Закон о персональных данных в рб

Национальный центр законодательства и правовых исследований Беларуси – о защите персональных данных

В Беларуси разработан проект закона «О персональных данных». Этот системный, комплексный документ станет важным шагом в защите персональных данных, а также установит для госорганов и физлиц понятные правила работы с личной информацией. Какие вопросы планируется урегулировать законопроектом, рассказали в Национальном центре законодательства и правовых исследований Беларуси.

Как пояснили в НЦЗПИ, под персональными данными понимается любая информация, которая относится к конкретному физическому лицу или физлицу, которое может быть идентифицировано на ее основании. Сегодня это не только паспортные данные, сведения об образовании, обладании недвижимостью, семейном положении, но и субъективные мнения, касающиеся того или иного человека (например, служебная характеристика, докладная о привлечении к дисциплинарной ответственности и др.). Сюда же можно отнести видеозаписи, фотографии, на которых указан человек, сведения о его политических воззрениях, участии в тех или иных общественных объединениях и многое другое.

При этом те или иные сведения относятся к персональным данным вне зависимости от формы их существования. Это может быть текст, фото, рисунок, аудио или видеозапись, е-mail и др. Исчерпывающего или примерного перечня таких данных нет, что обусловлено их разнообразием.

В проекте закона оговаривается, что для совершения каких-либо действий с персональными данными госорганам, юридическим и физическим лицам, в том числе ИП, необходимо получить согласие соответствующего лица. В законе планируется закрепить наряду с письменной формой возможность получать такое согласие в электронной форме, в том числе без использования электронной цифровой подписи. Речь идет о проставлении отметки на интернет-ресурсе, указании кода после получения SMS-сообщения и др.

В некоторых ситуациях согласие физического лица не потребуется. Это касается в том числе осуществления правосудия, уголовного преследования, ведения административного процесса, контроля за соблюдением налогового законодательства, назначения и выплаты пенсий.

В законопроекте закреплен широкий круг прав физических лиц. Так, граждане смогут отзывать свое согласие на действия с персональными данными, ознакамливаться с ними и изменять, знать, кто имел доступ к их личной информации и др. Законопроект «О персональных данных» также предусматривает, что физлица могут требовать прекращения сбора, обработки (за исключением обезличивания), распространения, предоставления своих персональных данных, а также их удаления, если нет законных оснований для таких действий.

Что касается защиты прав субъектов персональных данных, эти функции возложат на уполномоченный орган. Конкретный орган будет определен актом главы государства.

Подобные нормативные акты приняты более чем в 100 странах мира, в том числе в России, Украине, Казахстане, Молдове, Словакии, Германии, Финляндии, Швеции, Эстонии. Белорусский законопроект разработан в соответствии с положениями международных документов, в первую очередь Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных №108 от 28 января 1981 года, но с учетом национальных особенностей.

В НЦЗПИ уверены, что принятие закона позволит обеспечить надлежащий уровень защиты персональных данных в государстве и будет способствовать развитию бизнеса, торгово-экономических отношений Беларуси с другими государствами.

Регулирование персональных данных в Беларуси: что нужно знать

В последнее время вопрос защиты персональных данных все более на слуху: он постоянно фигурирует в СМИ, на него обращают внимание как частный сектор, так и государство. В конечном итоге и обычные граждане задумываются, что происходит с той личной информацией, которую о них собирают государственные органы и частные компании: уж слишком много ситуаций, в которых нашим гражданам необходимо делиться своей частной информацией – от регистрации в поликлинике и до использования большинства интернет-ресурсов.

В зарубежных странах законодательство о защите персональных данных отличается динамичностью – так в Европейском союзе в прошлом году был принят новый Регламент о защите персональных данных взамен старой Директивы, в Российской Федерации значительно увеличился размер административных санкций за нарушения, связанные с неправомерным сбором, хранением, обработкой и использованием персональных данных, в США происходят нескончаемые дебаты о пределах вмешательства государства в личную жизнь человека.

