Национальный центр законодательства и правовых исследований вынес на общественное обсуждение проект Закона Республики Беларусь «О персональных данных». До 11 августа высказаться может любой желающий. Сам закон направлен на регулирование отношений, связанных со сбором, обработкой, распространением и предоставлением персональных данных, осуществляемыми операторами с использованием средств автоматизации. Разработка шла давно: осенью 2017 года была принята концепция закона, которая получила хорошие отзывы экспертов Совета Европы, бизнеса и гражданского общества. Сооснователь Human Constanta Алексей Козлюк почитал законопроект и подчеркнул в нем десять важных моментов.
Что важно в законопроекте
1. Определения. Смотрите, основные понятия определены почти как в GDPR. Это хорошо, так как снимет разночтения (а мы помним, что GDPR будет применяться ко многим беларуским компаниям). В определениях нет профайлинга, среди специальных персональных данных нет информации о членстве в профсоюзе, но давайте не будем придираться.
2. Сфера применения. Это накроет (в хорошем смысле) всех. Закон применяется в первую очередь к автоматической обработке данных. Были дискуссии о том, включать ли бумажные документы. В итоге, как мы видим, неавтоматизированная обработка подпадает под действие закона, когда информация собрана в каталог и позволяет вести поиск по признакам (картотеки, списки, базы данных и другое). Это хорошо. Закон не распространяется на обработку данных людьми в личной или бытовой деятельности. Ваши телефонные книжки вне подозрений. Это тоже хорошо. Госсекреты, разведывательная и контрразведывательная деятельность тоже вне регулирования. Так везде. Интересно, что разработчики никак не определили территориальное действие, в онлайне это не так просто, как кажется. Могут ли закон использовать против журналистов, например, для ограничения информации о чиновниках? В тексте есть оговорка на этот счет, позволяющая журналистам использовать персональные данные без согласия субъекта. И все же, пока у нас не будет закона о доступе к информации, вероятность злоупотреблений есть.
3. Принципы. В отличие от GDPR или Конвенции СЕ №108 в нашем законопроекте принципы, касающиеся обработки персданных, не выделены в отдельную статью. Это принципиальная позиция разработчиков и в этом мы разошлись во мнениях. Впрочем, это дело законодательной техники, давайте лучше посмотрим, есть ли они в содержании. Мы видим элементы:
- принципа законности, справедливости и прозрачности;
- принципа ограничения целей сбора и обработки;
- принципа минимизации данных;
- принципа точности данных;
- принципа ограничения хранения;
- принципа целостности и конфиденциальности данных.
4. Контролер (controller) vs. обработчик (processor). Это стандартное для европейского права разделение тех, кто обрабатывает наши данные. Контролер определяет цели сбора и обработки, а обработчик действует по его поручению и в пределах задания. Здорово помогает при определении полномочий и степени ответственности. В беларуском законопроекте сделали по примеру РФ: в тексте используется определение «оператор» и «лицо, осуществляющее сбор, обработку, распространение, предоставление персональных данных по поручению оператора». Смиритесь, громоздкие конструкции — это крест нашей правовой системы, но по сути это и есть те самые две категории. Между оператором и… этим самым «лицом» должен быть договор с определенными обязательными условиями. И вот тут возникает вопрос формы договора и прочие детали. А еще сюрприз: в большинстве случаев потребуется согласие субъекта данных на передачу информации обработчику. Попробуйте представить стандартную ситуацию, при которой фирма пользуется зарубежным облачным решением для CRM, всякими GSuite и прочим. В общем, здесь стоит покопаться.
5. Согласие. Это одно из основных условий (но не единственное) сбора и обработки персональных данных. В статье 5 законопроекта очень подробно описывается, каким должно быть это согласие: «свободное, конкретное, информированное выражение воли субъекта», в письменной или электронной форме (сейчас только в письменной). Доказывание факта получения согласия лежит на операторе (это тот, кто собирает и обрабатывает данные). Есть перечень других условий для сбора и обработки, с этим стоит разобраться подробнее, но хорошо, что новый закон не остановит, например, работу почты.
6. Права субъекта. То есть наши с вами права. Что мы имеем:
- право давать и отзывать согласие;
- знакомиться со своими персональными данными, требовать внесения в них изменений;
- получать информацию о предоставлении своих персональных данных третьим лицам;
- требовать прекращения действий с персданным при определенных условиях, а также удаления данных;
- обжаловать действия оператора уполномоченному органу (который еще неизвестно когда будет создан).
В последнем пункте хорошо бы иметь отдельную оговорку про обжалование действий оператора в суде, а так неплохой набор. Хотелось бы видеть среди прав еще и переносимость данных, а также гарантии при профайлинге и принятии решений без участия человека.
7. Обязанности оператора. Хорошая новость: операторам не надо регистрироваться ни в каких реестрах (этот атавизм до сих пор есть в некоторых странах). Очень хорошая новость: требования локализации данных, то есть хранения данных беларуских пользователей в национальном сегменте, тоже нет. Публикация политики приватности станет обязательной для всех операторов. Юристы Human Constanta уже думают над универсальным генератором текста политики приватности. И вот еще, каждая организация должна будет назначить DPO (сотрудник/отдел по защите персональных данных). Да-да, прямо как в GDPR. Добро пожаловать на курсы переквалификации.
8. Уполномоченный орган. А вот здесь все еще неопределённость: орган по защите прав субъектов данных будет определен президентом. По срокам, месту в системе госорганов, формальной независимости и так далее никакой ясности. Это плохо, так как уполномоченный орган — ключевой элемент системы. Хороший закон + плохой уполномоченный (или его отсутствие) = неработающий закон. С другой стороны, в тексте нет ничего, что намекает на невозможность хорошего исхода, то есть создания независимого органа с достаточными полномочиями. В общем, вопрос просто еще раз отложили. При этом разработчики предлагают, что помимо этого надзор за исполнением законодательства о персональных данных будет осуществлять прокуратура.
9. Ответственность. Лица, виновные в нарушении закона, несут ответственность, предусмотренную законодательными актами. Стоит ждать изменений в КоАП и возможно даже УК. Также можно заявлять моральный вред, который не зависит от материальных убытков.
10. Срок. Поздравляем, у всех есть время на подготовку. Закон вступит в силу через год после принятия.
Источник: Human Constanta