Персональные данные: правила обработки и использования

В ноябре 2021 г. вступят в силу большинство положений Закона от 07.05.2021 № 99-З «О защите персональных данных». Документ направлен на обеспечение защиты личных данных, прав и свобод физических лиц. 

НПА регулирует отношения, связанные с неразглашением персональных сведений при их обработке, с использованием и без средств автоматизации, если при этом обеспечиваются поиск данных или доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).

Действие документа не распространяется на отношения, касающиеся случаев обработки персональных данных физическими лицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью, а также сведений, отнесенных к государственным секретам.

Под персональными данными понимается любая информация, «относящаяся к идентифицированному физическому лицу или физлицу, которое может быть идентифицировано».

Определено, что обработка сведений должна быть соразмерна заявленным целям и обеспечивать «справедливое соотношение интересов всех заинтересованных лиц», осуществляться с согласия их субъекта.

Разрешение может быть получено в письменном виде, в формате электронного документа или в иной электронной форме (через указание определенной информации после получения СМС-сообщения или письма по электронной почте, проставления отметки на интернет-ресурсе). При этом другими законодательными актами может быть предусмотрена необходимость получения согласия субъекта персональных данных только в письменной форме или в виде электронного документа.

До получения согласия оператор обязан в письменной либо электронной форме предоставить субъекту персональных данных информацию, содержащую его наименование и место нахождения, цели обработки персональных данных, перечень данных, на обработку которых дается согласие, и срок, на который оно дается, информацию об уполномоченных лицах, перечень действий с данными, на совершение которых дается согласие, и прочую информацию, необходимую для обеспечения прозрачности процесса.

При этом оператор обязан «простым и ясным языком» разъяснить субъекту персональных данных его права и последствия дачи такого согласия. Обязанность доказывания получения разрешения возлагается на оператора.

 

Случаи, когда согласие не требуется

Такие ситуации касаются ведения административного и уголовного процесса, осуществления оперативно-розыскной деятельности, правосудия, исполнения судебных постановлений и иных исполнительных документов, осуществления контроля (надзора) в соответствии с законодательными актами, при реализации норм законодательства в области национальной безопасности, о борьбе с коррупцией, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и распространения оружия массового поражения.

Также персональные данные используются без согласования при реализации норм законодательства о выборах и референдуме, ведении индивидуального учета сведений о застрахованных лицах для целей государственного социального страхования, оформлении трудовых и служебных отношений и в процессе трудовой и служебной деятельности, для осуществления нотариальной деятельности, при рассмотрении вопросов, связанных с гражданством Беларуси, предоставлением статуса беженца, дополнительной защиты, убежища и временной защиты, в целях назначения и выплаты пенсий и пособий.

Кроме того, речь идет о получении статистических данных, о научных исследованиях, данных для расчета и оплаты жилищно-коммунальных услуг, информации, получаемой при осуществлении законной профессиональной деятельности журналиста, для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц (если получение согласия невозможно).

 

Запреты и исключения

В Законе прописан запрет на обработку специальных персональных данных без согласия их субъекта. К таковым отнесена информация, касающаяся расовой или национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.

Однако и здесь есть ряд исключений. Например, если соответствующие данные собираются для оказания медицинской помощи или учета правонарушений, осуществления административных процедур, при документировании населения.

Обработка специальных персональных данных допускается лишь при принятии «комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов».

Трансграничная передача персональных данных запрещается, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав их субъектов. Исключения составляют случаи, когда на такую передачу дано согласие, они получены в соответствии с договором, заключенным с их субъектом, когда они могут быть получены любым лицом посредством направления запроса либо когда их передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта.

Трансграничная передача данных разрешена, если она осуществляется органом финансового мониторинга «в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и распространения оружия массового поражения».

 

О мерах защиты

В документе установлены права субъекта персональных данных и обязанности оператора по их сбору.

Оператор обязан принимать правовые, организационные и технические меры по обеспечению защиты данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий.

Уполномоченный орган по защите прав субъектов персональных данных в Законе не определен, он отдельно устанавливается решением на уровне главы государства.