В Беларуси на этом фоне тема защиты персональных данных выглядит побочной повесткой: только в этом году планируется утвердить концепцию закона о персональных данных и в 2018 году уже принять сам закон.

Тимофей Савицкий, юридическая фирма COBALT, рассмотрит основные аспекты защиты персональных данных, которые на настоящий момент урегулированы белорусским законодательством.

Что такое персональные данные?

В соответствии Закон Республики Беларусь от 10.11.2008 N 455-З (ред. от 11.05.2016) «Об информации, информатизации и защите информации» (далее – Закон об информации), персональные данные — основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами Республики Беларусь внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо. Персональные данные относится к информации, распространение и предоставление которой ограничено.

Закон Республики Беларусь от 21.07.2008 N 418-З (ред. от 04.01.2015) «О регистре населения» (далее – Закон о регистре населения) определяет следующие основные персональные данные: идентификационный номер, фамилия, собственное имя, отчество, пол, число, месяц, год рождения, место рождения, цифровой фотопортрет, данные о гражданстве (подданстве), данные о регистрации по месту жительства и (или) месту пребывания, данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным.

Дополнительными персональными данными, в соответствии с Законом о регистре населения, являются: данные о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица, о высшем образовании, ученой степени, ученом звании, о роде занятий, о налоговых обязательствах и некоторые иные.

Закон об информации содержит расширительную формулировку «и иные данные, позволяющие идентифицировать такое лицо», что свидетельствует о том, что белорусское законодательство не ограничивается перечнем, установленным Законом о регистре населения, но распространяет свое действие на любую информацию, способную идентифицировать определенное лицо.

Закон об информации, тем не менее, не уточняет, о какой идентификации идет речь – прямой или косвенной. Некоторые виды данных (например, IP-адрес) могут лишь косвенно идентифицировать субъекта – в совокупности с иными данными. В законодательстве большинства западных государств подобный аспект урегулирован и «косвенные» персональные также подлежат такой же защите, как и «прямые». Белорусское законодательство пока не содержит таких деталей.

Обязательное письменное согласие на сбор, обработку, хранение и пользование

В соответствии с Законом об информации при сборе, обработке, хранении персональных данных необходимо получать согласие физического лица, к которому эти персональные данные относятся. При этом, согласие должно быть дано в письменной форме.

Ни Закон об информации, ни иные нормативно-правовые акты не уточняют, что подразумевается под согласием в «письменной форме». Гражданский кодекс лишь содержит определение того, чем является совершение сделки в письменной форме, – к нему, например, относится и обмен факсимильными подписями и иными аналогами подписей.

Применение подобного положения возможно по аналогии и к выражению согласия на сбор, обработку, хранение и пользование персональными данными. Тем не менее, в отсутствие четкого указание на форму согласия в законодательстве, многие субъекты (например, визовые центры при обработке анкет) вынуждены собирать подписи «вручную» — при помощи форм-согласий, которые подписываются лицом, к которому относятся персональные данные.

Подобное положение, к слову, затрудняет работу многим компаниям – простых кликов «я согласен» в некоторых случаях бывает недостаточно, и формально может возникнуть нарушение Закона об информации. Некоторые компании (в частности, онлайн-магазины) включают согласие на сбор персональных данных в публичные договоры (договоры присоединения), заключение которых возможно простым присоединением (например, покупкой товара в магазине). Законодательно они приравниваются к письменным. Тем не менее, здесь речь опять-таки идет о письменной форме договора, а не согласия как такового.

Принятие мер по защите персональных данных

Закон об информации налагает обязательство на любое лицо, собирающее персональные данные, принимать меры по их надлежащей защите до момента, когда лицо, к которому относятся персональные данные, дает согласие на их разглашение либо до момента обезличивания персональных данных.

