Office Life
5

Как регулируются персональные данные в Беларуси

Главная претензия к приложению «Сбербанк Онлайн» — то, что оно собирает и отправляет в Сбербанк чересчур большой объем персональных данных своего пользователя. В России это рассматривают как проблему, а вот в Беларуси пока не было слышно громких скандалов со сбором личных данных людей кем бы то ни было — то ли частными, то ли государственными структурами.

В Беларуси тема защиты персональных данных выглядит побочной повесткой: только в этом году планируется утвердить концепцию закона о персональных данных и в 2018 году уже принять сам закон. При этом уже действующие законы и сейчас достаточно жестко защищают наши права, но, с другой стороны, они не очень конкретны.

В соответствии с Законом Республики Беларусь от 10.11.2008 №455-З (ред. от 11.05.2016) «Об информации, информатизации и защите информации» (далее — Закон об информации) персональные данные — основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами РБ внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо. Персональные данные относятся к информации, распространение и предоставление которой ограничено.

Закон Республики Беларусь от 21.07.2008 №418-З (ред. от 04.01.2015) «О регистре населения» (далее — Закон о регистре населения) определяет следующие основные персональные данные: идентификационный номер, фамилия, собственное имя, отчество, пол, число, месяц, год рождения, место рождения, цифровой фотопортрет, данные о гражданстве (подданстве), данные о регистрации по месту жительства и (или) месту пребывания, данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным.

Дополнительными персональными данными по Закону о регистре населения являются: данные о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица, о высшем образовании, ученой степени, ученом звании, о роде занятий, о налоговых обязательствах и некоторые иные.

Закон об информации содержит расширительную формулировку «и иные данные, позволяющие идентифицировать такое лицо», что свидетельствует о том, что белорусское законодательство не ограничивается перечнем, установленным Законом о регистре населения, но распространяет свое действие на любую информацию, способную идентифицировать определенное лицо.

Закон об информации, тем не менее, не уточняет, о какой идентификации идет речь — прямой или косвенной. Некоторые виды данных (например, IP-адрес) могут лишь косвенно идентифицировать субъекта — в совокупности с иными данными. В законодательстве большинства западных государств подобный аспект урегулирован, и «косвенные» персональные данные также подлежат такой же защите, как и «прямые». Белорусское законодательство пока не содержит таких деталей.

В соответствии с Законом об информации при сборе, обработке, хранении персональных данных необходимо получать согласие физического лица, к которому эти персональные данные относятся. При этом согласие должно быть дано в письменной форме.

Ни Закон об информации, ни иные нормативно-правовые акты не уточняют, что подразумевается под согласием в «письменной форме». Гражданский кодекс лишь содержит определение того, чем является совершение сделки в письменной форме — к ней, например, относится и обмен факсимильными подписями, и иными аналогами подписей.

Применение подобного положения возможно по аналогии и к выражению согласия на сбор, обработку, хранение и пользование персональными данными. Тем не менее в отсутствие четкого указания на форму согласия в законодательстве многие субъекты (например, визовые центры при обработке анкет) вынуждены собирать подписи «вручную» — при помощи форм-согласий, которые подписываются лицом, к которому относятся персональные данные.

Подобное положение затрудняет работу многим компаниям — простых кликов «я согласен» в некоторых случаях бывает недостаточно, и формально может возникнуть нарушение Закона об информации. Некоторые компании (в частности, онлайн-магазины) включают согласие на сбор персональных данных в публичные договоры (договоры присоединения), заключение которых возможно простым присоединением (например, покупкой товара в магазине). Законодательно они приравниваются к письменным. Тем не менее здесь речь опять-таки идет о письменной форме договора, а не согласия как такового.

Как и в случае со сбором персональных данных, любая их передача третьей стороне нуждается в отдельном письменном согласии лица, к которому эти персональные данные относятся. Такое согласие может быть получено непосредственно при сборе персональных данных. Здесь, тем не менее, также возникает вопрос о возможности получения электронного согласия.

С учетом того, что трансграничная передача данных сейчас стала нормальной практикой (особенно в ИТ-сфере), необходимость получения согласия в письменной форме не способствует упрощению и ускорению информационного обмена.