Защита персональных данных: краткий обзор нововведений с 15 ноября 2021 года

Следует ли директору назначить лицо, ответственное за защиту персональных данных в учреждении?
Да.
Может ли работник учреждения быть привлечен к уголовной ответственности за предоставление персональных данных другого лица без его согласия?
Да, если это повлекло причинение существенного вреда правам, свободам и законным интересам гражданина.
В течение какого времени после получения заявления от субъекта персональных данных оператор обязан выполнить определенные действия?
15 дней.

15 октября 2021

Поторская Алена

Ведущий юрист REVERA

1974

С 15 ноября 2021 г. вступает в силу Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон). Законом вводится ряд новых обязанностей для операторов персональных данных, которые должны быть выполнены к моменту вступления Закона в силу.

Актуальность для директора

Почему вопрос защиты персональных данных актуален для руководителя учреждения образования?

Ответ прост:

с 1 марта 2021 г. ст. 23.7 КоАП введена административная ответственность за нарушение законодательства о защите персональных данных, а именно за умышленные незаконные сбор, обработку, хранение или предоставление персональных данных физического лица, нарушение его прав, связанных с обработкой персональных данных, распространение персональных данных, несоблюдение мер обеспечения защиты персональных данных;
с 19 июня 2021 г. ст. 203¹ и 203² УК предусмотрена уголовная ответственность за нарушение законодательства о персональных данных.

Таким образом, руководителю и работникам учреждения важно соблюдать основные положения Закона, т. к. в случае их нарушения могут наступить неблагоприятные последствия.

Кто такой оператор

Согласно абз. 8 ч. 1 ст. 1 Законаоператор — это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в т. ч. индивидуальный предприниматель, самостоятельно или совместно с указанными лицами организующие и (или) осуществляющие обработку персональных данных.

С понятием «оператор» связаны такие понятия, как «персональные данные» и «субъект персональных данных».

Персональными данными согласно абз. 9 ч. 1 ст. 1 Закона является любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Субъект персональных данных — это физическое лицо, в отношении которого осуществляется обработка персональных данных (абз. 13 ч. 1 ст. 1 Закона).

Из анализа приведенных понятий следует, что любаяорганизация является оператором персональных данных.

Директору на заметку
Учреждения образования являются операторами в отношении имеющихся у них данных об учащихся, их законных представителях, своих работниках и др.

Таким образом, руководителям учреждений образования необходимо изучить основные стандарты, установленные Законом, чтобы к 15 ноября 2021 г. привести свою деятельность в соответствие с данными требованиями.

Меры защиты персональных данных

Для приведения внутренних процессов учреждения в соответствие с Законом необходимо знать основные меры защиты персональных данных, закрепленные в ст. 17 Закона (см. схему 1).

Схема 1

Обязанности учреждения в части защиты персональных данных

Справочно: порядок осуществления технической и криптографической защиты персональных данных установлен Оперативно-аналитическим центром при Президенте Республики Беларусь.

Оператор и уполномоченное лицо: в чем разница

Ранее законодательство Республики Беларусь не разграничивало роли субъектов в процессе обработки персональных данных. Со вступлением в силу Закона появились понятия, аналогичные понятиям Общего регламента защиты персональных данных, принятого в Евросоюзе (General Data Protection Regulation, далее — GDPR). Так, Законом введены понятия оператора (аналог контролера в GDPR) и уполномоченного лица (аналог процессора в GDPR).

Уполномоченное лицо — это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах (абз. 16 ч. 1 ст. 1 Закона).

Это важно
Если учреждение само принимает решение об обработке персональных данных, оно является оператором. Если же учреждение обрабатывает персональные данные по указанию другого лица (в т. ч. на основе договора), оно является уполномоченным лицом.

Оператора от уполномоченного лица отличить несложно.

Законом (п. 1 ст. 7) закреплены правила, которые показывают, как должны быть урегулированы отношения между оператором и уполномоченным лицом. Так, договор должен содержать:

действия, совершаемые с персональными данными;
обязательство по соблюдению конфиденциальности персональных данных;
цели обработки персональных данных;
меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона.

Обработка персональных данных

В п. 3 ст. 4 Закона закреплено, что обработка персональных данных осуществляется с согласия субъекта персональных данных.

Статьей 6 Закона предусмотрены случаи, в которых обработка персональных данных может осуществляться без согласия субъекта персональных данных. В частности, к таким случаям отнесено получение персональных данных:

1) на основании договора, заключенного с субъектом персональных данных, в целях совершения действий, установленных этим договором;

2) при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством, и в других случаях.

К согласию, которое должно быть получено от субъекта персональных данных, Законом предъявляются определенные требования. Так, согласие должно быть свободным, однозначным и информированным.

Это важно
Форма согласия установлена п. 2 ст. 5 Закона. Так, согласие может быть получено в письменной форме, в форме электронного документа или в иной электронной форме.
Ранее законодательством Республики Беларусь предусматривалась возможность получения исключительно письменного согласия.

Перед получением согласия Закон обязывает оператора сообщить субъекту персональных данных некоторую информацию о себе (предусмотренную ч. 1 п. 5 ст. 5 Закона), а также простым и ясным языком разъяснить его права, механизм их реализации, последствия дачи и отказа от дачи согласия.

Если все указанные в ч. 1 п. 5 ст. 5 Закона условия не будут соблюдены, то согласие на обработку персональных данных будет считаться недействительным. Также обратите внимание, что эта информация должна быть предоставлена оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.

Соблюдение прав субъекта персональных данных

Закон предоставляет субъекту персональных данных право определенным образом распоряжаться своими персональными данными. В частности, субъект персональных данных получает следующие права:

право на отзыв согласия (ст. 10 Закона);
право на получение информации об обработке данных (ст. 11 Закона);
право на изменение персональных данных (ст. 11 Закона);
право на получение информации о предоставлении данных третьим лицам (ст. 12 Закона);
право требовать удаления данных или прекращения их обработки (ст. 13 Закона).

При получении заявления субъекта персональных данных оператор обязан в течение 15 дней (5 дней — в отношении права на получение информации об обработке персональных данных) выполнить одно из действий, указанных на схеме 2.

Схема 2

Действия оператора при рассмотрении заявления субъекта персональных данных

В случае отказа оператора от предоставления информации или выполнения действий субъект персональных данных должен быть уведомлен о причинах такого отказа.

Контроль передачи персональных данных

Ранее белорусское законодательство не регулировало вопросы передачи персональных данных за пределы страны. Закон же закрепляет правило, согласно которому передача данных за пределы Республики Беларусь в страны, которые не обеспечивают надлежащий уровень защиты данных, запрещается (п. 1 ст. 9 Закона).

Справочно: список таких стран на момент написания материала не опубликован.

Однако п. 1 ст. 9 Закона предусмотрен и перечень условий, при которых передача персональных данных за пределы Республики Беларусь возможна. К таким условиям отнесены:

наличие согласия субъекта персональных данных, который проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
получение персональных данных на основании договора, заключенного с субъектом персональных данных, в целях совершения действий, установленных этим договором;
персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
такая передача осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством;
получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.