12 февраля 2025 года Минский столичный союз предпринимателей направил в Национальный центр законодательства и правовой информации Республики Беларусь письмо с ответом на запрос НЦЗПИ о проблемных вопросах применения норм Закона «О защите персональных данных».
В письме Союза отмечается, что, социально-экономические потребности общества и государства, удовлетворяемые Законом о защите персональных данных и всей выстроенной для его реализации системой регулирования, в реальности практически отсутствуют.
По мнению экспертов Союза, это объясняется, в частности, тем, что при разработке и принятии Закона о защите персональных данных, как минимум, в заведомо недостаточной мере учитывались требования иных нормативных правовых актов, не говоря о существе и содержании регулируемых правоотношений, что привело к взрывному росту нагрузки на все субъекты правоотношений и усложнению практически всех видов деятельности.
В письме перечислены реально существующие и обоснованные цели, из которых, по мнению экспертов Союза, должно исходить регулирование защиты персональных данных в Республике Беларусь.
Эксперты Союза предложили: в целях получения более точных данных о влиянии регулирования о защите персональных данных на экономику и субъектов хозяйствования провести силами НЦЗПИ совместно с Министерством экономики, Министерством финансов и Министерством по налогам и сборам Республики Беларусь, исследование, содержащее расчеты в разрезе категорий операторов и уполномоченных лиц, общего количества таких субъектов в Республике Беларусь.
О практике применения Закона
В соответствии с запросом Национального центра законодательства и правовой информации Республики Беларусь (исх. № 03-11/238 от 27.012025) о проблемных вопросах применения норм Закона Республики Беларусь от 7 мая 2021 года № 99-З «О защите персональных данных» (далее – Закон о защите персональных данных), ОО «Минский столичный союз предпринимателей и работодателей» (далее – МССПиР) в пределах компетенции сообщает следующее.
1) Статьей 6 Закона Республики Беларусь от 17 июля 2018 года № 130-З «О нормативных правовых актах» (далее – Закон о нормативных правовых актах), определено, что нормотворческая деятельность осуществляется на основе, в том числе, принципа социально-экономической обусловленности, который обеспечивается соответствием принимаемых (издаваемых) нормативных правовых актов социально-экономическим потребностям и возможностям общества и государства, а также целям устойчивого развития, содержащимся в международно-правовых актах и правовых актах программного характера.
Вместе с тем, социально-экономические потребности общества и государства, удовлетворяемые Законом о защите персональных данных и всей выстроенной для его реализации системой регулирования, в реальности практически отсутствуют.
Единственной реальной причиной принятия данного Закона представляется введение в Европейском Союзе в 2016 году Генерального регламента о защите персональных данных (General Data Protection Regulation) (далее – GDPR), содержащего, среди прочего, запрет на передачу персональных данных граждан ЕС в страны, где не обеспечивается требуемый GDPR уровень защиты персональных данных, что значительно усложняло доступ на рынки стран ЕС для субъектов из третьих стран и вынудило, как Республику Беларусь, так и Российскую Федерацию, принимать соответствующее законодательство у себя, что, однако, никак не повлияло на дальнейшее введение экономических санкций в отношении нашего государства со стороны стран ЕС.
При этом, нагрузка на субъекты хозяйствования всех форм собственности значительно возросла, независимо от того, является обработка персональных данных непосредственным источником дохода организации или такая обработка носит исключительно вспомогательно-процессуальный характер.
В целях получения более точных данных о влиянии регулирования о защите персональных данных на экономику и субъектов хозяйствования ОО «МССПиР» считает необходимым провести силами НЦЗПИ, совместно с Министерством экономики, Министерством финансов и Министерством по налогам и сборам Республики Беларусь, используя информацию Национального центра по защите персональных данных, исследование, содержащее расчеты в разрезе категорий операторов и уполномоченных лиц, общего количества таких субъектов в Республике Беларусь:
- стоимости оборудования и ПО, необходимого для обеспечения исполнения всех требований Закона о защите персональных данных;
- расходов на зарплату и подготовку должностного лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (DPO);
- операционных и иных издержек на соблюдение требований указанного Закона.
