В Беларуси представлен для обсуждения проект Закона «О персональных данных». Он должен помочь нам защитить свою приватность и одновременно создать для бизнеса и госорганов понятные правила работы с личной информацией. Разработка шла давно, например, осенью 2017 года была принята концепция закона, которая получила хорошие отзывы экспертов Совета Европы, бизнеса и гражданского общества. Главной интригой был орган по защите персональных данных и его полномочия. Мы сами участвовали и делали публичные и экспертные обсуждения на эту тему и, конечно, отслеживали судьбу законопроекта.
Текст законопроекта опубликован и его предлагают обсудить до 11 августа.
10 важных моментов
Алексей Козлюк пробежался по тексту и подчеркнул 10 важных моментов в законопроекте:
-
Определения. Смотрите, основные понятия определены почти как в GDPR. Это хорошо, т.к. снимет разночтения (а мы помним, что GDPR будет применяться ко многим белорусским компаниям). В определениях нет профайлинга, среди специальных персданных нет информации о членстве в профсоюзе, но давайте не будем придираться.
-
Сфера применения. Это накроет (в хорошем смысле) всех. Закон применяется в первую очередь к автоматической обработке данных. Были дискуссии о том, включать ли бумажные документы. В итоге, как мы видим, неавтоматизированная обработка подпадает под действие закона, когда информация собрана в каталог и позволяет вести поиск по признакам (картотеки, списки, базы данных и др.). Это хорошо. Закон не распространяется на обработку данных людьми в личной или бытовой деятельности. Ваши телефонные книжки вне подозрений. Это тоже хорошо. Госсекреты, разведывательная и контрразведывательная деятельность тоже вне регулирования. Так везде. Интересно, что разработчики никак не определили территориальное действие, в онлайне это не так просто, как кажется. Могут ли закон использовать против журналистов, например, для ограничения информации о чиновниках? В тексте есть оговорка на этот счет, позволяющая журналистам использовать персональные данные без согласия субъекта. Тем не менее, пока у нас не будет закона о доступе к информации, вероятность злоупотреблений есть.
-
Принципы. В отличие от GDPR или Конвенции СЕ №108 в нашем законопроекте принципы, касающиеся обработки персданных, не выделены в отдельную статью. Это принципиальная позиция разработчиков и в этом мы разошлись во мнениях. Впрочем, это дело законодательной техники, давайте лучше посмотрим, есть ли они в содержании. Мы видим элементы принципа:
-
законности, справедливости и прозрачности;
-
ограничения целей сбора и обработки;
-
минимизации данных;
-
точности данных;
-
ограничения хранения;
-
целостности и конфиденциальности данных.
Неплохо.
-
-
Контролер (controller) vs. обработчик (processor). Это стандартное для европейского права разделение тех, кто обрабатывает наши данные. Контролер определяет цели сбора и обработки, а обработчик действует по его поручению и в пределах задания. Здорово помогает при определении полномочий и степени ответственности. В беларусском законопроекте сделали по примеру РФ: в тексте используется определение «оператор» и «лицо, осуществляющее сбор, обработку, распространение, предоставление персональных данных по поручению оператора». Смиритесь, громоздкие конструкции — это крест нашей правовой системы, но по сути это и есть те самые две категории. Между оператором и… этим самым «лицом» должен быть договор с определенными обязательными условиями. И вот тут возникает вопрос формы договора и прочие детали. А еще сюрприз: в большинстве случаев потребуется согласие субъекта данных на передачу информации обработчику. Попробуйте представить стандартную ситуацию, при которой фирма пользуется зарубежным облачным решением для CRM, всякими GSuite и проч. В общем, здесь стоит покопаться.
-
Согласие. Это одно из основных условий (но не единственное) сбора и обработки персданных. В ст. 5 законопроекта очень подробно описывается, каким должно быть это согласие: «свободное, конкретное, информированное выражение воли субъекта», в письменной или электронной форме (сейчас только в письменной). Доказывание факта получения согласия лежит на операторе (это тот, кто собирает и обрабатывает данные). Есть перечень других условий для сбора и обработки, с этим стоит разобраться подробнее, но хорошо, что новый закон не остановит, например, работу почты.
-
Права субъекта. То есть наши с вами права. Что мы имеем:
-
право давать и отзывать согласие;
-
знакомиться со своими персональными данными, требовать внесения в них изменений;
-
получать информацию о предоставлении своих персональных данных третьим лицам;
-
требовать прекращения действий с персданным при определенных условиях, а также удаления данных;
-
обжаловать действия оператора уполномоченному органу (который еще неизвестно когда будет создан).
В последнем пункте хорошо бы иметь отдельную оговорку про обжалование действий оператора в суде, а так неплохой набор. Хотелось бы видеть среди прав еще и переносимость данных, а также гарантии при профайлинге и принятии решений без участия человека.
-
-
Обязанности оператора. Хорошая новость: операторам не надо регистрироваться ни в каких реестрах (этот атавизм до сих пор есть в некоторых странах). Очень хорошая новость: требования локализации данных, т.е. хранения данных беларусских пользователей в национальном сегменте, тоже нет. Более того, публикация политики приватности станет обязательной для всех операторов. И вот еще, каждая организация должна будет назначить DPO (сотрудник/отдел по защите персональных данных). Да-да, прямо как в GDPR. Добро пожаловать на курсы переквалификации.
-
Уполномоченный орган. А вот здесь все еще неопределённость: орган по защите прав субъектов данных будет определен президентом. По срокам, месту в системе госорганов, формальной независимости и т.д. никакой ясности. Это плохо, так как уполномоченный орган — ключевой элемент системы. Хороший закон + плохой уполномоченный (или его отсутствие) = неработающий закон. С другой стороны, в тексте нет ничего, что намекает на невозможность хорошего исхода, то есть создания независимого органа с достаточными полномочиями. В общем, вопрос просто еще раз отложили. При этом разработчики предлагают, что помимо этого надзор за исполнением законодательства о персональных данных будет осуществлять прокуратура.
-
Ответственность. Лица, виновные в нарушении закона, несут ответственность, предусмотренную законодательными актами. Безусловно, стоит ждать изменений в КоАП и возможно даже УК. Также можно заявлять моральный вред, который не зависит от материальных убытков.
-
Срок. Поздравляем, у всех есть время на подготовку. Закон вступит в силу через год после принятия.