Останнім часом питання захисту персональних даних все більше на слуху: він постійно фігурує в ЗМІ, на нього звертають увагу як приватний сектор, так і держава. В кінцевому підсумку і звичайні громадяни замислюються, що відбувається з тієї особистою інформацією, яку про них збирають державні органи і приватні компанії: аж надто багато ситуацій, в яких нашим громадянам необхідно ділитися своєю приватною інформацією - від реєстрації в поліклініці і до використання більшості інтернет- ресурсів.
В зарубіжних країнах законодавство про захист персональних даних відрізняється динамічністю - так в Європейському союзі в минулому році був прийнятий новий Регламент про захист персональних даних замість старої Директиви, в Російській Федерації значно збільшився розмір адміністративних санкцій за порушення, пов'язані з неправомірним збиранням, зберіганням, обробкою і використанням персональних даних, в США відбуваються нескінченні дебати про межі втручання держави в особисте життя людини.
У Білорусі на цьому тлі тема захисту персональних даних виглядає побічної порядком: тільки в цьому році планується затвердити концепцію закону про персональні дані і в 2018 році вже прийняти сам закон.
Тимофій Савицький, юридична фірма COBALT, розгляне основні аспекти захисту персональних даних, які на сьогодні врегульовуються білоруським законодавством.
Що таке персональні дані?
Відповідно Закон Республіки Білорусь від 10.11.2008 N 455-З (ред. Від 11.05.2016) "Про інформацію, інформатизації і захисту інформації" (далі - Закон про інформацію), персональні дані - основні і додаткові персональні дані фізичної особи, підлягають відповідно до законодавчих актів Республіки Білорусь внесенню в реєстр населення, а також інші дані, що дозволяють ідентифікувати таку особу. Персональні дані відноситься до інформації, поширення і надання якої обмежено.
Закон Республіки Білорусь від 21.07.2008 N 418-З (ред. Від 04.01.2015) "Про регістрі населення" (далі - Закон про регістрі населення) визначає наступні основні персональні дані: ідентифікаційний номер, прізвище, власне ім'я, по батькові, стать, число, місяць, рік народження, місце народження, цифровий фотопортрет, дані про громадянство (підданство), дані про реєстрацію за місцем проживання та (або) місця перебування, дані про смерть або оголошення фізичної особи померлою, визнання безвісно відсутнім, недієздатним, обмежено дієздатним .
Додатковими персональними даними, відповідно до Закону про регістрі населення, є: дані про батьків, опікунів, піклувальників, сімейний стан, дружині, дитині (дітей) фізичної особи, про вищу освіту, вчений ступінь, вчене звання, про рід занять, про податкові зобов'язання і деякі інші.
Закон про інформацію містить розширювальну формулювання «та інші дані, що дозволяють ідентифікувати таку особу», що свідчить про те, що білоруське законодавство не обмежується переліком, встановленим Законом про регістрі населення, але поширює свою дію на будь-яку інформацію, здатну ідентифікувати певну особу.
Закон про інформацію, проте, не уточнює, про яку ідентифікації йдеться - прямої або непрямої. Деякі види даних (наприклад, IP-адреса) можуть лише побічно ідентифікувати суб'єкта - в сукупності з іншими даними. У законодавстві більшості західних держав подібний аспект врегульовано і «непрямі» персональні також підлягають такій же захист, як і «прямі». Білоруське законодавство поки не містить таких деталей.
Обов'язкове письмову згоду на збір, обробку, зберігання та користування
Відповідно до Закону про інформацію при зборі, обробці, зберіганні персональних даних необхідно отримувати згоду фізичної особи, до якого ці персональні дані відносяться. При цьому, згода має бути дана в письмовій формі.
Ні Закон про інформацію, ні інші нормативно-правові акти не уточнюють, що мається на увазі під згодою в «письмовій формі». Цивільний кодекс лише містить визначення того, чим є вчинення правочину в письмовій формі, - до нього, наприклад, відноситься і обмін факсимільними підписами і іншими аналогами підписів.
