Вероника СОКОЛОВСКАЯ

Новый белорусский Закон «О защите персональных данных» – все, что Вы хотели спросить. Часть 2.

// sbh-partners.com

Новый белорусский Закон «О защите персональных данных» – все, что Вы хотели спросить. Часть 2.

В предыдущей статье мы начали рассматривать основные нововведения Закона «О защите персональных данных» (далее- Закон), которые вступят в силу 15 ноября 2021 года.

При совершении любых действий (включая хранение) в отношении персональных данных физических лиц – будь то работников Вашей компании, конечных пользователей Вашего приложения или официальных представителей Ваших контрагентов, Вы признаетесь оператором в смысле нового Закона и несете ответственность при несоблюдении его требований. Продолжим знакомиться с этими требованиями.

1. Какими способами можно обрабатывать персональные данные?

Обрабатывать данные можно с использованием или без использования средств автоматизации (п.1 ст. 2 Закона).
К средствам автоматизации относятся любые средства вычислительной техники (компьютеры).

Обработка персональных данных без использования средств автоматизации осуществляется «вручную», т.е. при непосредственном участии человека. При этом Закон распространяется на такую неавтоматизированную обработку только в том случае, если персональные данные систематизированы определенным образом, при котором обеспечена возможность их поиска и (или) доступа к ним по определенным критериям (например, картотека по годам, списки в алфавитном порядке и т.п.). Обработка без средств автоматизации при отсутствии какой-либо систематизации не подпадает под действие Закона. 

2. Что такое целевая обработка данных?

Целевой характер обработки подразумевает, что она должна ограничиваться достижением конкретных, заранее заявленных законных целей (п.4 ст. 4 Закона).

То есть еще до начала обработки Вы должны определиться с целями сбора и обработки данных, которые Вы преследуете, и довести эту информацию до лица, чьи данные Вы получаете. Все Ваши последующие действия с персональными данными должны быть связаны с теми целями, для реализации которых Вы их получили.

Чтобы обработка данных была целевой, удостоверьтесь в том, что Вы:

За обработку персональных данных, не связанную с целями их сбора, Вас могут привлечь к ответственности. 

3. Как хранить персональные данные?

Храните персональные данные в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных (п.8 ст. 4 Закона). 

В зависимости от цели обработки персональных данных срок хранения данных может быть определен самим оператором, установлен в законодательстве (например, в части бухгалтерского учета, налогообложения и т.п.), а также предусмотрен в договоре, стороной которого выступает гражданин - субъект данных.

Как оператор, так и уполномоченное им лицо на обработку данных обязаны принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных (п.1 ст. 17 Закона).

Новый Закон, как и действующее на данный момент законодательство об информации и информатизации не содержат общего требования о локализации персональных данных (о необходимости хранения персональных данных граждан Республики Беларусь с использованием серверов и баз данных, физически находящихся на территории Беларуси).

Вместе с тем, некоторые требования о хранении информации в Беларуси могут вытекать из специального законодательства, регулирующего отдельные аспекты деятельности компании, в частности, в сети Интернет. 

4. Как вносить изменения и уточнять хранящиеся персональные данные?

К обязанностям оператора новый Закон относит внесение изменений в персональные данные, которые являются неполными, устаревшими или неточными. Исключения, когда оператор не обязан это делать:

В свою очередь, п.4 ст. 11 Закона закреплено право субъекта данных требовать от оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает оператору заявление с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные.

Обращаем Ваше внимание на достаточно сжатые сроки реагирования со стороны оператора. Оператор обязан в 15-дневный срок после получения заявления субъекта персональных данных внести соответствующие изменения в его персональные данные и уведомить об этом субъекта либо уведомить его о причинах отказа во внесении таких изменений. 

5. В каких случаях нужно прекратить обработку данных?

Закон выделает два способа обеспечения прекращения обработки данных:

Из положений закона можно сделать вывод, что блокирование должно осуществлять в случаях, когда техническая возможность удаления отсутствует. 

В п.1 ст. 16 Закона установлена обязанность оператора прекратить обработку персональных данных, а также осуществить их удаление или блокирование (обеспечить прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами. То есть, если заявленные цели обработки данных достигнуты, их обработка должна быть прекращена.

Следует учитывать, что первоначально заявленные цели обработки могут быть скорректированы. Для этого Вы как оператор обязаны получить новое согласие субъекта данных на обработку в соответствии с измененными целями обработки. Основанием для прекращения обработки являются также отзыв согласия, ранее выданного субъектом, и прекращение действия договора, в соответствии с которым осуществлялась обработка. 

Субъект данных вправе самостоятельно потребовать прекращения обработки персональных данных путем направления заявления, и оператор обязан в течение 15 календарных дней выполнить данное требование, если отсутствуют иные основания для обработки. Обратите внимание, что Вы как оператор обязаны не просто прекратить обработку, но также и удалить данные /осуществить их блокирование. О выполнении требования необходимо уведомить субъекта данных в тот же 15-дневный срок. 

Таким образом, если все заявленные цели обработки персональных данных достигнуты, новое согласие на обработку не получено, и иные легальные основания для дальнейшего хранения и иных действий с персональными данными отсутствуют, Вы должны:

6. Какая ответственность предусмотрена для оператора за нарушение законодательства о защите персональных данных?

За невыполнение обязанностей, предусмотренных Законом и иными актами законодательства, регулирующими вопросы защиты персональных данных, Вас как оператора персональных данных (или как уполномоченного оператором лицо) могут привлечь к административной ответственности. 

Например, умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, влекут наложение штрафа в размере до 50 базовых величин (что составляет примерно 580 долларов США) (п. 1 ст. 23.7 КоАП).

Эти же деяния, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, влекут наложение штрафа в размере до 100 базовых величин (что составляет примерно до 1160 долларов США) (п. 2 ст.  23.7 КоАП).

Несоблюдение мер обеспечения защиты персональных данных влечет наложение штрафа на компанию от 20 до 50 базовых величин (что составляет примерно от 230 до 580 долларов США) (п. 4 ст.  23.7 КоАП). 

Если действия физического лица (в т.ч. руководителя компании) содержат признаки преступления, то его могут привлечь к уголовной ответственности. 

Подробнее ознакомиться с ответственностью за нарушение законодательства о защите персональных данных и информации Вы сможете в наших следующих материалах.

Новый белорусский Закон «О защите персональных данных» – все, что Вы хотели спросить. Часть 2.
Новый белорусский Закон «О защите персональных данных» – все, что Вы хотели спросить. Часть 2.




Специализация:

Право интеллектуальной собственности (IP)
Информационные технологии (IT)
GDPR
Антимонопольное и конкурентное законодательство
Договорное право


Языки:
белорусский, русский, английский