В последнее время вопрос защиты персональных данных все более на слуху: он постоянно фигурирует в СМИ, на него обращают внимание как частный сектор, так и государство. В конечном итоге и обычные граждане задумываются, что происходит с той личной информацией, которую о них собирают государственные органы и частные компании: уж слишком много ситуаций, в которых нашим гражданам необходимо делиться своей частной информацией – от регистрации в поликлинике и до использования большинства интернет-ресурсов.
В зарубежных странах законодательство о защите персональных данных отличается динамичностью – так в Европейском союзе в прошлом году был принят новый Регламент о защите персональных данных взамен старой Директивы, в Российской Федерации значительно увеличился размер административных санкций за нарушения, связанные с неправомерным сбором, хранением, обработкой и использованием персональных данных, в США происходят нескончаемые дебаты о пределах вмешательства государства в личную жизнь человека.
В Беларуси на этом фоне тема защиты персональных данных выглядит побочной повесткой: только в этом году планируется утвердить концепцию закона о персональных данных и в 2018 году уже принять сам закон.
Тимофей Савицкий, юридическая фирма COBALT, рассмотрит основные аспекты защиты персональных данных, которые на настоящий момент урегулированы белорусским законодательством.
Что такое персональные данные?
В соответствии Закон Республики Беларусь от 10.11.2008 N 455-З (ред. от 11.05.2016) "Об информации, информатизации и защите информации" (далее – Закон об информации), персональные данные - основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами Республики Беларусь внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо. Персональные данные относится к информации, распространение и предоставление которой ограничено.
Закон Республики Беларусь от 21.07.2008 N 418-З (ред. от 04.01.2015) "О регистре населения" (далее – Закон о регистре населения) определяет следующие основные персональные данные: идентификационный номер, фамилия, собственное имя, отчество, пол, число, месяц, год рождения, место рождения, цифровой фотопортрет, данные о гражданстве (подданстве), данные о регистрации по месту жительства и (или) месту пребывания, данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным.
Дополнительными персональными данными, в соответствии с Законом о регистре населения, являются: данные о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица, о высшем образовании, ученой степени, ученом звании, о роде занятий, о налоговых обязательствах и некоторые иные.
Закон об информации содержит расширительную формулировку «и иные данные, позволяющие идентифицировать такое лицо», что свидетельствует о том, что белорусское законодательство не ограничивается перечнем, установленным Законом о регистре населения, но распространяет свое действие на любую информацию, способную идентифицировать определенное лицо.
Закон об информации, тем не менее, не уточняет, о какой идентификации идет речь – прямой или косвенной. Некоторые виды данных (например, IP-адрес) могут лишь косвенно идентифицировать субъекта – в совокупности с иными данными. В законодательстве большинства западных государств подобный аспект урегулирован и «косвенные» персональные также подлежат такой же защите, как и «прямые». Белорусское законодательство пока не содержит таких деталей.
Обязательное письменное согласие на сбор, обработку, хранение и пользование
В соответствии с Законом об информации при сборе, обработке, хранении персональных данных необходимо получать согласие физического лица, к которому эти персональные данные относятся. При этом, согласие должно быть дано в письменной форме.
Ни Закон об информации, ни иные нормативно-правовые акты не уточняют, что подразумевается под согласием в «письменной форме». Гражданский кодекс лишь содержит определение того, чем является совершение сделки в письменной форме, – к нему, например, относится и обмен факсимильными подписями и иными аналогами подписей.
Применение подобного положения возможно по аналогии и к выражению согласия на сбор, обработку, хранение и пользование персональными данными. Тем не менее, в отсутствие четкого указание на форму согласия в законодательстве, многие субъекты (например, визовые центры при обработке анкет) вынуждены собирать подписи «вручную» - при помощи форм-согласий, которые подписываются лицом, к которому относятся персональные данные.
Подобное положение, к слову, затрудняет работу многим компаниям – простых кликов «я согласен» в некоторых случаях бывает недостаточно, и формально может возникнуть нарушение Закона об информации. Некоторые компании (в частности, онлайн-магазины) включают согласие на сбор персональных данных в публичные договоры (договоры присоединения), заключение которых возможно простым присоединением (например, покупкой товара в магазине). Законодательно они приравниваются к письменным. Тем не менее, здесь речь опять-таки идет о письменной форме договора, а не согласия как такового.
Принятие мер по защите персональных данных
Закон об информации налагает обязательство на любое лицо, собирающее персональные данные, принимать меры по их надлежащей защите до момента, когда лицо, к которому относятся персональные данные, дает согласие на их разглашение либо до момента обезличивания персональных данных.
Закон не содержит точных указаний на то, какими эти меры должны быть. Тем не менее, исходя из практики и применяемых подзаконных актов, под защитой персональных данных как информации, распространение которой ограничено, понимаются организационные и технические меры защиты (например, предусмотренные приказом ОАЦ № 62). К организационным мерам может относится принятие внутренних положений по работе с персональным, к техническим – применение криптографической защиты.
Обязательное письменное согласие на последующую передачу персональных данных
Как и в случае со сбором персональных данных, любой трансфер нуждается в отдельном письменном согласии лица, к которому эти персональные данные относятся. Такое согласие может быть получено непосредственно при сборе персональных данных. Здесь, тем не менее, также возникает вопрос о возможности получения электронного согласия.
С учетом того, что трансграничная передача данных сейчас стала нормальной практикой (особенно в ИТ-сфере), необходимость получения согласия в письменной форме не способствует упрощению и ускорению информационного обмена.
Право на ознакомление с персональными данными
Любое лицо, о котором собираются персональные данные, имеет право на ознакомление с тем, какие и в каком объеме персональные данные содержатся о нем в определенных системах (у определенных лиц).
Ответственность за нарушение законодательства о персональных данных
Административной ответственности за нарушение законодательства о персональных данных пока нет. В настоящий момент известно, что в КоАП будут вноситься изменения, согласно которым за нарушение законодательства о персональных данных будет налагаться штраф до 20 базовых величин.
Уголовный кодекс содержит статью 179 («незаконное собирание либо распространение информации о частной жизни), однако на практике она не применяется для ситуаций по незаконному разглашению и распространению персональных данных.
Что дальше?
Как видно из анализа текущего законодательства Республики Беларусь в области защиты персональных данных, в настоящее время оно достаточно фрагментарно и затрагивает лишь следующие аспекты:
- Дефиницию персональных данных;
- Необходимость получения письменного согласия при сборе, обработке, хранении, пользовании и последующей передаче персональных данных;
- Обязанность по принятию мер по защите персональных данных;
- Право субъектов на получение информации о том, какие персональные данные о нем собраны и в каком объеме.
В законодательстве пока не содержится разграничения на чувствительные (например, данные о здоровье) и нечувствительные персональные данные (у чувствительных данных большая защита), конкретных обязанностей обработчиков персональных данных и прав субъектов персональных данных, санкций за нарушение законодательства о персональных данных и многих иных принципов, принятых в европейских государствах, Российской Федерации и многих других странах.
Отсутствие профильного регулирования имеет ряд негативных последствий как для граждан, так и для бизнеса, таких как, например, низкая защита прав и интересов граждан, неопределенность международного бизнеса при выходе на рынок Беларуси, противоречивость применения норм действующего законодательства. Закон о персональных данных (2018) ставит свой целью разрешить выделенные проблемы.
Горячие темы