Полученные результаты необходимо сопоставить с выручкой субъектов хозяйствования и определить влияние вышеуказанных расходов и издержек на их финансовые результаты, налоговые отчисления и, как общий результат – влияние регулирования о защите персональных данных на наполнение бюджета и рост ВВП.
2) Глава 4 Закона о нормативных правовых актах, в частности, часть 1 статьи 28 содержит ряд требований о точности изложения нормативных правовых предписаний, ясности, простоте и доступности языка изложения нормативного правового акта, исключающих различное толкование его нормативных правовых предписаний, отсутствия внутренних противоречий, а также единства терминологии в законодательстве, единообразия и однозначности терминологии нормативного правового акта. Общим правилом является недопустимость терминологии и нормативных правовых предписаний, допускающих различное толкование.
Вместе с тем, Закон о защите персональных данных практически полностью состоит из формулировок и нормативных правовых предписаний, допускающих различное толкование, что подтверждается количеством выпущенных НЦЗПД разъяснений, содержание которых прямо указывает на неисчерпаемость возможных требований к субъектам хозяйствования по исполнению законодательства о защите персональных данных.
При этом, письменные разъяснения регулятора нормативными правовыми актами не являются и не имеют юридической силы.
Фактически, понимание требований уже принятого Закона формируется, в том числе, у регулятора, в процессе его реализации, что приводит к нестабильности правового регулирования и дополнительной необоснованной нагрузке на экономику.
Кроме того, сложившаяся ситуация приводит к необоснованному бесконтрольному расширению полномочий НЦЗПД как регулятора и контролера, что крайне отрицательно сказывается как на условиях осуществления предпринимательской деятельности, так и на системе государственного управления.
3) Частью 9 статьи 6 Закона о нормативных правовых актах также установлен принцип системности и комплексности правового регулирования общественных отношений, который, в том числе, обеспечивается наличием целостной и согласованной совокупности нормативных правовых актов, отсутствием пробелов в законодательстве (правовом регулировании), исключающих или затрудняющих реализацию принимаемых (издаваемых) нормативных правовых актов и отсутствием коллизий нормативных правовых актов.
Вместе с тем, обработка персональных данных осуществляется в рамках практически всех видов правоотношений, как с непосредственным участием физических лиц, так и с их участием в качестве работников, учредителей и представителей юридических лиц. Данные правоотношения урегулированы значительным массивом нормативных правовых актов, содержащих самые различные нормы, затрагивающие персональные данные и их обработку.
В результате же принятия Закона о защите персональных данных, осуществление всех указанных видов правоотношений значительно усложнилось, о чем также свидетельствует постоянное появление разъяснений НЦЗПД по исполнению норм Закона о защите персональных данных в той или иной сфере деятельности.
Изложенное в совокупности свидетельствует о том, что при разработке и принятии Закона о защите персональных данных, как минимум, в заведомо недостаточной мере учитывались требования иных нормативных правовых актов, не говоря о существе и содержании регулируемых правоотношений, что привело к взрывному росту нагрузки на все субъекты правоотношений и усложнению практически всех видов деятельности.
По мнению ОО «МССПиР», регулирование защиты персональных данных в Республике Беларусь должно исходить из реально существующих и обоснованных целей, а именно:
обеспечения доступа экспортеров на рынки ЕС и иных государств, предъявляющих требования по защите персональных данных.
профилактики и расследования преступлений, связанных с незаконным использованием персональных данных.
Для достижения указанных целей, необходимо принятие следующих мер:
а) усиление технической защиты на критически важных объектах информатизации (причем критерием отнесения к таким объектам должно быть их назначение и состав обрабатываемых данных, необязательно персональных, а не просто количество обрабатываемых персональных данных);
б) кадровое и техническое укрепление подразделений силовых структур, ответственных за борьбу с киберпреступлениями, развитие методологии в данной сфере.
Назначением же НЦЗПД должно являться методологическое и методическое обеспечение деятельности по защите информации, консультирование субъектов хозяйствования, сертификация систем защиты.
Реализация указанного подхода позволит реально усилить защиту информации в целом и защиту персональных данных в частности, а также избавит экономику и субъектов хозяйствования от заведомо необоснованной нагрузки по предостережению рисков, стоимость которых в разы ниже стоимости мер по недопущению их наступления.
Сопредседатель ОО «МССПиР» Л.И.Коваль