Закон не содержит точных указаний на то, какими эти меры должны быть. Тем не менее, исходя из практики и применяемых подзаконных актов, под защитой персональных данных как информации, распространение которой ограничено, понимаются организационные и технические меры защиты (например, предусмотренные приказом ОАЦ № 62). К организационным мерам может относится принятие внутренних положений по работе с персональным, к техническим – применение криптографической защиты.

Обязательное письменное согласие на последующую передачу персональных данных

Как и в случае со сбором персональных данных, любой трансфер нуждается в отдельном письменном согласии лица, к которому эти персональные данные относятся. Такое согласие может быть получено непосредственно при сборе персональных данных. Здесь, тем не менее, также возникает вопрос о возможности получения электронного согласия.

С учетом того, что трансграничная передача данных сейчас стала нормальной практикой (особенно в ИТ-сфере), необходимость получения согласия в письменной форме не способствует упрощению и ускорению информационного обмена.

Право на ознакомление с персональными данными

Любое лицо, о котором собираются персональные данные, имеет право на ознакомление с тем, какие и в каком объеме персональные данные содержатся о нем в определенных системах (у определенных лиц).

Ответственность за нарушение законодательства о персональных данных

Административной ответственности за нарушение законодательства о персональных данных пока нет. В настоящий момент известно, что в КоАП будут вноситься изменения, согласно которым за нарушение законодательства о персональных данных будет налагаться штраф до 20 базовых величин.

Уголовный кодекс содержит статью 179 («незаконное собирание либо распространение информации о частной жизни), однако на практике она не применяется для ситуаций по незаконному разглашению и распространению персональных данных.

Что дальше?

Как видно из анализа текущего законодательства Республики Беларусь в области защиты персональных данных, в настоящее время оно достаточно фрагментарно и затрагивает лишь следующие аспекты:

  1. Дефиницию персональных данных;
  2. Необходимость получения письменного согласия при сборе, обработке, хранении, пользовании и последующей передаче персональных данных;
  3. Обязанность по принятию мер по защите персональных данных;
  4. Право субъектов на получение информации о том, какие персональные данные о нем собраны и в каком объеме.

В законодательстве пока не содержится разграничения на чувствительные (например, данные о здоровье) и нечувствительные персональные данные (у чувствительных данных большая защита), конкретных обязанностей обработчиков персональных данных и прав субъектов персональных данных, санкций за нарушение законодательства о персональных данных и многих иных принципов, принятых в европейских государствах, Российской Федерации и многих других странах.

Отсутствие профильного регулирования имеет ряд негативных последствий как для граждан, так и для бизнеса, таких как, например, низкая защита прав и интересов граждан, неопределенность международного бизнеса при выходе на рынок Беларуси, противоречивость применения норм действующего законодательства. Закон о персональных данных (2018) ставит свой целью разрешить выделенные проблемы.

Защита персональных данных в ЕС и Беларуси

Мы регистрируемся в сети Интернет, пишем обращения и др. Наши персональные данные попадают к третьим лицам. Такая информация нуждается в защите от случайного распространения и использования. Что важно знать о защите персональных данных?

Персональные данные жителей Евросоюза

В ЕС с 25 мая 2018 г. применяется Регламент (ЕС) N 2016/679 Европейского парламента и Совета ЕС о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (GDPR). Регламент касается защиты персональных данных жителей Евросоюза. Поэтому о GDPR важно знать:

— белорусским организациям, их представительствам в ЕС, которые сотрудничают на территории ЕС с физическими лицами или нацеливают на них свои продажи товаров, услуг, в том числе проводя мониторинг спроса и т.д.;

— учрежденным в ЕС субъектам, которые обрабатывают персональные данные.

Положения GDPR стоит учитывать и тем белорусским компаниям, которые оказывают физическим лицам финансовые и иные услуги, продают товары, используя системы международных расчетов, платежную инфраструктуру, расположенную в государствах — членах ЕС. Это важно для поддержания конкурентоспособности компаний на европейском рынке.

