Проект закона «О персональных данных» вынесли на обсуждение. 10 важных моментов
В Беларуси представлен для обсуждения проект Закона «О персональных данных», который должен помочь нам защитить свою приватность и одновременно создать для бизнеса и госорганов понятные правила работы с личной информацией. Разработка шла давно: осенью 2017 года была принята концепция закона, которая получила хорошие отзывы экспертов Совета Европы, бизнеса и гражданского общества. Главной интригой был орган по защите персональных данных и его полномочия. Мы сами участвовали и делали публичные и экспертные обсуждения на эту тему, отслеживали судьбу законопроекта.
Текст законопроекта опубликован и его предлагают обсудить до 11 августа. Алексей Козлюк пробежался по тексту и подчеркнул 10 важных моментов в законопроекте:
-
Определения. Смотрите, основные понятия определены почти как в GDPR. Это хорошо, т.к. снимет разночтения (а мы помним, что GDPR будет применяться ко многим белорусским компаниям). В определениях нет профайлинга, среди специальных персданных нет информации о членстве в профсоюзе, но давайте не будем придираться.
-
Сфера применения. Это накроет (в хорошем смысле) всех. Закон применяется в первую очередь к автоматической обработке данных. Были дискуссии о том, включать ли бумажные документы. В итоге, как мы видим, неавтоматизированная обработка подпадает под действие закона, когда информация собрана в каталог и позволяет вести поиск по признакам (картотеки, списки, базы данных и др.). Это хорошо. Закон не распространяется на обработку данных людьми в личной или бытовой деятельности. Ваши телефонные книжки вне подозрений. Это тоже хорошо. Госсекреты, разведывательная и контрразведывательная деятельность тоже вне регулирования. Так везде. Интересно, что разработчики никак не определили территориальное действие, в онлайне это не так просто, как кажется. Могут ли закон использовать против журналистов, например, для ограничения информации о чиновниках? В тексте есть оговорка на этот счет, позволяющая журналистам использовать персональные данные без согласия субъекта. И все же, пока у нас не будет закона о доступе к информации, вероятность злоупотреблений есть.
-
Принципы. В отличие от GDPR или Конвенции СЕ №108 в нашем законопроекте принципы, касающиеся обработки персданных, не выделены в отдельную статью. Это принципиальная позиция разработчиков и в этом мы разошлись во мнениях. Впрочем, это дело законодательной техники, давайте лучше посмотрим, есть ли они в содержании. Мы видим элементы:
-
принципа законности, справедливости и прозрачности;
-
принципа ограничения целей сбора и обработки;
-
принципа минимизации данных;
-
принципа точности данных;
-
принципа ограничения хранения;
-
принципа целостности и конфиденциальности данных.
Неплохо.
-
-
Контролер (controller) vs. обработчик (processor). Это стандартное для европейского права разделение тех, кто обрабатывает наши данные. Контролер определяет цели сбора и обработки, а обработчик действует по его поручению и в пределах задания. Здорово помогает при определении полномочий и степени ответственности. В беларусском законопроекте сделали по примеру РФ: в тексте используется определение «оператор» и «лицо, осуществляющее сбор, обработку, распространение, предоставление персональных данных по поручению оператора». Смиритесь, громоздкие конструкции — это крест нашей правовой системы, но по сути это и есть те самые две категории. Между оператором и… этим самым «лицом» должен быть договор с определенными обязательными условиями. И вот тут возникает вопрос формы договора и прочие детали. А еще сюрприз: в большинстве случаев потребуется согласие субъекта данных на передачу информации обработчику. Попробуйте представить стандартную ситуацию, при которой фирма пользуется зарубежным облачным решением для CRM, всякими GSuite и проч. В общем, здесь стоит покопаться.
-
Согласие. Это одно из основных условий (но не единственное) сбора и обработки персданных. В ст. 5 законопроекта очень подробно описывается, каким должно быть это согласие: «свободное, конкретное, информированное выражение воли субъекта», в письменной или электронной форме (сейчас только в письменной). Доказывание факта получения согласия лежит на операторе (это тот, кто собирает и обрабатывает данные). Есть перечень других условий для сбора и обработки, с этим стоит разобраться подробнее, но хорошо, что новый закон не остановит, например, работу почты.
-
Права субъекта. То есть наши с вами права. Что мы имеем:
-
право давать и отзывать согласие;
-
знакомиться со своими персональными данными, требовать внесения в них изменений;
-
получать информацию о предоставлении своих персональных данных третьим лицам;
-
требовать прекращения действий с персданным при определенных условиях, а также удаления данных;
-
обжаловать действия оператора уполномоченному органу (который еще неизвестно когда будет создан).
В последнем пункте хорошо бы иметь отдельную оговорку про обжалование действий оператора в суде, а так неплохой набор. Хотелось бы видеть среди прав еще и переносимость данных, а также гарантии при профайлинге и принятии решений без участия человека.
-
-
Обязанности оператора. Хорошая новость: операторам не надо регистрироваться ни в каких реестрах (этот атавизм до сих пор есть в некоторых странах). Очень хорошая новость: требования локализации данных, т.е. хранения данных беларусских пользователей в национальном сегменте, тоже нет. Публикация политики приватности станет обязательной для всех операторов. Юристы Human Constanta уже думают над универсальным генератором текста политики приватности.И вот еще, каждая организация должна будет назначить DPO (сотрудник/отдел по защите персональных данных). Да-да, прямо как в GDPR. Добро пожаловать на курсы переквалификации.
-
Уполномоченный орган. А вот здесь все еще неопределённость: орган по защите прав субъектов данных будет определен президентом. По срокам, месту в системе госорганов, формальной независимости и т.д. никакой ясности. Это плохо, так как уполномоченный орган — ключевой элемент системы. Хороший закон + плохой уполномоченный (или его отсутствие) = неработающий закон. С другой стороны, в тексте нет ничего, что намекает на невозможность хорошего исхода, то есть создания независимого органа с достаточными полномочиями. В общем, вопрос просто еще раз отложили. При этом разработчики предлагают, что помимо этого надзор за исполнением законодательства о персональных данных будет осуществлять прокуратура.
-
Ответственность. Лица, виновные в нарушении закона, несут ответственность, предусмотренную законодательными актами. Стоит ждать изменений в КоАП и возможно даже УК. Также можно заявлять моральный вред, который не зависит от материальных убытков.
-
Срок. Поздравляем, у всех есть время на подготовку. Закон вступит в силу через год после принятия.