25 мая в Европейском союзе в силу вступил общий регламент по защите данных (GDPR). Беларуские законодатели решили не отставать от прогресса и ввести аналогичный у нас – уже есть предварительный вариант документы. Юристы компании REVERA Гай Маевский и Елена Бонина сравнили законопроекты – во многом они похожи, но есть семь очень важных отличий, пишет dev.by.
Сфера действия
GDPR действует в случаях, когда у компании есть офис в ЕС, или ее клиенты – жители ЕС, или она обрабатывает их данные. В беларуском законопроекте сфера действия попросту не указана – значит, действовать документ будет только внутри страны.
Передача данных другим
GDPR позволяет передавать персональные данные даже в страны с низким уровнем защиты – надо подписать специальное допсоглашение. В нашем же законопроекте это разрешат передавать данные только в страны с надлежащим уровнем защиты – как его определят, остается загадкой.
Согласие на обработку данных
По европейскому закону нужно «надлежащее согласие» человека на обработку его данных – то есть никаких заранее поставленных сервисом галочек при регистрации, а правила должны быть написаны на человеческом языке. Причем согласие можно дать письменно или устно. У нас – только письменно или в электронном виде: электронные документы, указание персональных данных после получения СМС или email и простановка галочек или других отметок на сайте.
Без законного интереса
Юристы обращают внимание, что в нашем законопроекте нет самой гибкой правовой основы для обработки данных – законного интереса. В ЕС он работает в случае, когда человек не может дать согласие на обработку персональных данных, но они будут ему полезны – дают коммерческие, личные или другие социальные выгоды. Для спамеров это не аргумент.
Защита по умолчанию
Беларуский законопроект весьма поверхностно регулирует технические способы защиты данных. В ЕС этот вопрос проработан намного тщательнее: есть два главных требования к ПО – privacy by design (инструменты, которые обезличивают пользователя) и privacy by deafult (по умолчанию предлагаются максимальные настройки приватности).
Что можно требовать от компаний
При всем этом беларуский закон дает почти те же права, что и GDPR – «право на забвение», то есть удаление всех ваших данных из базы, право на возражение против обработки. Но, в отличие от нашего законопроекта, европейский также дает право не попадать под действие решений, сделанных автоматической системой (многие банки таким образом решают, дать ли вам кредит). Принципы работы с данными, в том числе внутренние, компании должны публиковать в общем доступе.
Кто за все отвечает
Если ваша компания обрабатывает данные пользователей, то вам надо назначить ответственного за защиту персональных данных (Data Protection Officer, DPO) – он создает нужную ИТ-инфраструктуру. Но различие в том, что европейский закон обязует это делать только когда речь идет о масштабных компаниях с большими объемами данных. По беларускому закону DPO должен быть у всех.
«Беларуский законопроект отличается от GDPR, но существенно перенял европейский опыт. Компаниям, которые уже соответствуют нормам ЕС, опасаться не стоит. Для остальных же принятие закона может стать настоящим вызовом. Но у бизнеса будет время подготовиться — документ вступит в силу только через год после подписания. Пока доступна только первая версия законопроекта, а 11 августа закончится его общественное обсуждение. Итоговый документ может измениться с учетом полученных предложений и парламентских слушаний», – заключили эксперты.