Оригинальный текст GDPR можно найти по ссылке. Регулирующий орган по защите данных в ЕС — это Европейский совет по защите данных (EDPB). На сайте EDPB можно найти руководства по применению GDPR и иную информацию о защите персональных данных. По запросу в google можно найти тексты неофициальных переводов GDPR на русский язык.

Под обработкой персональных данных в GDPR понимается любая операция (операции), которая осуществляется с персональными данными. Например, сбор, запись, организация, структурирование, хранение.

Четкого перечня персональных данных GDPR не устанавливает. К ним относится любая информация, которая позволяет идентифицировать физическое лицо, в том числе об имени, местоположении, идентификатор в режиме онлайн и др. В отношении анонимных персональных данных GDRP не применяется, когда невозможно установить кто их предоставил..

GDPR запрещает обработку особых персональных данных: расовое или этническое происхождение, политические взгляды, религиозные убеждения или философские воззрения, членство в профессиональном союзе, а также обработку генетических данных, биометрических данных для однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица. Однако в некоторых случаях обработка таких данных возможна. В частности, когда само физлицо сделало эти данные общедоступными.

Как обрабатывать персональные данные в ЕС:

1. Получить согласие на обработку.

На каждое действие по обработке нужно получить согласие физлица.

На заметку
Когда персональные данные нужны только для заключения договора с физлицом, его согласие получать не нужно.

Согласие должно быть добровольным и однозначным. Оно может быть письменным или выраженным простановкой галочки/крестика при посещении интернет-сайта; это может быть выбор технических настроек для услуг на сайте или другой способ поведения, который четко указывает на то, что физлицо в указанном контексте согласно на запланированную обработку своих персональных данных. При этом у физлица есть право отозвать свое согласие. Рекомендуют получать отдельное согласие на каждый вид обработки персональных данных: на сбор, хранение, распространение, передачу.

На заметку
Согласием физлица на обработку персональных данных не являются: молчание, уже проставленная галочка/крестик или бездействие.

2. Ознакомить физлицо с информацией.

Нужно ознакомить физлицо как минимум с идентификационными данными организации, которая получает данные, и целью (целями) их обработки. Например, в трудовых отношениях по GDPR персональные данные работников могут обрабатываться на основе их согласия в целях выполнения трудового договора.

Физлицо имеет право получить любую информацию об обработке своих персональных данных; потребовать внесения изменений в свои данные, потребовать их удаления («право на забвение»); передать свои данные другой организации; возражать против обработки своих персональных данных.

На заметку
Необходимо при первом общении с физлицом сообщить ему о его правах на возражения против обработки относящихся к нему персональных данных, а также против обработки относящихся к нему персональных данных для целей прямого маркетинга, включая формирование профиля.

3. Назначить своего представителя в государстве, входящем в Евросоюз.

Белорусским организациям, которые нацеливают продажи своих товаров и услуг на физлиц — граждан государств ЕС, нужно в письменной форме назначить своего представителя в Евросоюзе. Представитель назначается в одном из государств — членов ЕС, в котором находятся физлица, персональные данные которых обрабатываются. Представителя нужно уполномочить решать совместно с представляемой организацией или вместо нее все связанные с обработкой вопросы, особенно с надзорными органами и субъектами данных — физлицами.

4. Вести учет обработки персональных данных.

Организация или ее представитель должны вести учет обработки персональных данных и учет деятельности, связанной с обработкой. В частности, в учетные сведения нужно включить фамилию и контактные сведения обрабатывающего данные лица или лиц и данные об организации, от имени которой действует указанное лицо, ее представителя (при наличии) и инспектора по защите персональных данных. Инспектор — это эксперт, который дает консультации по построению работы согласно GDPR, проводит аудит обработки персональных данных. Это не обязательно сотрудник компании, инспектором может быть сторонний эксперт по договору оказания услуг. Сотрудничество с инспектором обязательно только для некоторых компаний. Например, тех, которые ведут масштабный мониторинг (сбор) персональных данных, в том числе особых. Однако получать консультации инспектора возможно и полезно всем компаниям, которые обрабатывают персональные данные.

