а также в иной электронной форме. В частности, это может быть ответ на смс, проставление галочки в поле на сайте и др.
Важно учитывать, что предоставление согласия — это активные действия. Пользование сайтом с заранее проставленными галочками не будет признаваться фактом получения согласия.
Кроме того, вводятся требования к содержанию информации, предоставляемой лицу перед получением согласия, включая необходимость указания перечня действий с персональными данными, на совершение которых дается согласие, срока, на который дается согласие.
В любом случае обязанность доказывания получения согласия субъекта персональных данных возлагается на оператора.
Таким образом, если клиент предоставляет, например, банку свою персональную информацию, норму о согласии нужно включать в договор или заполнять отдельный бланк?
Не совсем так. Как я уже сказал, можно выделить обработку персональных данных на основании согласия лица и обработку в силу требований акта законодательства. Во втором случае одним из таких актов законодательства будет являться сам Закон о персональных данных. При этом в проекте Закона о персональных данных закрепляется, что согласие субъекта на обработку его персональных данных не требуется, если такая обработка осуществляется при заключении, исполнении договора, одной из сторон которого является субъект персональных данных.
В этом случае, если банк заключит с клиентом кредитный договор, то для обработки содержащихся в нем персональных данных клиента согласие субъекта не потребуется. Если же банк захочет передать полученные персональные данные третьей стороне, например, для предоставления каких-либо сопутствующих услуг, то для таких действий необходимо будет получать согласие лица.
Справочно
Для обработки персональных данных с целью заключения и исполнения договоров согласие физического лица на обработку персональных данных не потребуется.
Сможет ли человек как субъект персональных данных самостоятельно защитить свои права?
Одна из целей разработчиков проекта Закона о персональных данных — наделить субъекта персональных данных правами, которые бы позволили ему контролировать использование своих персональных данных.
Так, субъект наделяется правом получать от оператора информацию о своих правах, давать согласие на сбор, обработку (за исключением обезличивания), распространение, предоставление своих персональных данных и отзывать свое согласие, знакомиться со своими персональными данными, требовать внесения в них изменений, требовать прекращения действий со своими персональными данными при отсутствии оснований для таких действий и др. Как видите, спектр предоставляемых прав достаточно широк и в основном сопоставим с кругом прав субъекта персональных данных в зарубежных законах.
Особое внимание хотелось бы обратить на предусмотренную законопроектом возможность субъекту персональных данных получать информацию о предоставлении своих персональных данных третьим лицам.
Лицо имеет право обратиться к оператору персональных данных с запросом о том, кто в течение года получал его персональные данные. Таким образом, лицо сможет проверить: кто получал его персональные данные и при наличии сомнения в правомерности соответствующих запросов обжаловать их. Согласно проекту Закона о персональных данных свое право на обращение к оператору лицо сможет реализовать один раз в год. Из этого права есть ряд вполне логичных исключений (например, не будут предоставлены сведения о персональных данных, которые собираются и обрабатываются в соответствии с законодательством об оперативно-розыскной деятельности), но в целом, представляется, что данное право — весьма важная гарантия для обеспечения действенного контроля субъекта за своими персональными данными.
Многих интересует вопрос о том, кто будет заниматься контролем за исполнением будущего закона. Все-таки это довольно специфическая сфера, которая требует наличия специальных познаний, особенно учитывая бурные темпы развития информационных технологий.
К сожалению, конкретики по данному вопросу в проекте Закона о персональных данных нет. В большинстве стран создаются специальные независимые органы для контроля за исполнением законодательства о персональных данных. Но единого подхода к порядку создания таких органов, их месту в государственном механизме нет. В проекте Закона о персональных данных закладывается, что уполномоченный орган по защите персональных данных будет. Однако будет ли это самостоятельный орган, либо какая-то межведомственная комиссия, или же соответствующие функции будут дополнительно возложены на один из существующих органов – вопрос открытый. Предполагается, что определение такого органа и утверждение положения о нем будет осуществляться Президентом Республики Беларусь.
