Действие Закона о защите персональных данных распространяется на обработку персональных данных, осуществляемую операторами:

— с использованием средств автоматизации. Обработкой признаются любые действия с персональными данными, осуществляемые в электронной форме;

— без использования средств автоматизации, например на бумаге, если при этом обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и т.д.) (п. 1 ст. 2 Закона о защите персональных данных, комментарий к Закону о защите персональных данных).

Разновидностью обработки с использованием средств автоматизации являются в том числе ситуации, когда только часть операций по обработке персональных данных осуществляется с использованием средств автоматизации, т.е. когда средства автоматизации применяются на одном из этапов обработки, например при распечатке. Так, распечатанная и вывешенная информация будет результатом обработки с использованием средств автоматизации (компьютера и т.д.), следовательно, на такие отношения должен распространяться Закон о защите персональных данных.

Закон о защите персональных данных также распространяется на обработку персональных данных без использования средств автоматизации, но только если при этом персональные данные систематизированы и обеспечивается их поиск и (или) доступ к таким данным по определенным критериям (п. 1 ст. 2 Закона о защите персональных данных). Например, в случае с журналом посетителей поиск информации и доступ к ней осуществляется на основе хронологического критерия (времени посещения). Это же касается и хранения трудовых книжек — поиск данных и доступ к ним реализуется по двум критериям (подразделение и Ф.И.О.) (комментарий к Закону о защите персональных данных).

Персональные данные — это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (абз. 9. ст. 1 Закона о защите персональных данных). Это информация о физическом лице, которое может быть прямо или косвенно определено (абз. 17 ст. 1 Закона о защите персональных данных).

Адреса электронной почты может быть достаточно, чтобы идентифицировать кого-то, когда в электронном адресе отражаются данные о лице (Ф.И.О., дата рождения, место работы и т.д.). В этом случае обработка такой информации является обработкой персональных данных.

В других ситуациях информация лишь теоретически может быть связана с лицом и субъект может не обладать реальными законными возможностями получить информацию с целью идентификации лица. В таком случае данные не признаются персональными.

С помощью номера мобильного телефона можно связаться непосредственно с субъектом независимо от его желания. Данная возможность может использоваться не только для выяснения личности такого лица, но и в иных целях. Если обработка номера телефона может иметь воздействие на лицо, причинять ему беспокойство и т.д., такую обработку следует рассматривать как обработку персональных данных (комментарий к Закону о защите персональных данных).

Для признания информации персональными данными необходимо, чтобы эта информация относилась к конкретному лицу (абз. 9 ст. 1 Закона о защите персональных данных), т.е. была:

— об этом субъекте;

— не о самом лице, но связана с его деятельностью и может быть использована для оценки или влияния на поведение лица, для реализации его прав и обязанностей.

К персональным данным не относится информация, которая не предполагает оказания влияния на субъекта персональных данных. В качестве примера можно привести размещение в интернете изображения, на котором среди других автомобилей есть автомобиль с различимым регистрационным номером. Иное — когда фотография демонстрирует нарушение автовладельцем ПДД (так называемые доски позора). Цель размещения таких фото — привлечение внимания к нарушению, оказание влияния на лицо. В этом случае размещение фотографии транспортного средства следует рассматривать как обработку персональных данных (комментарий к Закону о защите персональных данных).

Для отнесения персональных данных к биометрическим данным необходимо, чтобы одновременно выполнялись два условия:

1) информация должна характеризовать физиологические и биологические особенности человека (отпечатки пальцев рук, ладоней и т.д.);

2) такая информация используется для уникальной идентификации лица. Это предполагает наличие специальных технических средств, обеспечивающих уникальное сопоставление отпечатков пальцев и другого с имеющимся в базе образцом (абз. 2 ст. 1 Закона о защите персональных данных).

В вышеперечисленных случаях существует возможность только визуального сопоставления изображения и физического лица, уникальная идентификация субъекта не осуществляется. Поэтому это обычные персональные данные, не биометрические (комментарий к Закону о защите персональных данных).

Оператор — госорган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе ИП, которые самостоятельно или совместно с иными указанными лицами организуют и (или) осуществляют обработку персональных данных (абз. 8 ст. 1 Закона о защите персональных данных).

Физическое лицо будет оператором, если обрабатывает персональные данные в связи со своей деятельностью в качестве:

— ИП;

— ремесленника, адвоката, нотариуса;

— лица, которое оказывает услуги в сфере агроэкотуризма или осуществляет иные виды деятельности согласно ч. 4 п. 1 ст. 1 ГК (комментарий к Закону о защите персональных данных).

Физические лица — работники, которые участвуют в обработке персональных данных в силу должностных обязанностей, операторами не считаются. Они самостоятельно не организуют обработку персональных данных и не обрабатывают их, не устанавливают целей и правовых оснований обработки персональных данных.

При передаче организацией на аутсорсинг части функций, связанных с обработкой персональных данных, организация-заказчик выступает оператором, а организация-исполнитель является уполномоченным лицом. Исполнитель услуг действует в соответствии с инструкциями, поручениями, указаниями организации-заказчика, закрепленными в договоре, от его имени или в его интересах (см. рекомендации НЦЗПД об уполномоченных лицах).

При предоставлении персональных данных по запросам других организаций или органов отношения «оператор — уполномоченное лицо» не возникают. Организации, госорганы, которые запрашивают информацию, и те, кто ее предоставляет, являются самостоятельными операторами (см. рекомендации НЦЗПД об уполномоченных лицах).

Не являются уполномоченными лицами или самостоятельными операторами работники организации (см. рекомендации НЦЗПД об уполномоченных лицах).

Цели обработки персональных данных должны быть конкретными (ч. 1 п. 4 ст. 4 Закона о защите персональных данных). Не допускается указание абстрактных или общих целей, которые не определяют пределов обработки и не позволяют субъекту персональных данных понять, для чего будут обрабатываться его персональные данные (см. рекомендации НЦЗПД по составлению политики).

Передача персональных данных в страну, на территории которой обеспечивается надлежащий уровень защиты прав субъектов персональных данных, осуществляется с соблюдением общих положений об обработке персональных данных без ограничений и необходимости получения каких-либо дополнительных разрешений (п. 1 ст. 9 Закона о защите персональных данных, комментарий к Закону о защите персональных данных).

В перечень таких стран входит в том числе Великобритания, Россия и Грузия. Китая и США в перечне нет.

Россия относится к странам, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных. Для передачи персональных данных в такие страны не требуется получать согласие субъектов персональных данных или НЦЗПД. Оно требуется при трансграничной передаче персональных данных в иные страны (п. 1 ст. 9 Закона о защите персональных данных). Так, правомерной будет трансграничная передача персональных данных на территорию США, в случае когда:

— есть согласие субъекта персональных данных;

— субъект проинформирован о рисках в связи с отсутствием надлежащего уровня защиты персональных данных в другой стране (абз. 2 п. 1 ст. 9 Закона о защите персональных данных).

Если же персональные данные передаются самим субъектом персональных данных, институт трансграничной передачи не применяется. В подобных ситуациях имеет место не трансграничная передача, а трансграничный сбор от субъекта персональных данных (комментарий к Закону о защите персональных данных).