Защита персональных данных: краткий обзор нововведений с 15 ноября 2021 года

Вопросы защиты персональных данных вышли на новый уровень развития с принятием Закона. Почему же они актуальны для руководителя?

Ответ прост:

• с 1 марта 2021 г. ст. 23.7 КоАП введена административная ответственность за нарушение законодательства о защите персональных данных, а именно за незаконные сбор, обработку, хранение или предоставление персональных данных, нарушение прав субъекта данных, распространение персональных данных, несоблюдение мер обеспечения защиты персональных данных;
• с 19 июня 2021 г. УК предусмотрена уголовная ответственность за нарушение законодательства о персональных данных (ст. 203¹ и ст. 203² УК).

Таким образом, руководителю крайне важно соблюдать основные положения Закона, т.к. в случае их нарушения могут наступить неблагоприятные последствия.

Кто же такой оператор?

Согласно абз. 8 ч. 1 ст. 1 Законаоператор — это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в т. ч. индивидуальный предприниматель, самостоятельно или совместно с указанными лицами организующие и (или) осуществляющие обработку персональных данных.

К определениям, которые косвенно затрагивают понятие оператора, относятся «персональные данные» и «субъект персональных данных».

Согласно абз. 9 ч. 1 ст. 1 Закона персональными данными является любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Субъект персональных данных — это физическое лицо, в отношении которого осуществляется обработка персональных данных (абз. 13 ч. 1 ст. 1 Закона).

Из анализа приведенных понятий следует, что любая организация является оператором персональных данных.

Руководителю на заметку
Организации здравоохранения в первую очередь являются операторами в отношении данных о пациентах, клиентах, своих работниках и др.

Таким образом, руководителям организаций здравоохранения необходимо изучить основные стандарты, установленные Законом, чтобы к 15 ноября 2021 г. привести свою деятельность в части обработки персональных данных в соответствие с данными требованиями.

Меры защиты персональных данных

Для приведения внутренних процессов организации в соответствие с Законом необходимо знать основные меры защиты персональных данных, закрепленные в ст. 17 (см. схему 1).

Схема 1

Обязанности организации в части защиты персональных данных

Справочно: порядок осуществления технической и криптографической защиты персональных данных установлен Оперативно-­аналитическим центром при Президенте Республики Беларусь.

Зачастую в организациях работу по вопросам защиты коммерческой тайны или персональных данных возлагают на юристов. Однако руководителю необходимо помнить, что у юристов, как правило, отсутствуют знания о технической стороне защиты информации. Поэтому в организации целесообразно создать небольшую группу из специалистов разных профилей. Это могут быть, например, юрист, специалист по кадрам, системный администратор и др.

Оператор и уполномоченное лицо: в чем разница?

Ранее законодательство Республики Беларусь не разграничивало роли субъектов в процессе обработки персональных данных. С вступлением в силу Закона введены понятия, аналогичные понятиям Общего регламента защиты персональных данных, принятого в Евросоюзе (General Data Protection Regulation, далее — GDPR).

Так, Законом введены понятия «оператор» (аналог «контролера» GDPR) и «уполномоченное лицо» (аналог «процессора» в GDPR).

Это важно
Уполномоченное лицо — это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах (абз. 16 ч. 1 ст. 1 Закона).

Оператора от уполномоченного лица отличить несложно. Если организация сама принимает решение об обработке персональных данных, она является оператором. Если же организация обрабатывает персональные данные по указанию другого лица (в т. ч. на основе договора), она является уполномоченным лицом.

Справочно: в небольшой организации учет кадров, воинский и бухгалтерский учет может вести специализированная организация или индивидуальный предприниматель. В этом случае такая специализированная организация или ИП будет являться уполномоченным лицом, а организация, поручившая им обработку персональных данных, — оператором.

Законом закреплены правила, указывающие на то, как должны быть урегулированы отношения между оператором и уполномоченным лицом.

Так, договор должен содержать:

• перечень действий, совершаемых с персональными данными;
• обязательство по соблюдению конфиденциальности персональных данных;
• цели обработки персональных данных;
• меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона (п. 1 ст. 7 Закона).

Если у организации уже имеется такой договор, то до момента вступления в силу Закона он должен быть приведен в соответствие с его требованиями (дополнительно урегулированы пункты, перечисленные выше).

Обработка персональных данных

В п. 3 ст. 4 Закона закреплено, что обработка персональных данных осуществляется с согласия субъекта персональных данных.

Статьей 6 Закона предусмотрены случаи, при которых обработка персональных данных может осуществляться без согласия субъекта персональных данных. В частности, это получение персональных данных:

• на основании договора, заключенного с субъектом персональных данных, в целях совершения действий, установленных этим договором;
• при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством, и в других случаях.

К согласию, которое должно быть получено от субъекта персональных данных, Законом предъявлены определенные требования. Так, согласие должно быть свободным, однозначным и информированным.

Форма согласия установлена п. 2 ст. 5 Закона. Оно может быть получено: в письменной форме, в форме электронного документа или в иной электронной форме.

Это важно
Ранее законодательством Республики Беларусь предусматривалась возможность получения исключительно письменного согласия.

Перед получением согласия Закон обязывает оператора сообщить субъекту персональных данных некоторую информацию (предусмотренную ч. 1 п. 5 ст. 5 Закона), а также простым и ясным языком разъяснить субъекту персональных данных его права, механизм их реализации, последствия дачи согласия и отказа от него.

Руководителю на заметку
Если все вышеуказанные условия не будут соблюдены, то согласие на обработку персональных данных будет считаться недействительным.

Соблюдение прав субъектов персональных данных

Закон предоставляет субъекту персональных данных право определенным образом распоряжаться своими персональными данными. В частности, субъекты персональных данных получают права:

• на отзыв согласия (ст. 10 Закона);
• на получение информации об обработке данных (ст. 11 Закона);
• на изменение персональных данных (ст. 11 Закона);
• на получение информации о предоставлении данных третьим лицам (ст. 12 Закона);
• требовать удаления данных или прекращения их обработки (ст. 13 Закона).

При получении заявления субъекта персональных данных оператор обязан в течение 15 дней (5 дней — в отношении права на получение информации об обработке персональных данных) выполнить одно из действий (см. схему 2).

Схема 2

Действия оператора при рассмотрении заявления субъекта персональных данных

Субъект персональных данных в случае отказа от предоставления информации или выполнения действий должен бытьуведомлен о причинах такого отказа.

Контроль передачи персональных данных

Ранее законодательство Республики Беларусь не регулировало вопросы передачи персональных данных за пределы государства. Закон же закрепляет правило, согласно которому передача данных за пределы Республики Беларусь в страны, где не обеспечен надлежащий уровень защиты данных, запрещается (п. 1 ст. 9 Закона).

Справочно: список таких стран на момент написания материала не опубликован.

Однако п. 1 ст. 9 Закона предусматривает перечень условий, при которых возможна передача персональных данных. К таким условиям отнесены:

• наличие согласия субъекта персональных данных, который проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
• получение персональных данных на основании договора, заключенного с субъектом персональных данных, в целях совершения действий, установленных этим договором;
• персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
• передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
• обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
• получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.