Опубликован проект закона «О защите персональных данных», который был принят во втором чтении Палатой представителей. Есть высокая вероятность, что закон вступит в силу именно в таком виде, пишет TUT.BY. О чем нужно знать гражданам и компаниям, рассказывает ведущий юрист практики информационных технологий и интеллектуальной собственности компании REVERA Алена Поторская.
Фото: Вадим Замировский, TUT.BY
Что меняется в регулировании персональных данных?
В Беларуси появится определение персональных данных. Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Эта концепция очень схожа с концепцией определения персональных данных в евросоюзовском General Data Protection Regulation, но для белорусской правовой системы немного непривычная. У нас обычно есть четкий перечень того, что подразумевается под тем или иным понятием, но белорусский законодатель отошел от этого подхода и правильно сделал — в современном мире невозможно составить исчерпывающий перечень персональных данных, считает юрист.
Попробуем разобраться с тем, что может относиться к персональным данным по закону на примере мировой практики.
Окончательное решение в том, что будет относиться к персональным данным, а что нет, будет зависеть от того, как пойдет практика применения закона, то есть от позиции правоприменительных органов.
ФИО и не только
Итак, персональные данные — это
1. любая информация,
«любая» может означать, что такая информация не будет ограничена по форме (видео, аудио, цифровые, графические и фотографические материалы могут содержать персональные данные), а также может содержать как объективную информацию (к примеру, возраст лица), так и субъективную (к примеру, оценка психологического состояния человека).
2. относящаяся к идентифицированному физическому лицу
Базово, если вы можете отличить одного человека от других — этот человек идентифицирован. К примеру, часто можно идентифицировать человека по его фамилии, имени, отчеству (то есть ФИО здесь — это персональные данные, которые идентифицируют человека).
Информация, «относящаяся к идентифицированному физическому лицу» — это, соответственно, любая информация, которая относится к человеку, которого вы уже идентифицировали, к примеру, его работа, имущество, звания, увлечения и так далее до бесконечности: все это при определенных условиях тоже является персональными данными.
3. физическому лицу, которое может быть идентифицировано.
Если вы не можете идентифицировать человека сразу, но это возможно сделать потом, сопоставив имеющуюся у вас информацию с другой (с той, которую также вы имеете либо доступ к которой можно получить через третьих лиц), то такое лицо «может быть идентифицировано». К примеру, у вас есть только имя человека — не всегда по имени вы можете установить, кто это конкретно. Но сопоставив эту информацию с рядом другой, к примеру, с локацией, ростом, описанием внешности, такой человек может быть идентифицирован.
Данные о вашем девайсе
Также важно понимать, что в мировой практике персональные данные относятся не только к конкретному человеку, но и к его девайсам (к примеру, IP адрес). К персональным данным также относятся другие идентификаторы (к примеру, IDFA, Google Advertising ID), информация о пользовательском поведении (на какие разделы сайта пользователь этого девайса заходил и что просматривал), полученная, к примеру, с помощью cookies.
В Беларуси больше привыкли к тому, что персональные данные — это что-то о конкретном человеке, но не об устройствах, которые он использует. Но в современном мире интернет-технологий владеть информацией о девайсе пользователя и его действиях в Сети зачастую намного интереснее для бизнеса, чем знать ФИО и адрес этого человека.
К примеру, информация о девайсе и о поведении пользователя используется для показа персонифицированной рекламы для такого пользователя. Закон пока не содержит прямого ответа на вопрос, будет ли такая информация относиться к персональным данным в Беларуси. По этому вопросу нужно будет ждать разъяснений от правоприменительного органа.
На каком основании данные могут обрабатываться
Закон предусматривает согласие как основное основание для обработки данных, и только в перечисленных исключениях согласие не требуется, к примеру:
— при заключении договора с субъектом данных, в частности в рамках трудовых отношений;
— в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей, предусмотренных законодательными актами;
— в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки этих данных, а также об их удалении при отсутствии иных оснований для обработки.
Требования к согласию
Если же обработка персональных данных производится на основании согласия, то закон устанавливает требования к согласию. То есть не любое «согласие» теперь будет считаться исполнением ваших обязанностей по закону.