Учетные сведения должны сохраняться в письменном виде, в том числе в электронной форме. Такие сведения представляются надзорным органам по их требованию.

На заметку
Вести учетные сведения не нужно, когда в организации работает менее 250 человек, кроме случаев, когда обработка связана с риском для прав и свобод физлиц, обработка не носит случайный характер или включает в себя специальные категории данных (особые данные), или персональные данные, связанные с судимостями и преступлениями.

5. Уведомлять об утечке персональных данных.

Об утечке персональных данных организация должна в течение 72 часов уведомить надзорный орган, действующий на территории соответствующего государства ЕС. Уведомлять физлицо об утечке его персональных данных нужно, когда утечка может привести к высокой степени риска для прав и свобод физических лиц. Когда уведомление каждого физлица требует несоразмерных усилий, делается информирование общественности, например, в СМИ, или рассылка.

А что у нас

К персональным данным относятся основные и дополнительные персональные данные, которые вносятся в регистр населения, а также иные данные, позволяющие идентифицировать лицо . Основные персональные данные — это, в частности, фамилия, собственное имя, отчество, пол, число, месяц, год и место рождения, цифровой фотопортрет. Дополнительные персональные данные — это сведения о высшем образовании, налоговых обязательствах, об исполнении воинской обязанности и др. Если иного не требует законодательство, то на сбор, обработку, хранение информации о частной жизни физического лица и персональных данных, а также пользование ими нужно получить письменное согласие физлица . Однако ответственность за отсутствие такого согласия не установлена.

Для сближения с общемировой практикой защиты персональных данных разработан проект Закона, который вынесен на общественное обсуждение до 11 августа 2018 г. По Проекту к персональным данным принадлежит любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано на основании такой информации. На каждое действие с персональными данными потребуется согласие физлица, выраженное в письменной либо в электронной форме. Организации и физлица, которые имеют дело с персональными данными, названы операторами. Будет определен уполномоченный орган по защите прав субъектов персональных данных.

В Беларуси новый закон о персональных данных

Рассказываем, чем он грозит бизнесу, и показываем, что у него внутри.

Тенденции мировой практики по охране личных данных в этом году дошли и до Беларуси. Так, в середине весны 2018 года белорусский парламент принял поправки к Закону «О средствах массовой информации».

В силу нововведенных законодательных требований пользователи Интернета для написания сообщений и комментирования на форумах теперь будут обязаны пройти предварительную идентификацию.

Вскоре после принятия поправок в Закон «О СМИ» был разработан и профильный проект закона «О персональных данных», который уже обсуждается на парламентских заседаниях.

О чем проект закона

В ходе разработки положений нового закона проводились международные консультации с государственными органами стран – членов ЕС с наиболее развитой законодательной базой по вопросам охраны личных данных граждан.

Например, в июне группа разработчиков встречалась с представителями Комиссии по защите данных Франции (CNIL). Целью встречи были не только двусторонние обсуждения профильных вопросов, но и ознакомление белорусских законоведов с опытом их коллег в ЕС.

Итогом консультаций стала ускоренная разработка законопроекта в его черновом варианте, который был представлен для ознакомления и обсуждения уже в начале июля.

Структурно законопроект разделен на 6 глав и 22 статьи. Содержание статей направлено на регламентацию правил работы с персональными данными в Беларуси.

Законопроект определяет двух участников правоотношений, регламентируемых законом:

  • субъект персональных данных или гражданин, чьи персональные данные будут подвергаться хранению и обработке;
  • оператор персональных данных – юридическое лицо или ИП, исполняющий обязанности по сбору, хранению и обработке персональных данных.

Законопроект вводит и определение (понятие) «персональных данных». Под ними будет пониматься совокупность информации, делающей возможной идентифицирование субъекта. В совокупность информации будут входить любые сведения, в том числе относящиеся к биометрии и генетике. Отдельные положения проекта посвящены правам и обязанностям субъектов и операторов персональных данных.

