Новый белорусский Закон «О защите персональных данных» – все, что Вы хотели спросить. Часть 1.

С 15 ноября 2021 года вступят в силу основные положения белорусского закона «О защите персональных данных» (далее - Закон). Если раньше вопросы приватности персональных данных в Республике Беларусь регулировались точечно, а в большинстве случаев и вовсе находились за рамками внимания белорусского законодателя, то сейчас можно говорить о более системном подходе в этой сфере.

Новый белорусский закон вводит свои «правила игры» для всех, кто каким-либо образом связан с обработкой данных физических лиц, что в свое время сделал GDPR в Европейском союзе.

Если Ваше мобильное приложение, веб-сервис или платформа так или иначе получают доступ к данным физических лиц, стоит задуматься, не нарушаете ли вы чьи-либо права, а заодно и новый Закон.

Чего ждать от нового регулирования в сфере персональных данных – поможет разобраться эта статья.

1. Что считается обработкой персональных данных?

Обработкой персональных данных считаются любые действия или операции, которые вы проводите с ними, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

Форма обратной связи на сайте, личный кабинет в приложении, с помощью которых Вы получаете телефонный номер или e-mail физического лица – это сбор персональных данных. Если Ваш сайт или приложение собирает и/или хранит информацию о пользователях, то Вы уже являетесь оператором персональных данных. Это означает, что Вы подпадаете под действие нового Закона «О защите персональных данных» и под риском ответственности обязаны соблюдать требования, которые предъявляются Законом к обработке персональных данных.

2. Что должен делать оператор при получении персональных данных от физлица?

Ст. 16 Закона содержит общий перечень обязанностей оператора.

На этапе сборе персональных данных у Вас как у оператора возникают следующие основные обязанности:

1) Получить согласие субъекта персональных данных, за исключением случаев, когда такое согласие не требуется по Закону. Следует помнить при этом, что обязанность доказывания получения согласия субъекта персональных данных возлагается именно на оператора.

2) Разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных и механизм реализации этих прав:

• право на отзыв согласия (ст. 10 Закона),
• право на получение информации, касающейся обработки персональных данных, и изменение персональных данных (ст. 11 Закона),
• право на получение информации о предоставлении персональных данных третьим лицам (ст. 12 Закона),
• право требовать прекращения обработки персональных данных и (или) их удаления (ст. 13 Закона) и т.п

3) Разъяснить субъекту персональных данных последствия отказа в даче такого согласия. Например, при отказе в даче согласия субъект по объективным причинам не сможет получить ту или иную услугу, для оказания которой необходимы такие данные.

Вся эта информация должна быть предоставлена оператором субъекту персональных данных отдельно в том же виде, в котором получается согласие (т.е. в бумажной или в электронной форме).

3. В какой форме нужно получать согласие на обработку персональных данных?

Согласно п. 2 ст. 5 нового Закона согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.

В качестве примера, Закона приводит такие способы получения согласия «в иной электронной форме»:

• путем указания субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
• посредством проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе.

При этом до получения согласия оператор в той же форме, в какой выражено согласие, обязан ознакомить субъекта персональных данных со следующей информацией:

• наименование и место нахождения оператора;
• перечень персональных данных, на обработку которых дается согласие;
• цели обработки;
• срок, на который дается согласие субъекта персональных данных;
• перечень действий с персональными данными, на совершение которых дается согласие, описание способов обработки;
• информацию об уполномоченных лицах, если обработка поручается оператором таким третьим лицам и др.

4. Как обрабатывать персональные данные?

Вы должны обрабатывать персональные данные в соответствии с общими требованиями к обработке, предусмотренными ст. 4 нового Закона:

• обработка с согласия субъекта персональных данных; при этом есть законные случаи, когда получать согласие не нужно (ст. 6 Закона);
• обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей;
• собираемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• хранение персональных данных не дольше, чем это требуется согласно заявленным целям обработки;
• обработка персональных данных должна носить прозрачный характер и др.

Во исполнение нового Закона всем операторам придется ввести новую штатную единицу (Data Privacy Officer) либо включить осуществление внутреннего контроля за обработкой персональных данных в должностную инструкцию одного из своих работников. В зависимости от объема персональных данных и их обработок можно назначить целое ответственное структурное подразделение.

5. Нужно ли размещать на сайте Privacy Policy?

По новому Закону оператор обязан издать документы, определяющие политику в отношении обработки персональных данных. На практике называться такой документ может по-разному – Политика обработки персональных данных, Политика конфиденциальности, Политика приватности (Privacy Policy), Privacy Notice и т.п.

Согласно п.4 ст. 17 Закона оператор (кроме физического лица, не являющегося ИП) обязан обеспечить неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику в отношении обработки персональных данных, до начала такой обработки.

Таким образом, текст политики необходимо разместить на Вашем официальном сайте или на информационном стенде, к которому предоставлен неограниченный доступ, если сайта у Вас нет.