Политика обработки персональных данных

15 ноября 2021 года вступает в силу Закон Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“

До недавнего времени вопрос работы с персональными данными в Республике Беларусь не был урегулирован на уровне комплексного нормативного правового акта. В целях системного регулирования данного вопроса был подготовлен Закон Республики Беларусь ”О защите персональных данных“ (далее – Закон), который вступает в силу 15 ноября 2021 года. Положения Закона основываются на концепции проекта Закона Республики Беларусь ”О персональных данных“, разработанной Национальным центром законодательства и правовых исследований Республики Беларусь.

Закон направлен на обеспечение защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных.

Законом изменен подход к определению понятия персональных данных посредством отказа от четкого перечня сведений, относящихся к персональным данным. Так, под персональными данными понимается любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано. Такое определение сформулировано с учетом положений Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных от 28 января 1981 г. ETS № 108, а также общепринятых подходов к определению персональных данных в законодательстве зарубежных государств.

Закон регулирует обработку персональных данных:

  • с использованием средств автоматизации (это обработка в рамках информационных систем и ресурсов);
  • без использования средств автоматизации, если осуществляется систематизация данных по определенным критериям (картотеки, списки, базы данных, журналы).

При этом Закон не распространяется на отношения, касающиеся случаев обработки персональных данных:

  • в процессе личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью (переписка в социальных сетях, с помощью электронной почты, сохранение и систематизация адресатов);
  • отнесенных к государственным секретам.

В Законе детализированы основания для обработки персональных данных. По общему правилу обработка персональных данных должна осуществляться с согласия субъекта персональных данных, за исключением предусмотренных законодательством случаев. Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме. При этом обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей.

Законом предусматриваются основные права субъектов персональных данных, в частности субъект вправе в любое время без объяснения причин отозвать свое согласие, получить информацию об обработке персональных данных и о предоставлении персональных данных третьим лицам, изменить персональные данные, требовать прекращения обработки и удаления персональных данных, обжаловать действия и решения оператора персональных данных в уполномоченный орган.

Оператор обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных. При этом Законом определен ряд мер, которые являются обязательными к соблюдению.

Законом также предусмотрено создание уполномоченного органа по защите прав субъектов персональных данных. Создание специального органа, отвечающего за обеспечение соблюдения требований законодательства в сфере работы с персональными данными, является одной из наиболее важных мер по защите персональных данных в государстве.