Застосування такого стану можливо за аналогією і до вираження згоди на збір, обробку, зберігання та користування персональними даними. Проте, за відсутності чіткого зазначення на форму згоди в законодавстві, багато суб'єктів (наприклад, візові центри при обробці анкет) змушені збирати підписи «вручну» - за допомогою форм-згод, які підписуються особою, до якого відносяться персональні дані.
Подібне становище, до слова, ускладнює роботу багатьом компаніям - простих кліків «я згоден» в деяких випадках може не вистачити, і формально може виникнути порушення Закону про інформацію. Деякі компанії (зокрема, онлайн-магазини) включають згоду на збір персональних даних в публічні договори (договори приєднання), висновок яких можливо простим приєднанням (наприклад, покупкою товару в магазині). Законодавчо вони прирівнюються до письмових. Проте, тут мова знову-таки йде про письмову форму договору, а не згоди як такого.
Вживання заходів щодо захисту персональних даних
Закон про інформацію накладає зобов'язання на будь-яку особу, що збирає персональні дані, вживати заходів щодо їх належного захисту до моменту, коли особа, до якого відносяться персональні дані, дає згоду на їх розголошення або до моменту знеособлення персональних даних.
Закон не містить точних вказівок на те, якими ці заходи повинні бути. Проте, виходячи з практики та застосовуваних підзаконних актів, під захистом персональних даних як інформації, поширення якої обмежено, розуміються організаційні і технічні заходи захисту (наприклад, передбачені наказом ОАЦ № 62). До організаційних заходів може відноситься прийняття внутрішніх положень по роботі з персональним, до технічних - застосування криптографічного захисту.
Обов'язкове письмову згоду на подальшу передачу персональних даних
Як і у випадку зі збором персональних даних, будь-який трансфер потребує окремого письмової згоди особи, до якого ці персональні дані відносяться. Така згода може бути отримано безпосередньо при зборі персональних даних. Тут, проте, також виникає питання про можливість отримання електронного згоди.
З урахуванням того, що транскордонна передача даних зараз стала нормальною практикою (особливо в ІТ-сфері), необхідність отримання згоди в письмовій формі не сприяє спрощенню і прискоренню інформаційного обміну.
Право на ознайомлення з персональними даними
Будь-яка особа, про яку збираються персональні дані, має право на ознайомлення з тим, які і в якому обсязі персональні дані містяться про нього в певних системах (у певних осіб).
Відповідальність за порушення законодавства про персональні дані
Адміністративної відповідальності за порушення законодавства про персональні дані поки немає. На даний момент відомо, що в КпАП будуть вноситися зміни, згідно з якими за порушення законодавства про персональні дані накладатиметься штраф до 20 базових величин.
Кримінальний кодекс містить статтю 179 ( «незаконне збирання або поширення інформації про приватне життя), проте на практиці вона не застосовується для ситуацій з незаконного розголошення та поширення персональних даних.
Що далі?
Як видно з аналізу поточного законодавства Республіки Білорусь у сфері захисту персональних даних, в даний час воно досить фрагментарно і зачіпає лише наступні аспекти:
- Дефініцію персональних даних;
- Необхідність отримання письмової згоди при зборі, обробці, зберіганні, користуванні та подальшої передачі персональних даних;
- Обов'язок щодо вжиття заходів по захисту персональних даних;
- Право суб'єктів на отримання інформації про те, які персональні дані про нього зібрані і в якому обсязі.
У законодавстві поки не міститься розмежування на чутливі (наприклад, дані про здоров'я) і нечутливі персональні дані (у чутливих даних велика захист), конкретних обов'язків оброблювачів персональних даних і прав суб'єктів персональних даних, санкцій за порушення законодавства про персональні дані та багатьох інших принципів, прийнятих в європейських державах, Російської Федерації та багатьох інших країнах.
Відсутність профільного регулювання має ряд негативних наслідків як для громадян, так і для бізнесу, таких як, наприклад, низька захист прав та інтересів громадян, невизначеність міжнародного бізнесу при виході на ринок Білорусі, суперечливість застосування норм чинного законодавства. Закон про персональні дані (2018) ставить на меті дозволити виділені проблеми.
Що таке персональні дані?Що далі?
