Проекты

Основные разделы сайта

10 тезисов о ключевых нововведениях в области персональных данных

7 мая 2021 в Беларуси был официально опубликован Закон «О защите персональных данных». Это значит, что с 15 ноября 2021 года в Республике Беларусь вступит в силу новое регулирование в области персональных данных, а с августа текущего года – начнет свою работу новый уполномоченный регулятор в этой сфере.

10 тезисов о ключевых нововведениях

  1. Новое определение персональных данных
    Теперь под персональными данными понимается любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Остается открытым вопрос, будет ли относится к персональным данных информация с девайсов пользователя (например, IP-адрес, геолокация, файлы cookies и тд.). Закон пока не дает прямого ответа на вопрос, а правоприменительная практика по этой категории дел еще не сформирована, поэтому будем следить за подходами и разъяснениями регулятора.

  1. Целевой сбор персональных данных
    Установлено, что обработка персональных данных должна ограничиваться достижением заранее заявленных конкретных целей.
    Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки.
    При появлении новых целей необходимо получать новое согласие.
  2. Данные смогут обрабатываться не только на основании согласия
    Закон предусматривает согласие в качестве главного основания для обработки данных, однако есть и случаи, когда согласие не требуется, например:
    •   в рамках трудовых отношений (наниматель-работник);
    • когда обработка данных является необходимым условием для выполнения обязанности (полномочия, процедуры), предусмотренной законодательством;
    • в отношении ранее распространённых персональных данных до момента заявления субъектом данных требования о прекращении обработки или их удалении.
  3. Новый формат согласия на обработку персональных данных
    Ранее и на текущий момент в Республике Беларусь согласие на обработку персональных данных должно было предоставляться только в письменной форме.
    По новому Закону согласие может быть дано как в письменной форме, так в форме электронного документа или иного документа в электронной форме, в том числе путем проставления галочки. Вопрос наконец-то решен.
    Кроме того, устанавливаются требования к согласию: оно должно быть свободным, однозначным, информированным и целевым.
  4. Локализация персональных данных не обязательна
    Как действующее законодательство, так и новый Закон не предусматривают необходимость хранения (локализации) персональных данных на территории Республики Беларусь.
  5. Привлечение к обработке третьих лиц – только на основании договора
    Оператор данных может привлекать третьи лица к обработке персональных данных только на основании договора.
    Договор должен содержать необходимые существенные условия: цель, перечень действий по обработке, оговорка о конфиденциальности и меры защиты.
  6. Трансграничная передача персональных данных
    Для целей трансграничной передачи персональных данных Закон разделяет государства на обеспечивающие надлежащий уровень защиты прав субъектов персональных данных и не обеспечивающие такового. 
    Передача персональных данных в «ненадлежащие» государства допускается только при соблюдении определенных условий. Например, выраженное согласие субъекта данных, который осведомлен о рисках отсутствия надлежащего уровня защиты данных в таком государстве.
    Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, пока не сформирован и вскоре будет определен новым регулятором.
  7. Права – субъектам данных
    Закон наделяет субъектов данных важными правами, такими как право на забвение (отзыв согласия, требование об удалении данных или прекращении обработки), право на получение информации об обработке данных.
    Реализовать указанные права можно исключительно в письменном виде или в виде электронного документа, подписанного с помощью электронной цифровой подписи.
  8. Обязанности – операторам данных
    Компании-операторы данных должны будут:
    • назначить лицо, ответственное за вопросы обработки персональных данных;
    • разработать внутренние политики в отношении персональных данных;
    • провести инструктаж работников и т.д.
  9. Ответственность

Административная ответственность
В новой редакции КоАП появилась статья 23.7 «Нарушение законодательства о защите персональных данных».
Теперь административная ответственность в виде штрафа до 200 б.в. (около 2 000 EUR) может наступить за:
1. умышленные незаконные сбор, обработку, хранение или предоставление персональных данных;
2. нарушение прав физических лиц, связанных с обработкой персональных данных;
3. умышленное незаконное распространение персональных данных;
4. несоблюдение мер обеспечения защиты персональных данных.

Уголовная ответственность
Парламент Республики Беларусь работает над усилением уголовной ответственности за незаконное раскрытие персональных данных. В частности, предлагается ввести уголовную ответственность за умышленное незаконное предоставление информации о частной жизни и персональных данных другого лица без его согласия, повлекшее причинение существенного вреда правам, свободам и законным интересам гражданина, совершенное в том числе в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга.
Сейчас в ст. 179 УК Беларуси предусматривает ответственность только за незаконное предоставление сведений о частной жизни (личная или семейная тайна), не упоминая персональные данные.
В отличие от зарубежной практики, в Республике Беларусь акцент уголовной ответственности смещается на исключительно разглашающее физлицо.


Адвокатское бюро «Степановский, Папакуль и партнёры»

Илья Протасеня

Помощник адвоката

Елена Шелег

Помощник адвоката

Календарь МССПиР