3 августа 2018, 16:33

25 мая в Европейском союзе в силу вступил общий регламент по защите данных (GDPR). Беларуские законодатели решили не отставать от прогресса и ввести аналогичный у нас – уже есть предварительный вариант документы. Юристы компании REVERA Гай Маевский и Елена Бонина сравнили законопроекты – во многом они похожи, но есть семь очень важных отличий, пишет dev.by.

Сфера действия

GDPR действует в случаях, когда у компании есть офис в ЕС, или ее клиенты – жители ЕС, или она обрабатывает их данные. В беларуском законопроекте сфера действия попросту не указана – значит, действовать документ будет только внутри страны.   

Передача данных другим

GDPR позволяет передавать персональные данные даже в страны с низким уровнем защиты – надо подписать специальное допсоглашение. В нашем же законопроекте это разрешат передавать данные только в страны с надлежащим уровнем защиты – как его определят, остается загадкой.

Согласие на обработку данных

По европейскому закону нужно «надлежащее согласие» человека на обработку его данных – то есть никаких заранее поставленных сервисом галочек при регистрации, а правила должны быть написаны на человеческом языке. Причем согласие можно дать письменно или устно. У нас – только письменно или в электронном виде: электронные документы, указание персональных данных после получения СМС или email и простановка галочек или других отметок на сайте.

Без законного интереса

Юристы обращают внимание, что в нашем законопроекте нет самой гибкой правовой основы для обработки данных – законного интереса. В ЕС он работает в случае, когда человек не может дать согласие на обработку персональных данных, но они будут ему полезны – дают коммерческие, личные или другие социальные выгоды. Для спамеров это не аргумент.

Защита по умолчанию

Беларуский законопроект весьма поверхностно регулирует технические способы защиты данных. В ЕС этот вопрос проработан намного тщательнее: есть два главных требования к ПО – privacy by design (инструменты, которые обезличивают пользователя) и privacy by deafult (по умолчанию предлагаются максимальные настройки приватности).

Что можно требовать от компаний

При всем этом беларуский закон дает почти те же права, что и GDPR – «право на забвение», то есть удаление всех ваших данных из базы, право на возражение против обработки. Но, в отличие от нашего законопроекта, европейский также дает право не попадать под действие решений, сделанных автоматической системой (многие банки таким образом решают, дать ли вам кредит). Принципы работы с данными, в том числе внутренние, компании должны публиковать в общем доступе.

Кто за все отвечает

Если ваша компания обрабатывает данные пользователей, то вам надо назначить ответственного за защиту персональных данных (Data Protection Officer, DPO) – он создает нужную ИТ-инфраструктуру. Но различие в том, что европейский закон обязует это делать только когда речь идет о масштабных компаниях с большими объемами данных. По беларускому закону DPO должен быть у всех.

«Беларуский законопроект отличается от GDPR, но существенно перенял европейский опыт. Компаниям, которые уже соответствуют нормам ЕС, опасаться не стоит. Для остальных же принятие закона может стать настоящим вызовом. Но у бизнеса будет время подготовиться — документ вступит в силу только через год после подписания. Пока доступна только первая версия законопроекта, а 11 августа закончится его общественное обсуждение. Итоговый документ может измениться с учетом полученных предложений и парламентских слушаний», – заключили эксперты.

Заметили ошибку в тексте – выделите её и нажмите Ctrl+Enter