Для обработки персональных данных оператор обязан предпринять следующие действия.
Шаг 1. До получения согласия субъекта персональных данных предоставить этому субъекту в письменной либо электронной форме необходимую информацию, которая должна содержать (часть первая п. 5 ст. 5 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»; далее – Закон № 99-З):
- наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора (организации), получающего согласие субъекта персональных данных;
- цели обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- срок, на который дается согласие субъекта персональных данных;
- информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
- перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
- иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
Шаг 2. До получения согласия субъекта персональных данных оператор обязан простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена оператором субъекту персональных данных в письменной либо электронной форме отдельно от иной предоставляемой ему информации.
Обратите внимание! Доказывать получение согласия субъекта персональных данных должен оператор (п. 7 ст. 5 Закона № 99-З).
Шаг 3. Оператор обязан получить согласие субъекта персональных данных на их обработку в письменном или электронном виде. В своем согласии оператору на обработку персональных данных субъект персональных данных указывает:
- фамилию, собственное имя, отчество (если таковое имеется);
- дату рождения;
- идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего его личность.
Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом №99-З и иными законодательными актами.
Согласие субъекта персональных данных может быть получено:
- в письменной форме,
- в виде электронного документа
- в иной электронной форме посредством:
- указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
- проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе;
- других способов, позволяющих установить факт получения согласия субъекта персональных данных (п.2,3 ст.5 Закона №99-З).
Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие посредством подачи оператору заявления в порядке, установленном статьей 14 Закона №99-З, либо в форме, посредством которой получено его согласие (п.1 ст.10 Закона №99-З). Заявление должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- изложение сути требований субъекта персональных данных;
- личную подпись либо электронную цифровую подпись субъекта персональных данных.
При этом отзыв согласия субъекта персональных данных не имеет обратной силы, то есть обработка персональных данных до ее прекращения в соответствии с частью первой пункта 2 ст.14 Закона №99-З не является незаконной.
В случае смерти субъекта персональных данных, объявления его умершим согласие на обработку его персональных данных дают один из наследников, близких родственников, усыновителей (удочерителей), усыновленных (удочеренных) либо супруг (супруга) субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни (ч. 1 п. 9 ст. 5 Закона № 99-З).
Уполномоченное лицо не обязано получать согласие субъекта персональных данных. В случае необходимости такое согласие получает оператор.
Если оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Уполномоченное лицо несет ответственность перед оператором (ст. 7 Закона № 99-З).
Справочно: субъектом персональных данных является физическое лицо, в отношении которого осуществляется обработка персональных данных.
Оператор – это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе ИП, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных. Иными словами, любая организация является оператором персональных данных.
Уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах.
Людмила Шерснева, юрист-лицензиат, медиатор