Проект предполагает, что субъект будет обладать нижеперечисленными правами:

  • соглашаться или отказывать от акцепта на обработку персональных данных;
  • требовать от оператора ПД внесения изменений в свои персональных данных;
  • получать от оператора персональных данных сведения о том, передавались ли ПД субъекта любому третьему лицу;
  • обжаловать действия оператора персональных данных.

Оператор наделен в законопроекте следующими обязанностями:

  • обязательство получить согласие субъекта на обработку его персональных данных;
  • обязательство сообщать субъекту о целях использования его персональных данных;
  • обязательство недопущения компрометации персональных данных субъекта.

Регламентация действий оператора персональных данных представлена в статье 17 законопроекта. В частности, действия оператора должны будут включать в себя:

  • разработку и применение политики безопасности персональных данных;
  • разработку и применение норм доступа к персональным данным;
  • разработку и применение действенных средств технической и криптографической защиты персональных данных.

Также статья 17 вводит обязательность осуществления деятельности операторов персональных данных в соответствии с Положениями головного государственного органа по защите информации – Аналитического центра при Президенте Республики Беларусь (ОАЦ).

Директивы по безопасности

Методика разработки и ввода системы защиты персональных данных, включает в себя более 50 номинаций, исполнение большинства из которых будет дорогостоящим и времезатратным. В силу этого стоит предположить, что малый и средний бизнес не справится с требованиями по защите персональных данных.

Некоторую надежду вселяет положение законопроекта о предоставляемой оператору возможности обратиться к помощи аутсорсинга, то есть возможности возложить сбор, обработку и хранение персональных данных на третью сторону.

В случае размещения оборудования облачного провайдера в крупных центрах хранения данных с развитыми системами резервирования и строгим пропускным режимом, часть требований регламента, относящихся к физической защите данных, обеспечению безопасности виртуальной инфраструктуры и проведению аудитов, будет закрыта

К примеру, 1сloud совсем недавно разместил свое оборудование в дата-центре beCloud в пригороде Минска. Центр получил сертификацию по стандарту Tier III, то есть обладает способностью обеспечения сохранности и доступа к персональным данным в полном соответствии с законодательством Беларуси.

Проект размещения оборудования в данном центре первоначально не был связан с законопроектом «О персональных данных». Были лишь пожелания и приглашения партнеров и клиентов из Беларуси.

Необходимость размещения оборудования именно на территории Беларуси обусловлена требованиями Указа Президента РБ (№60) и Постановлением Совмина РБ (№644). В соответствии с этими правительственными актами любые коммерческие сайты в Беларуси должны размещаться только на оборудовании, дислоцированном на территории РБ.

В связи с разработкой Законопроекта «О персональных данных» к вышеизложенным требованиям добавились и требования, связанные с обработкой персональных данных, часть которых можно переложить на местного облачного провайдера.

Из слов Сергея Белкина следует, что перекладывая часть проблем, связанных с исполнением закона «О персональных данных» на вендора, компания сможет экономить и время, и деньги, занимаясь исключительно вопросами прибыльности бизнеса.

Правовые санкции

Основным условием хранения персональных данных граждан Беларуси станет переход на беларуский хостинг. Никаких дополнительных реестров не предусмотрено.

В штатном расписании потребуется учреждение должности ответственного по защите персональных данных или учреждение дополнительного отдела. Все зависит от объема работы и возможностей оператора.

Санкции, то есть виды наказаний за неисполнение предписаний закона, пока не введены. Думается, что после принятия закона и административный, и уголовный кодексы пополнятся новыми статьями. Пока за нарушение правил сохранности ПД наступает либо гражданская ответственности, либо деяние квалифицируется по сходным статьям уголовного и административного кодексов.

В случае возможных хищений данных оператор будет обязан известить о факте хищения правоохранительные органы в течение 3 дней с момента обнаружения «утечки». Одновременно информация должны быть направлена в орган по защите прав субъектов ПД. В случае незначительности «утечки» либо при отсутствии пагубных последствий «утечки» для субъектов извещение регулятора и правоохранительных органов не будет обязательным.

