11 ноябрь 2020
Статья 4 из 24 ( Материал id: 2561 Журнал id: 118892 )
Страница № 9

    

    

    

    

   

Общедоступные или конфиденциальные: как субъекты хозяйствования будут обеспечивать защиту персональных данных?

Кристина Рихтер, юрист-лицензиат

Важные детали:

  1. Проект Закона Республики Беларусь «О персональных данных» (далее – Закон) принят в первом чтении (в 2019 г.) и после внесения поправок будет рассмотрен Палатой Представителей во втором чтении*.
  2. Проект Закона устанавливает целый ряд новых обязанностей для юридических лиц и индивидуальных предпринимателей в связи со сбором, обработкой персональных данных.

 

На какие данные распространяется защита?

Персональные данные – это любая информация, идентифицирующая физическое лицо. К ним относятся как наиболее используемые данные: имя, отчество, фамилия, место работы, фотографии и т.п., так и достаточно редко встречающиеся: биометрические персональные данные или генетические персональные данные.

Проект Закона устанавливает режим конфиденциальности персональных данных (ст. 8 Закона), который не распространяется на общедоступные персональные данные, т.е. распространенные самим лицом с его согласия или в порядке, установленном законодательством, а также фамилии, имена, отчества, должности физических лиц, которые работают (служат) в государственных органах (учреждениях), включая нотариусов.

 

Справочно:

проект Закона размещен на правовом портале pravo.by по адресу: https://pravo.by/document/?guid=3941&p0=2019023001.

 

Справочно:

до принятия Закона отношения между физическими лицами и субъектами хозяйствования, собирающими персональные данные, регулирует Закон Республики Беларусь от 10.11.2008 № 455­З «Об информации, информатизации и защите информации».

 

Кто должен соблюдать требования Закона?

Физическое, юридическое лицо, индивидуальный предприниматель, государственный орган, иные организации, осуществляющие действия с персональными данными в профессиональных и коммерческих целях. В проекте Закона они поименованы как «операторы».

 

Какие действия могут осуществлять субъекты хозяйствования с персональными данными?

Далее рассмотрим, как изменится оформление документов и какие обязательные действия придется осуществлять субъектам хозяйствования после вступления в силу Закона.

 

Справочно:

в проекте Закона планируется предоставить юридическим лицам и индивидуальным предпринимателям целый год после вступления его в силу для приведения в соответствие с его нормами работы с персональными данными.

 

Обязательно получить согласие субъекта персональных данных

По общему правилу сбор, обработка (за исключением обезличивания), распространение, предоставление персональных данных осуществляются с согласия субъекта персональных данных (исключения могут быть установлены актами законодательства).

Организация обязана получить согласие на обработку персональных данных следующими способами (ст. 5 Закона):

  • письменно путем проставления личной подписи;
  • в виде электронного документа;
  • с использованием иной электронной формы для получения согласия, но только с применением способов, позволяющих установить факт получения согласия субъекта персональных данных (например, посредством сопоставления отпечатка пальца в мобильном прило­жении);
  • посредством указания (выбора) определенной информации (кода) после получения СМС-сообщения, сообщения на адрес элект­ронной почты, постановки галочки/крестика или иной отметки при посещении интернет-сайта и др.;
  • с использованием иной электронной формы для получения согласия, но только с применением способов, позволяющих установить факт получения согласия субъекта персональных данных.

В проекте Закона перечень способов получения согласия является открытым. Главным условием является наличие возможности проверки получения такого согласия оператором.

 

Важно!

Подтверждением согласия не может считаться заранее поставленная отметка в поле согласия, молчание либо иное бездействие лица, дающего согласие на обработку персональных данных. Согласие выражается в совершенном активном действии.

 

Обратите внимание!

Законом установлен возраст, по достижении которого субъект персональных данных вправе давать согласие на действия со своими персональными данными, ‒ 16 лет (часть вторая п. 8 ст. 5 Закона).

