Правы людзей vs персанальныя дадзеныя

 

15 ноября 2021 г. вступил в силу Закон Республики Беларусь «О защите персональных данных», направленный на защиту персональных данных, прав и свобод физических лиц при обработке их персональных данных. Его принятия долгое время добивались правозащитные организации: раз, два.

Что такое персональные данные?

Под персональными данными Закон понимает «любую информацию, относящуюся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано».

Физическое лицо может быть идентифицировано, когда оно может быть прямо или косвенно определено, в частности через фамилию, имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

То есть под персональные могут подпадать абсолютно любые данные, если с помощью таких данных можно идентифицировать физическое лицо, а если вы можете отличить одного человека от других – этот человек идентифицирован.

К примеру, при определенных условиях, работа, увлечения физического лица тоже являются персональными данными. 

Будут ли относить к персональным данным не только данные, относящиеся к конкретному человеку, но и к его девайсам (к примеру, IP адрес, локация, рекламные идентификаторы), по аналогии с мировой практикой, пока однозначно ответить нельзя, так как все будет зависеть от того, как пойдет практика применения Закона.

 

Что относится к «обработке» персональных данных?

К обработке персональных данных относят любое действие, совершаемое с персональными данными, в частности:

  • сбор
  • систематизация
  • хранение
  • изменение
  • использование
  • обезличивание
  • блокирование
  • распространение
  • предоставление
  • удаление персональных данных.

 

Важно. Обработка Ваших данных должна быть соразмерна целям, первоначально заявленным. Для примера, если интернет-магазин запрашивает вашу дату рождения, вам обязаны обозначить, с какой цель необходимы данные и получить согласие на их обработку. Например, для того чтобы поздравить вас.

 

Оператор данных. Кто может обрабатывать ваши персональные данные?

Обработку персональных физических лиц могут осуществлять физические или юридические лица, которые самостоятельно или совместно с иными лицами организуют и (или) осуществляют обработку персональных данных. Это:

  • государственные органы
  • юридические лица
  • иные организации
  • физические лица, в том числе индивидуальные предприниматели.

Закон называет перечисленных лиц «операторами». Данное понятие по существу идентично GDPR – controller, закрепленному нормами европейского законодательства в Общем Регламенте Защиты Персональных Данных.

 

Согласие физического лица, в отношении которого осуществляется обработка персональных данных, – ключевое требование для обработки персональных данных.

Для обработки ваших персональных данных нужно согласие, которое должно соответствовать определенным критериям:

  • форма согласия.

Согласие должно выражать вашу волю и может быть дано:

  • в письменной форме либо
  • с помощью CMC-сообщения с кодом, либо
  • с помощью электронной почты, либо
  • путем проставления отметки на сайте.

Для примера, формулировка «Ознакомившись с текстом, вы автоматически соглашаетесь с нашей политикой конфиденциальности» не является соблюдением формы получения согласия, однако, проставляя отметку (галочку в окне) на сайте о том, что вы ознакомились с текстом прикрепленной политики конфиденциальности и соглашаетесь с ней, будет являться предоставлением согласия.

 

  • согласие должно быть свободным.

Например, незаконным будет установление требования о возможности получения услуг только после предоставления согласия на обработку персональных данных либо установление требования о возможности размещения заказа в интернет-магазине только после предоставления согласия на обработку персональных данных с целью предоставления рекламной рассылки.

 

  • согласие должно носить информированный характер

До получения согласия, физическому лицу простым и ясным языком в обязательном порядке должна быть предоставлена информация о цели обработки персональных данных, их перечне, сроке, на который дается согласие, информация о лицах, уполномоченных на обработку персональных данных, а также о перечне действий на совершение которых дается согласие, должны быть разъяснены права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия.

 

! Есть исключения (ст. 6 Закона «О защите персональных данных»), когда согласие не требуется, для примера:

  • в отношении ранее распространённых персональных данных до момента заявления субъектом данных требования о прекращении обработки или их удалении;
  • для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
  • в рамках трудовых отношений (наниматель-работник);
  • когда обработка данных является необходимым условием для выполнения обязанности (полномочия, процедуры), предусмотренной законодательством и т.д. (см. текст Закона).

 

 

ВАШИ ПРАВА

Вы имеете право:

  • на отзыв согласия,
  • на получение информации об обработке ваших персональных данных и их изменение,
  • на информирование о предоставлении ваших персональных данных третьим лицам,
  • требовать прекращения обработки ваших персональных данных и (или) их удаления,
  • обжаловать действия (бездействие) и решения оператора.

 

Отзыв согласия

Вы вправе в ЛЮБОЕ ВРЕМЯ без объяснения причин ОТОЗВАТЬ СВОЕ СОГЛАСИЕ на обработку персональных данных. Для это необходимо подать заявление на имя оператора, обрабатывающего ваши персональные данные. Заявление подается либо в письменной форме, либо в виде электронного документа, либо в той форме, посредством которой получено первоначальное согласие на обработку Ваших персональных данных. Самым простым вариантом будем подача письма на адрес электронной почты организации в свободной форме с содержанием обязательным данных, приведенных ниже.