В соответствии с положениями законопроекта, будет учрежден центральный орган по защите прав субъектов ПД. На орган будут возложены обязанности:

  • рассмотрения заявлений граждан по вопросам их персональных данных;
  • наблюдения за исполнением закона операторами;
  • защиты прав субъектов.

Юрисдикция закона

Положения законопроекта, в случае его принятия, повлияют на все без исключения организации, задействованные в обработке персональных данных в Беларуси.

  • Возникнет необходимость в разработке методик работы с ПД и политики обеспечения безопасности ПД.
  • Потребуется разработка автоматизированных систем обработки, а также неавтоматизированных картотек и каталогов.

При этом законопроект предусматривает некоторые исключения из общих правил. К примеру, снимается директивность требования по получению согласия лица на обработку его данных в случаях:

  • угрозы жизни и здоровью лица;
  • угрозы жизни и здоровью населения;
  • когда данные истребуются лицами, осуществляющими законную журналистскую деятельность;
  • когда данные истребуются учеными, осуществляющими статистические исследования.

То есть в основе исключений лежат некие экстраординарные события, способные причинить значительный ущерб субъектам ПД.

В статье 6 законопроекта приведен полный список исключений.

«Правовой форум» о законопроекте

Большинство экспертов и специалистов, принявших участие в общественном обсуждении законопроекта, пришли к выводу, что законопроект несовершенен и некоторые его части нуждаются в доработке.

Высказавшиеся по поводу законопроекта пользователи «Правового форума» Беларуси отмечают:

  • излишнее отягощение текста закона специальной терминологией и избыточность формулировок;
  • противоречия в статье 17, касающейся вопросов обеспечения безопасности ПД. Так, в статье пункт 3, регламентирующий организацию защиты со стороны ОАЦ, противоречит пункту 5, в котором организация защиты относится к компетенции иного госоргана;
  • неполноту определения понятия оператора ПД и сферы его деятельности;
  • отсутствие в законе норм, определяющих правомочия Президента и Совмина РБ в вопросах защиты персональных данных.

Вступление закона в силу

Обсуждение законопроекта закончилось в августе этого года. Проект принят Палатой представителей и одобрен Советом Республики. Подробный текст закона размещён на официальном сайте.

Проект закона о персональных данных: больше защиты и обязанностей

На общественное обсуждение вынесен проект Закона Республики Беларусь
«О персональных данных».

В проекте дается определение, в частности, персональных данных: это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано на основании такой информации. Приводится определение сбора персональных данных: это действия, направленные на получение персональных данных субъекта персональных данных, включая аудиозапись, фото- и видеосъемку. По общему правилу на сбор, обработку, распространение, предоставление персональных данных потребуется получить согласие физлица. Вместе с этим в ряде случаев такие действия допускаются без его согласия. В частности, для осуществления правосудия, исполнения судебного постановления и иных исполнительных документов; в целях заключения, исполнения договора, одной из сторон которого является субъект персональных данных. Организации и физические лица, в том числе ИП, которые имеют дело с персональными данными, названы операторами. Для них установлен ряд обязанностей. Так же будет определен уполномоченный орган по защите прав субъектов персональных данных.

В настоящее время в отношении персональных данных физических лиц в Республике Беларусь действует Закон «Об информации, информатизации и защите информации». Персональные данные согласно Закону – это сведения о физическом лице, которые вносятся в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо. Понятие сбора персональных данных Закон не дает.

Субъектам хозяйствования Республики Беларусь, которые работают на территории Евросоюза, важно знать, что на этой территории с 25 мая 2018 г. применяется Общий регламент о защите персональных данных (GDPR) — Регламент (ЕС) N 2016/679 Европейского парламента и Совета ЕС о защите физических лиц при обработке персональных данных и о свободном обращении таких данных.