Закон Республики Беларусь от 7 мая 2021 г. N 99-З «О защите персональных данных» устанавливает общие правила работы с персональными данными физических лиц. Он применяется к отношениям, которые возникают при сборе, обработке, распространении, предоставлении персональных данных и их защите.
Закон был принят Палатой представителей 2 апреля 2021 г., одобрен Советом Республики 21 апреля 2021 г. и подписан 7 мая 2021 г. До подписания он проходил обязательный предварительный контроль в Конституционном Суде Республики Беларусь: Решением Конституционного Суда от 29 апреля 2021 г. N Р-1261/2021 Закон был признан соответствующим Конституции.
Ниже приведен обзор основных блоков Закона. Для практического применения важно проверять конкретную ситуацию отдельно: например, основание обработки, состав данных, статус оператора, наличие согласия и возможные исключения.
Какие данные защищает закон
Статья 1 Закона N 99-З закрепляет основные понятия. Персональные данные - это любая информация, относящаяся к идентифицированному физическому лицу или к лицу, которое может быть идентифицировано. То есть речь идет не только о фамилии, имени и паспортных данных, но и о другой информации, если по ней можно определить конкретного человека.
Закон отдельно выделяет общедоступные персональные данные. Это данные, которые распространил сам субъект персональных данных, распространили с его согласия либо распространили в соответствии с требованиями законодательных актов.
Есть и специальная категория - специальные персональные данные. К ним относятся сведения о расовой или национальной принадлежности, политических взглядах, членстве в профессиональных союзах, религиозных или других убеждениях, здоровье, половой жизни, привлечении к административной или уголовной ответственности, а также биометрические и генетические персональные данные. Для таких данных Закон предусматривает более строгий режим обработки.
Общее правило: нужно согласие субъекта
Субъект персональных данных - это физическое лицо, в отношении которого осуществляется обработка данных. По пункту 3 статьи 4 Закона N 99-З обработка персональных данных по общему правилу осуществляется с согласия субъекта персональных данных.
Из этого следует практический вывод для организаций и индивидуальных предпринимателей: перед сбором и использованием персональных данных нужно понимать, на каком основании они обрабатываются. Если специального законного основания без согласия нет, требуется согласие субъекта.
Согласие не всегда является единственным возможным основанием. Статья 6 Закона N 99-З предусматривает случаи, когда обработка персональных данных допускается без согласия субъекта, в том числе когда это необходимо для исполнения требований законодательных актов. Поэтому в работе с персональными данными важно не просто получить формальное согласие, а правильно определить правовое основание обработки.
Специальные персональные данные обрабатываются осторожнее
Специальные персональные данные требуют отдельного внимания, потому что их раскрытие или неправильное использование может сильнее затрагивать частную жизнь человека.
Статья 8 Закона N 99-З устанавливает специальные правила обработки таких данных. В ней также предусмотрены случаи, когда согласие субъекта не требуется даже для специальных персональных данных. Но такие исключения нужно применять аккуратно: если ситуация прямо не подпадает под законное основание, обработка специальных данных без согласия может быть рискованной.
На практике к специальным данным лучше применять более строгий внутренний порядок: ограничивать круг лиц с доступом, фиксировать цель обработки, хранить подтверждение основания обработки и не собирать лишние сведения.
Какие права есть у человека
Глава 3 Закона N 99-З закрепляет права субъекта персональных данных. Эти права позволяют человеку контролировать, как с его данными работает оператор.
По пункту 1 статьи 10 субъект вправе в любое время без объяснения причин отозвать свое согласие на обработку персональных данных. После такого отзыва оператор должен оценить, есть ли иное законное основание продолжать обработку. Если такого основания нет, обработку нужно прекратить.
Пункт 1 статьи 11 дает субъекту право получать информацию, касающуюся обработки его персональных данных. По пункту 4 статьи 11 человек может требовать внесения изменений, если данные являются неполными, устаревшими или неточными.
Статья 12 предусматривает право получить от оператора информацию о предоставлении своих персональных данных третьим лицам. Такое право реализуется один раз в календарный год бесплатно.
По статье 13 субъект может требовать бесплатного прекращения обработки своих персональных данных, включая их удаление, если отсутствуют основания для обработки. Это особенно важно для ситуаций, когда согласие отозвано, цель обработки достигнута или данные были получены без надлежащего основания.
