Согласие на обработку персональных данных в электронной форме. Что предусматривает принятый закон о защите персональных данных

Через 6 месяцев вступит в силу комплексный закон, регулирующий защиту персональных данных – Закон Республики Беларусь «О защите персональных данных» (далее – Закон), который был опубликован 14 мая. Закон вводит широкое понятие персональных данных, возможность получения согласия в электронной форме, наделяет субъекта данных правами, позволяющими ему контролировать обработку своей личной информации, а также накладывает на оператора данных определенные обязанности.

В соответствии с Законом персональными данными является «любая информация», если она либо прямо относится к идентифицированному физическому лицу (субъекту данных), либо позволяет его идентифицировать.

В отдельную категорию выделены специальные персональные данные, к которым относится чувствительные данные, в том числе информация о национальности, политических взглядах, здоровье, половой жизни, привлечении к ответственности, а также биометрические и генетические данные. Обработка личных данных из категории специальных по умолчанию запрещена.

По аналогии с европейским регулированием Закон проводит различие между оператором и уполномоченным лицом (в GDPR используются термины «контроллер» и «процессор»). Оператор – это лицо, которое организует и (или) осуществляет обработку личной информации, а уполномоченное лицо обрабатывает данные от имени оператора или в его интересах.

Закон требует получить от субъекта данных свободное, однозначное, информированное согласие. Согласие может быть получено

• в письменной форме,
• в виде электронного документа,
• в электронной форме.

К электронной форме получения согласия относится:

• указание определенной информации, полученной в СМС-сообщении, сообщении на электронную почту
• проставление отметки на интернет-ресурсе

Бремя доказывания наличия согласия лежит на операторе. Законом также установлен перечень информации, который должен быть доведен до сведения субъекта данных до получения согласия, кроме того, оператор обязан простым и ясным языком разъяснить субъекту его права и механизм их реализации.

Обработка данных без получения согласия допускается в случаях, когда

• данные получаются на основании договора с субъектом данных для совершения действий, установленных таким договором
• с субъектом данных оформляются трудовые отношения или обработка осуществляется в процессе трудовой деятельности
• персональные данные были ранее распространены
• иные случаи

В соответствии с Законом субъект данных обладает правом на

• отзыв согласия
• получение информации об обработке персональных данных
• изменение данных
• прекращение обработки
• удаление данных
• обжалование действий и решений оператора

Однако реализовать свои права субъект данных может только посредством подачи заявления в письменной форме или в форме электронного документа.

Обращаем внимание, что Законом предусмотрены сроки для ответа на запросы субъекта данных и осуществления действий, которые требуются субъектом. Так, информация должна быть предоставлена субъекту данных в течение 5 рабочих дней после получения заявления.

При получении запроса в течение 15 дней оператор должен осуществить соответствующее действие:

• изменить персональные данных
• прекратить обработку данных
• удалить данные
• предоставить информацию о том, какие персональные данные субъекта и кому передавались в течение года до подачи заявления.

Закон предусматривает обязательства оператора данных, в том числе по обеспечению защиты персональных данных, уведомления уполномоченного органа в случае нарушения безопасности данных.

Уполномоченный орган будет определен Президентом Республики Беларусь.

Для обеспечения защиты данных оператор должен принять правовые, организационные и технические меры. Обязательным является:

• назначение сотрудника, ответственного за осуществление внутреннего контроля обработки личной информации,
• издание документов, определяющих политику оператора в отношении обработки персональных данных,
• ознакомление работников с требованиями законодательства о защите персональных данных,
• установление порядка доступа к личной информации,
• осуществление технической и криптографической защиты данных.

Обращаем внимание, что со вступлением в силу 1 марта 2021 г. нового Кодекса об административных правонарушениях за нарушение требований законодательства по защите персональных данных ст. 23.7 кодекса предусмотрена ответственность в виде штрафа в размере до двухсот базовых величин в зависимости от нарушения и лица, привлекаемого к ответственности.