1) Согласие может быть дано в письменной форме, в форме электронного документа или иного документа в электронной форме, в том числе путем проставления галочки. Наконец-то решен вопрос с тем, что раньше в Беларуси можно было получать согласие только в письменной форме, что практически нереально для онлайн-сервисов, отмечает юрист.
2) Закон также говорит о том, что согласие субъекта «представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных».
Попробуем разобраться, что значат эти слова.
Согласие должно быть свободным — в мировой практике это означает, что у человека должна быть реальная возможность дать свое согласие или не соглашаться на обработку его персональных данных. К примеру, если для получения услуг пользователя вынуждают дать согласие на обработку его персональных данных, такое согласие не считается свободным. В таких случаях данные, в объеме, необходимом для оказания услуг (это важно), должны обрабатываться на основании «договора», а не согласия.
Согласие должно быть информированным, то есть оператор должен донести до пользователя некоторую информацию:
— его наименование и место нахождения;
— цели обработки персональных данных;
— перечень персональных данных, на обработку которых дается согласие;
— срок, на который дается согласие;
— информацию об уполномоченных лицах, если обработка персональных данных будет осуществляться такими лицами;
— перечень действий с персональными данными, на совершение которых дается согласие, общее описание способов обработки персональных данных;
— разъяснение прав субъекта персональных данных.
Согласие должно быть однозначным выражением воли лица, то есть не должно быть сомнений, что согласие было дано (к примеру, баннер «Продолжая пользоваться нашим сервисом, вы соглашаетесь на обработку ваших персональных данных» уже не будет валиден, потому что пользователь не дал свое однозначное согласие на это).
Очень важно отметить, что теперь согласие должно предоставляться на определенные цели обработки данных (то есть вы должны рассказать пользователю, как будут использоваться его данные), а если цели меняются — вы должны получить новое согласие, предупреждает юрист.
Если вы поручаете обработку данных третьему лицу (к примеру, вы привлекли компанию, которая осуществляет техподдержку вашего приложения, и она оперирует персональными данными ваших пользователей, подключаете рекламный сервис, сервис аналитики и т.д.), между вами как оператором и такой компанией должен быть заключен договор, где зафиксированы:
— цели обработки персональных данных;
— перечень действий, которые будут совершаться с персональными данными этим третьим лицом;
— обязанности по соблюдению конфиденциальности персональных данных;
— меры по обеспечению защиты персональных данных.
Если такое третье лицо находится за пределами Беларуси (к примеру, вы подключили Google Ads для измерения эффективности рекламы в вашем приложении, а Google Ads получает доступ к данным ваших пользователей, чтобы эту эффективность измерить), то важно иметь в виду, что передача данных за границу базово запрещена, но этот вопрос может быть решен, к примеру, получением согласия пользователя на такую передачу.
В то же время требования о хранении данных всех белорусских пользователей на территории Беларусь закон не вводит.
У бизнеса также появляется ряд обязанностей: назначить лицо, ответственное за вопросы обработки персональных данных (DPO), разработать политику в отношении обработки персональных данных, провести инструктаж работников и т.д.
А что же с правами пользователя?
Самое важное для пользователей — это то, что закон дает пользователям определенные права по отношению к их персональным данным: право на отзыв согласия, право на получение информации об обработке данных, право на получение информации о предоставлении данных третьим лицам, право требовать удаления данных или прекращения их обработки.
Реализовать эти права можно путем подачи заявления в письменном виде либо в виде электронного документа (то есть подписанный электронной цифровой подписью). Такая форма подачи заявления значительно затруднит процесс реализации прав пользователей, считают эксперты. В мировой практике часто «заявления» подаются просто в форме письма на адрес электронной почты компании в свободной форме.
Упрощение процедуры реализации прав пользователей оказало бы положительный эффект на развитие вопроса персональных данных в нашей стране в целом, уверен юрист: «Пользователей много и у них намного больше ресурсов отслеживать нарушения их прав, чем у госорганов, и они наиболее заинтересованы в том, чтобы их права соблюдались. Так, в мире бóльшая часть жалоб в отношении бизнеса инициируется именно пользователями, в результате чего у бизнеса больше мотивации соблюдать законодательство».
Закон вступит в силу через 6 месяцев после его официального опубликования (а не через 1 год, как было в прошлой версии закона).
Добро пожаловать в реальность!