Новый закон о персональных данных в Беларуси: — что нужно знать предпринимателю
Регулирование персональных данных в Беларуси носит точечный характер. К таким данным относятся, например, ФИО, дата и место рождения, образование, род занятий, реквизиты документов, а также иные данные, позволяющие идентифицировать лицо.
Однако ситуация значительно изменится 15 ноября 2021 года со вступлением в силу Закона Республики Беларусь «О защите персональных данных»: согласно этому закону, к персональным данным будет относиться любая информация, с помощью которой можно прямо или косвенно идентифицировать физическое лицо.
О тонкостях нововведений нам рассказала эксперт юридической компании Arzinger Law Offices Анна Цыганкова.
– Каким образом новшества затронут предпринимателей?
– Взаимодействуя со своими заказчиками, предприниматель может осуществлять обработку персональных данных, т.е. выступать в качестве оператора персональных данных. Под обработкой понимаются любые действия, совершаемые с персональными данными: использование электронных адресов для новостной рассылки, ведение клиентской базы с данными клиентов и так далее. В этом случае предприниматель берет на себя определенную ответственность в отношении использования, хранения и защиты этих данных.
Отдельно стоит отметить, что государственные секреты, а также обработка персональных данных исключительно для личного и подобного использования (не связанного с профессиональной или предпринимательской деятельностью) не подпадает под регулирование нового закона.
– Так что же станет обязательным с его вступлением в силу?
– Обязанности можно условно разделить на три шага.
Первый: анализ уже имеющихся обрабатываемых персональных данных. На этом этапе необходимо составить список данных, цели их обработки и определить, кто имеет доступ к персональным данным, а также разработать внутренние политики обработки персональных данных, реагирования на утечку информации и иные локальные акты для защиты персональных данных. Для ИП следует в обязательном порядке ознакомить своих работников с изданными локальными актами по защите персональных данных.
Второй: получение согласия субъекта персональных данных и непосредственно сбор персональных данных. Новый закон устанавливает, что согласие может быть получено в письменной форме, в виде электронного документа (т.е. с использованием электронной цифровой подписи) или в иной электронной форме, а также определяет случаи, когда обработка персональных данных разрешена без предварительного согласия.
И третий шаг: обеспечение защиты персональных данных. ИП, самозанятые, ремесленники обязаны осуществлять техническую и криптографическую защиту персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь. Для ИП имеется ряд дополнительных обязательных мер. Например, среди прочего ИП должен разработать документы, определяющие политику в отношении обработки персональных данных, и обеспечить неограниченный доступ к таким документам, в том числе с использованием интернета.
– Какая ответственность предусмотрена за нарушение нового закона о персональных данных?
– Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, влекут наложение штрафа, по общему правилу, в размере до 50 базовых величин. А если такие деяния совершены лицом, которому персональные данные известны в связи с его профессиональной деятельностью, то размер штрафа составляет до 100 базовых величин.
Также, например, для ИП предусмотрен штраф в размере от 10 до 25 базовых величин за несоблюдение мер обеспечения защиты персональных данных.
– Может ли предприниматель отказать в оказании услуг/продаже товара, если клиент не дает свое согласие на обработку персональных данных?
– В этом случае важно понять, для какой цели собираются персональные данные. Если цель обработки не связана с оказанием услуг или продажей товара, то права отказать в оказании услуг/продаже товаров у предпринимателя нет.
ВНИМАНИЮ ЧИТАТЕЛЕЙ «ЭГ»:
12 октября при содействии IFC состоится бесплатный вебинар «Персональные данные: зачем о них думать бизнесу», в ходе которого будут рассмотрены актуальные вопросы соблюдения законодательства о персональных данных, технической защиты информации, трансграничной передачи данных и многие другие.
Зарегистрироваться на мероприятие можно здесь.