 

Вместе с тем Законом предусмотрен ряд случаев, когда запрашивать согласие на обработку персональных данных не требуется (ст. 6 Закона): в частности, в процессе трудовых отношений, ведения персонифицированного учета, назначения и выплаты пенсий, пособий и др.

 

Разъяснить отдельные вопросы до получения согласия

Субъект персональных данных должен ясно понимать, какие его данные будут использованы, как и с какой целью, поэтому еще до получения согласия оператор обязан (п. 4 ст. 5 Закона):

  • простым и ясным языком разъяснить субъекту персональных данных его права, связанные со сбором, обработкой, распространением, предоставлением персональных данных, а также последствия согласия или отказа в даче согласия;
  • сообщить субъекту сведения о себе, цель сбора данных, срок, способы обработки и др.

 

Рекомендация

Закон устанавливает, что цели сбора персональных данных должны быть конкретными и обоснованными. Поэтому организациям стоит пересмотреть средства сбора данных (анкеты, формы) и убрать необоснованные и избыточно запрашиваемые данные. О цели использования данных необходимо уведомлять, например, таким образом:

«Ваш адрес электронной почты будет использован для рассылки «Товары недели для домашних животных».

 

Важно!

Если цель использования персональных данных изменилась, то оператору необходимо получить новое согласие на использование данных.

 

Предоставить информацию по поводу собранных персональных данных

Субъект персональных данных вправе в любой момент запросить информацию, касающуюся сбора, обработки (за исключением обезличивания), распространения своих персональных данных, предоставленных конкретному оператору.

В связи с этим оператор или его уполномоченное лицо обязаны в течение 5 рабочих дней после получения соответствующего запроса (заявления) представить субъекту в доступной форме сведения, указанные в части первой п. 1 ст. 13 Закона, либо уведомить его о причинах отказа в их представлении.

 

Обратите внимание!

Представление таких сведений осуществляется бесплатно, за исключением случаев, предусмотренных законодательными актами.

 

Принять меры по защите персональных данных

Операторы обязаны принимать правовые, организационные и технические меры обеспечения защиты полученных ими персональных данных. Состав и перечень таких мер оператор определяет самостоятельно. Тем не менее Закон содержит перечень мер, являющихся обязательными для обеспечения защиты персональных данных (п. 3 ст. 19 Закона):

  • назначение структурного подразделения или лица, ответственного за деятельность с персональными данными;
  • издание документов, определяющих политику в отношении персональных данных;
  • ознакомление работников оператора и иных лиц с положениями законодательства о персональных данных, ЛПА, иными внутренними документами;
  • установление порядка доступа к персональным данным, в т.ч. обрабатываемым в информационном ресурсе (системе);
  • осуществление технической и криптографической защиты персональных данных.

 

Обратите внимание!

Оператор обязан обеспечить неограниченный доступ, в т.ч. с использованием Интернета, к документу, определяющему его политику в отношении сбора, обработки, распространения, предоставления персональных данных, до начала осуществления соответствующих действий с персональными данными.

 

Контроль и ответственность

На данный момент не определен уполномоченный орган по защите прав субъектов персональных данных. Его назначение будет осуществлено дополнительно. Такой орган будет контролировать работу с персональными данными операторов и рассматривать жалобы физических лиц на нарушения.

Что касается ответственности за неправомерные действия в отношении персональных данных, то ст. 22.13 КоАП устанавливает за умышленное незаконное разглашение персональных данных лицом, которому такие данные стали известны в связи с его профессиональной или служебной деятельностью (если в этих деяниях нет состава преступления), ответственность в виде штрафа от 4 до 20 базовых величин.

 

Документ:

Кодекс Республики Беларусь об административных правонарушениях (КоАП).

Печать
В закладки
Сохранить в MS Word
AA
Наверх

You can highlight and get a piece of text that will get a unique link in your browser.