Принят закон «О защите персональных данных»

В Беларуси принят закон от 07.05.2021 г. № 99-З «О защите персональных данных», который коренным образом изменит вопросы обработки персональных данных, закрепит новые права и обязанности, механизмы защиты прав субъектов персональных данных уже с 15.11.2021 г.

Представляем Вашему вниманию ключевые изменения.

Что такое персональные данные?

Персональные данные (далее – «ПД») – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (т.е. прямо или косвенно определено, в частности, через ФИО, дату рождения, идентификационный номер или через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности).

В отдельную группу ПД включены:

• специальные ПД – персональные данные, касающиеся расовой или национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, биометрические и генетические ПД;
• общедоступные ПД – персональные данные, распространенные самим субъектом ПД либо с его согласия или распространенные в соответствии с требованиями законодательных актов.

Для справки. В настоящее время ПД – это основные и дополнительные ПД физического лица, подлежащие внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо.

Что такое обработка ПД?

Обработка ПД – любое действие или совокупность действий, совершаемые с ПД, включая их сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление и удаление.

Как осуществляется обработка ПД?

Обработка ПД должна:

• совершаться на законном основании;
• быть соразмерной заявленным целям;
• осуществляться с согласия субъекта ПД, если оно необходимо;
• ограничиваться достижением конкретных, заранее заявленных законных целей. Не совместимая с первоначально заявленными целями обработка ПД не допускается. Если требуется изменение цели их обработки, оператору необходимо повторно получать согласие субъекта ПД;
• носить прозрачный характер: субъекту ПД предоставляется соответствующая информация, касающаяся обработки его ПД.

Как получить согласие субъекта ПД и когда не требуется его получать?

Согласие субъекта ПД – свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих ПД. Оно может быть получено в письменной форме, в виде электронного документа или в иной электронной форме (в отдельных случаях только в письменной форме или только в виде электронного документа).

До получения согласия оператору необходимо:

• в письменной или электронной форме предоставить субъекту ПД информацию, содержащую:
• наименование (ФИО (при наличии) и место нахождения (адрес места жительства/пребывания)) оператора, получающего согласие;
• цели обработки ПД;
• перечень ПД, на обработку которых дается согласие;
• срок, на который дается согласие;
• информацию об уполномоченных лицах в случае, если обработка ПД будет осуществляться ими;
• перечень действий с ПД, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПД;
• иную информацию, необходимую для обеспечения прозрачности процесса обработки ПД.
• простым и ясным языком разъяснить субъекту ПД его права, связанные с обработкой ПД, механизм реализации таких прав, а также последствия дачи согласия/отказа в даче такого согласия. Эта информация должна быть предоставлена оператором в письменной или электронной форме отдельно от иной предоставляемой им информации.

Кроме того, оператор обязан:

• обеспечивать защиту ПД;
• получать согласие субъекта ПД, если это необходимо;
• принимать меры по обеспечению достоверности обрабатываемых им ПД, при необходимости обновлять их;
• доказывать факт получения согласия;
• отвечать перед субъектом ПД за действия уполномоченного лица, которому поручена их обработка.

Не требуется согласие в следующих случаях:

• при ведении индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, a также профессионального пенсионного страхования;
• при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта ПД в определенных случаях;
• в целях назначения и выплаты пенсий, пособий;
• для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
• при получении ПД оператором на основании договора, заключенного (заключаемого) с субъектом ПД, в целях совершения действий, установленных этим договором;
• при обработке ПД, когда они указаны в документе, адресованном оператору и подписанном субъектом ПД, в соответствии с содержанием такого документа;
• если законодательством прямо предусматривается обработка ПД без согласия субъекта ПД и т.д.

Более того, с 01.03.2021 г. была усилена ответственность за работу с персональными данными, в связи с чем рекомендуем внимательно ознакомиться с ключевыми изменениями.

Если у Вас остались вопросы или Вам необходима профессиональная поддержка в вопросах, связанных с законодательством о персональных данных, эксперты Минского офиса SCHNEIDER GROUP будут рады Вам помочь.