 

Заявление физического лица на отзыв согласия должно содержать его:

  • фамилию, собственное имя, отчество (если таковое имеется),
  • адрес места жительства (места пребывания);
  • дату рождения;
  • идентификационный номер, при отсутствии такого номера – номер документа, удостоверяющего личность (в случае, если эта информация указывалась при даче
  • своего согласия или обработка персональных данных осуществляется без его согласия),
  • изложение сути требований;
  • личную подпись либо электронную цифровую подпись.

 

После получения заявления обработка персональных данных прекращается и осуществляется их удаление.  

Если отсутствуют технические возможности удаления персональных данных, должны быть приняты меры по недопущению дальнейшей обработки персональных данных, включая их блокирование.

О результатах рассмотрения отзыва вас обязаны уведомить в 15-тидневный срок.

Важно понимать, что осуществляемая до отзыва обработка персональных данных не является нарушением закона.

 

Получение информации об обработке своих персональных данных

Вы имеете право на получение следующей информации, касающейся обработки ваших персональных данных:

  • кто обрабатывает ваши персональные данные (информация о наименовании, месте нахождения оператора (уполномоченного лица), обрабатывающего персональные данные);
  • подтвердить сам факт обработки;
  • узнать перечень обрабатываемых персональных данных и источник их получения;
  • узнать основания и цели обработки персональных данных;
  • узнать срок, на который дано согласие на обработку персональных данных.

Для получения информации об обработке своих персональных данных вам необходимо подать заявление на имя оператора.

Обосновывать свой интерес к запрашиваемой информации не требуется.

Заявление подается либо в письменной форме, либо путем электронного обращения и должно содержать данные аналогичные данным заявления физического лица на отзыв согласия.

Срок рассмотрения заявления – 5 рабочих дней.

 

Внесение изменений в свои персональные данные

Вы вправе требовать внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными.

Внесение изменений в персональные данные осуществляется путем подачи заявления, содержащего данные аналогичные данным заявления физического лица на отзыв согласия с приложением документов, подтверждающих необходимость внесения изменений в персональные данные. Заявление подается в письменной форме либо путем электронного обращения.

Срок для внесения изменений – 15 дней.

 

Получение информации о предоставлении персональных данных третьим лицам

Вы вправе получать информацию о предоставлении своих персональных данных третьим лицам (т.е. куда ваши персональные данные были переданы или кем еще используются ваши персональные данные) один раз в календарный год бесплатно.

Получение информации осуществляется путем подачи заявления, содержащего данные аналогичные данным заявления физического лица на отзыв согласия. Заявление подается в письменной форме либо путем электронного обращения.

Срок для ответа – 15 дней.

 

Требование о прекращения обработки персональных данных и (или) их удаления

Вы вправе требовать прекращения обработки своих персональных данных, включая их удаление.

Требование о прекращения обработки персональных данных и (или) их удаления осуществляется путем подачи заявления, содержащего данные аналогичные данным заявления физического лица на отзыв согласия. Заявление подается в письменной форме либо путем электронного обращения.

Срок для прекращения обработки персональных данных и (или) их удаления – 15 дней.

 

Порядок обжалования действий (бездействия) и решений оператора

Жалоба на действия (бездействие) и решения о незаконной обработке ваших персональных данных подается в уполномоченный орган по защите прав субъектов персональных данных - Национальный центр защиты персональных данных (его создание предусмотрено Указом №422 «О мерах по совершенствованию защиты персональных данных»). Принятое центром решение может быть обжаловано в суд.

 

Ответственность за нарушение

За нарушение законодательства по вопросам обработки персональных данных может наступать гражданская, административная и уголовная ответственность.

Вы вправе требовать возмещения имущественного вреда и понесенных убытков, а также морального вреда, причиненного вследствие нарушения ваших прав на обработку персональных данных.

Несоблюдение мер обеспечения защиты персональных данных, умышленное незаконное распространение персональных данных, незаконная обработка, нарушение прав физических лиц, в отношении которого осуществляется обработка персональных данных, влечет административную ответственность. В зависимости от нарушения санкция может налагаться на физическое лицо (руководителя) или юридическое лицо и размер штрафа может достигать 200 базовых величин.

Уголовная ответственность за нарушение требований об обработке персональных данных предусмотрена в статьях 203-1 «Незаконные действия в отношении информации о частной жизни и персональных данных» и 203-2 «Несоблюдение мер обеспечения защиты персональных данных».

 

Если Вы считаете, что были нарушены ваши права, можете обратиться за правовой помощью в Белорусский Хельсинкский Комитет через [email protected], а также в другие правозащитные организации, например в Human Constanta.