Кто такой оператор и какие у него обязанности
Оператором по Закону N 99-З признается государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, которые самостоятельно или совместно с другими лицами организуют и осуществляют обработку персональных данных.
Статья 16 Закона N 99-З закрепляет ключевые обязанности оператора. Оператор должен обеспечивать защиту персональных данных в процессе их обработки, вносить изменения в неполные, устаревшие или неточные данные, а также прекращать обработку, удалять или блокировать данные при отсутствии оснований для обработки.
Для бизнеса это означает, что защита персональных данных не сводится к тексту согласия на сайте. Нужны понятные внутренние процессы: кто имеет доступ к данным, где они хранятся, кому передаются, как исправляются ошибки, как исполняются обращения субъектов и что происходит после отзыва согласия.
Уполномоченный орган по защите персональных данных
Статья 18 Закона N 99-З предусматривает уполномоченный орган по защите прав субъектов персональных данных. Такой орган определяется Президентом Республики Беларусь.
К полномочиям уполномоченного органа относится контроль за обработкой персональных данных операторами и уполномоченными лицами, рассмотрение жалоб субъектов персональных данных, требование устранения нарушений, изменения, блокирования или удаления недостоверных либо незаконно полученных данных.
Также уполномоченный орган определяет перечень иностранных государств, где обеспечивается надлежащий уровень защиты прав субъектов персональных данных, и выдает разрешения на трансграничную передачу данных в государства без такого уровня защиты.
Трансграничная передача персональных данных
Закон N 99-З регулирует передачу персональных данных за пределы Республики Беларусь. Если данные передаются в иностранное государство, важно проверить, обеспечивается ли там надлежащий уровень защиты прав субъектов персональных данных.
Если такой уровень не обеспечивается, по общему подходу требуется разрешение уполномоченного органа на трансграничную передачу. Поэтому компаниям, которые используют иностранные сервисы, облачные хранилища, CRM-системы или подрядчиков за пределами Беларуси, стоит отдельно оценивать, происходит ли передача персональных данных за границу и на каком основании.
Как закон связан с конституционными гарантиями
В Решении Конституционного Суда Республики Беларусь от 29 апреля 2021 г. N Р-1261/2021 отмечалось, что Закон N 99-З соотносится с конституционными гарантиями прав человека, включая статьи 1, 2, 21, 23, 25, 28, 34 и 59 Конституции Республики Беларусь.
Конституционный Суд также учитывал международные ориентиры в сфере неприкосновенности частной жизни и защиты данных, включая Резолюцию Генеральной Ассамблеи Организации Объединенных Наций 73/179 «Право на неприкосновенность частной жизни в цифровую эпоху», Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и Основные направления реализации цифровой повестки Евразийского экономического союза до 2025 года.
Смысл такого подхода в балансе: государство, бизнес и иные операторы могут обрабатывать данные для законных целей, но такая обработка не должна произвольно нарушать частную жизнь человека.
Что проверить организации на практике
Если организация работает с персональными данными, стоит начать с нескольких базовых вопросов:
- какие персональные данные собираются и зачем;
- есть ли согласие субъекта или другое законное основание обработки;
- обрабатываются ли специальные персональные данные;
- кто внутри организации имеет доступ к данным;
- кому данные передаются, включая иностранных получателей;
- как субъект может отозвать согласие, запросить информацию, исправление или удаление данных;
- кто отвечает за исполнение обращений и защиту данных.
Такой аудит помогает не только формально выполнить требования Закона N 99-З, но и снизить риск споров с гражданами, проверок и претензий к обработке данных.
Нормативная база
- Закон Республики Беларусь от 7 мая 2021 г. N 99-З «О защите персональных данных», в том числе статьи 1, 4, 6, 8, 10-13, 16 и 18.
- Решение Конституционного Суда Республики Беларусь от 29 апреля 2021 г. N Р-1261/2021 «О соответствии Конституции Республики Беларусь Закона Республики Беларусь "О защите персональных данных"».
- Конституция Республики Беларусь, в том числе статьи 1, 2, 21, 23, 25, 28, 34 и 59.
- Резолюция Генеральной Ассамблеи ООН 73/179 «Право на неприкосновенность частной жизни в цифровую эпоху».
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
- Основные направления реализации цифровой повестки Евразийского экономического союза до 2025 года.
Этот материал носит информационный характер и не является юридической консультацией.