$

2.0524 руб.

2.2759 руб.

Р (100)

3.0842 руб.

Ставка рефинансирования

9.50%

Проекты

Ваши персональные данные защитит закон

23.04.2019

Некоторые нормы проекта закона «О персональных дан­ных», внесенного Совмином 13.03.2019 в Палату представителей, требуют доработки в ходе подготовки документа к рассмотрению на сессии в первом чтении.

Главная цель законопроекта – определить рамочные отношения между оператором персональных данных (далее – оператор ПД), являющимся индивидуальным предпринимателем, юридическим лицом Республики Беларусь, иной организацией, и субъектом персональных данных (далее – субъект ПД). В качестве второго выступает физическое лицо – клиент, сотрудник, поставщик, партнер, пациент и пр.

Согласно проекту персональные данные – это любая информация, которая может идентифицировать человека. Их обработка включает систематизацию, хранение, изменение, использование, обезличивание, блокирование, удаление…

Нормы законопроекта вступят в силу через год после его принятия и официального опубликования. Вероятно, это связано с нерешенностью проблемы создания органа по защите прав субъектов персональных данных и определения источников его финансирования – за счет средств республиканского бюджета или государственного внебюджетного фонда.

Можно назвать приоритетный круг категорий операторов, осуществляющих обработку персональных дан­ных значительного числа граждан: рекрутинговые агентства, дилерские центры, организации, оказывающие услуги в таких сферах, как кредитование, страхование, гостиничный бизнес, туризм, электронная дистанционная торговля, бронирование билетов в рамках осуществления пассажирских перевозок и др.

Оператор в рамках используемой им информационной системы обязан проработать ряд вопросов: цели и правовые основания обработки ПД, их категории, объем, срок хранения, условия прекращения их обработки, условия передачи третьим лицам.

В проекте особо выделены две категории ПД: общедоступные (к примеру, городской телефонный справочник) и специальные (о расовой либо национальной принадлежности, политических взглядах, религиозных или других убеждениях, здоровье или половой жизни, судимости, а также биометрические и генетические персональные данные). Перевести специальные ПД в разряд общедоступных может сам субъект ПД.

Обработка специальных ПД запрещается без согласия субъекта ПД, кроме случаев, указанных в проекте.

Гражданин вправе давать «добро» на действия со своими персональными данными с 16 лет, до этого возраста такое разрешение может быть получено от одного из его законных представителей.

Согласие может быть оформлено в письменной форме, в виде электронного документа или в иной электронной форме. На оператора возлагается бремя доказывания того, что такое согласие (как свободное, конкретное, информированное выражение воли) получено на самом деле.

В том случае, когда оператор передает эту услугу на аутсорсинг (поручает ее «уполномоченному лицу»), он обязан сам получить согласие субъекта на обработку его данных.

 Субъект ПД вправе получать от операторов (уполномоченных лиц) информацию о предоставлении своих персональных данных тре­тьим лицам бесплатно один раз в календарный год.

Третьи лица возникают, скажем, при взаимодействии компаний со сторонними организациями (в т.ч. предоставляющими услуги по доставке товаров) и при проведении рекламных и иных мероприятий, направленных на продвижение товаров и услуг. В качестве третьих лиц выступают юрлица, специализирующиеся на взыскании долгов, работающие с расчетными центрами ЖКХ, с кредитными организациями.

При заключении, исполнении договора, одной из сторон которого является гражданин, согласие последнего на обработку его персональных данных можно не получать. Думается, это весьма узкий подход. Ведь обработка персональных данных необходима для заключения и исполнения договора, выгодоприобретателем или поручителем по которому является субъект ПД. Например, банки можно будет обвинить в неправомерном сборе персональных данных поручителей (третьих лиц) без их согласия.

Для банковской сферы эта проблема актуальна также при подписании договора уступки требования и агентского договора. Например, при заключении агентского договора с коллекторской организацией необходимо согласие должника на обработку его персональных данных.

Особого внимания заслуживает сфера трудовых отношений. Проект разрешает обработку ПД без согласия работника при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности в случаях, предусмотренных законодательством. В Трудовом кодексе Беларуси, в отличие от аналогичных кодексов России и Казахстана, отсутствует глава о персональных данных работника, хотя бы рамочно определяющая правила работы с ними.

Аморфная формулировка проекта, конечно же, потребует дополнительного регулирования в сфере занятости и труда. Скажем, обработка персональных данных соискателей на замещение вакансий, на наш взгляд, предполагает получение их согласия. Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.

Если сбор персональных данных осуществляется посредством размещения на сайте организации типовой формы анкеты соискателя, то согласие на обработку ПД подтверждается претендентом на должность путем проставления отметки («галочки») в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме. В случае отказа в приеме на работу сведения, предоставленные соискателем, дол­жны быть уничтожены.

Обработка персональных данных близких родственников работника в случаях получения алиментов, офор­мления социальных выплат или допуска к гостайне возможна без их согласия. В иных случаях их согласие необходимо.

Наниматель, решив для ведения кадрового и бухгалтерского учета воспользоваться услугами аутсорсинговой компании, вероятно, будет обязан получить согласие работников на передачу их персональных данных. Но такую норму следует прописать в проекте. 

Перечень обязанностей операторов ПД оставлен открытым, т.е. он может расширяться иными законодательными актами. Скажем, по примеру РФ возможно введение требования о локализации баз персональных данных на территории РБ для иностранных интернет-ресурсов (типа Linkedin.com и др.).

Арбитром во взаимоотношениях между оператором ПД и субъектом ПД в проекте назван «уполномоченный орган по защите прав субъектов персональных данных». Причем он рассматривается в качестве обязательной досудебной инстанции при рассмотрении жалоб на действия оператора ПД.

К сожалению, при внесении законопроекта в парламент Совмин не решил вопрос, кто будет этим уполномоченным органом – действующая структура, скажем, Генеральная прокуратура, или некий новый независимый орган, вроде российского Роскомнадзора.

К важным новеллам проекта следует отнести право субъектов ПД на блокировку ПД, на возмещение не только имущественного, но и морального вреда.

Как утверждают разработчики законопроекта, они искали разумный баланс между защитой персональных данных, развитием информационных технологий и необходимостью выполнения государственных функ­ций.

Политика конфиденциальности будет обязательной для всех операторов. Каждая организация обязана назначать сотрудника или отдел, ответственный за защиту персональных данных. Лица, виновные в нарушении закона, несут ответственность, предусмотренную законодательными актами. Какое им конкретно будет грозить наказание – неизвестно, вероятно, санкции пропишут в кодексах позже.

В случае принятия и вступления норм проекта в действие операторские сообщества (профессиональные отраслевые объединения и (или) саморегулируемые организации кон­кретной отрасли) будут заинтересованы в выработке так называемых отраслевых кодексов поведения в области защиты прав субъектов персональных данных.

Автор публикации: Наталья ЧЕРНОРУЦКАЯ, юрист


Менеджмент: список рубрик
Важно
Мы в соцсетях
Подписка
Архивы «ЭГ»
Опросы