Ковалева Екатерина Валерьевна,
юрист

Первый законодательный акт, специально посвященный защите персональных данных в Республике Беларусь, вступит в силу уже в ноябре 2021 г. Закон N 99-З был официально опубликован 14 мая 2021 г.

Кроме того, что это первый специализированный акт, Закон N 99-З на фоне другого законодательства Республики Беларусь выделяется и новацией определений. Например, однозначно не определен перечень сведений, которые следует относить к персональным данным, сами персональные данные четко не обозначены. Между тем такое новаторство приводит нас к заключению о том, что очень многое будет зависеть от правоприменительной практики и позиции уполномоченного органа по защите прав субъектов персональных данных (в настоящее время орган не создан, но должен появиться в ближайшее время (ст. 20 Закона N 99-З)).

Справочно
Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Генетические персональные данные — информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
Специальные персональные данные — персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

До вступления Закона N 99-З в силу субъектам хозяйствования надлежит провести обширную подготовительную работу. Так, до вступления Закона N 99-З в силу, полагаем, важно разработать положения либо политики, регулирующие вопросы обработки персональных данных, разработать проект согласия на обработку персональных данных, определить, какие данные, для каких целей будут собираться и, главное, где они будут обрабатываться и храниться, и много других мелких и не очень мелких вопросов.

Кроме того, при приведении в соответствие всех процессов внутри организации необходимо тщательно проанализировать, какими сервисами, для каких целей пользуется организация, какие персональные данные при этом передаются, в каких странах физически находятся сервера, на которые передаются персональные данные. Вопрос физического размещения серверов важен, поскольку Закон N 99-З определяет трансграничную передачу данных как передачу персональных данных на территорию иностранного государства. При этом важно обратить внимание на тот факт, что Закон N 99-З допускает такую передачу и не требует хранения всех персональных данных исключительно на территории Республики Беларусь.

Проанализировав понятие «трансграничная передача данных», а также мировой опыт трансграничной передачи данных, мы можем говорить о том, что при определенных условиях использование сторонних сервисов аналитики, рекламы, почтовых и платежных сервисов, использование иных сервисов и программ, которые физически размещены на серверах вне территории Республики Беларусь, будет являться трансграничной передачей данных.

Сказанное выше важно, поскольку в настоящее время Закон N 99-З не разрешает трансграничную передачу данных по умолчанию. Кроме того, трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, когда:

— дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;

— персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

— персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;

— такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

— обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;

— такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;

— получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных (п. 1 ст. 9 Закона N 99-З).

Нормой абз. 5 п. 3 ст. 18 Закона N 99-З право определения перечня иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, предоставлено уполномоченному органу по защите прав субъектов персональных данных. Однако поскольку указанный орган в настоящее время все еще не создан, то отсутствует и список стран, где обеспечивается надлежащая защита персональных данных.

Учитывая, что указанного списка стран нет, а вопрос с обработкой персональных данных и получением согласия на их обработку нужно решать максимально оперативно, полагаем, необходимо разработать формы согласия как на обработку персональных данных, так и на трансграничную передачу персональных данных с уведомлением о том, что гарантировать защиту персональных данных на территории иностранных государств организация не в силе. По нашему мнению, в ближайшее время должен появиться список стран, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, к моменту появления такого списка организации должны точно знать, где физически находятся сервера, в том числе и сервера уполномоченных лиц (лиц, которые по поручению оператора на договорной основе занимаются обработкой персональных данных).

Обратите внимание, что договор на обработку персональных данных уполномоченными лицами должен содержать сведения, прямо предусмотренные Законом N 99-З:

— цели обработки персональных данных;

— перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;

— обязанности по соблюдению конфиденциальности персональных данных;

— меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона N 99-З (п. 1 ст. 7 Закона N 99-З).

Обратите внимание, что п. 3 ст. 17 Закона N 99-З определены обязательные меры по обеспечению защиты персональных данных. С учетом названных мер можно четко определить направления работы по подготовке организаций к вступлению в силу Закона N 99-З:

— назначение оператором (уполномоченным лицом) структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

— издание оператором (уполномоченным лицом) документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных;

— ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;

— установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

— осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

По нашему мнению, наиболее интенсивная работа по подготовке к вступлению Закона N 99-З в силу и соответствию его требованиям у организаций начнется после создания уполномоченного органа по защите прав субъектов персональных данных. Между тем уже сейчас разумно вести подготовительные мероприятия: анализировать процессы в организации, определять технические возможности и т.д.

И, конечно, огромное значение будет иметь путь, по которому пойдет правоприменительная практика, но, как показывает мировой опыт, вопросы защиты персональных данных в настоящее время одни из самых актуальных, а законодательство вынужденно постоянно эволюционировать, чтобы соответствовать требованиям времени.

При подготовке к работе с персональными данными в новых условиях субъектам хозяйствования необходимо помнить, что ст. 23.7 КоАП предусматривает ответственность за нарушение законодательства о защите персональных данных.

Читайте этот материал в ilex >>*
*по ссылке Вы попадете в платный контент сервиса ilex