Поговорим о том, почему определение персональных данных в РБ во многом совпадает с дефиницией GDPR Евросоюза, каковы различия в порядке трансграничной передачи данных в этих странах и о других законодательных тонкостях.
КТО ПРОВЕРЯЕТ
Законодательные правила, направленные на защиту персональных данных (ПД), встречаются в Конституции Республики Беларусь и других нормативных актах, но основным является закон РБ 99-З «О защите персональных данных».
Уполномоченным и надзорным органом по защите ПД в Беларуси является Национальный центр защиты персональных данных. Несмотря на то, что Центр появился относительно недавно, он ведет активную просветительскую деятельность среди операторов, дает пояснения по работе с ПД, разрабатывает основные формы документов (политики, согласия на обработку личной информации) и проводит проверки.
В Казахстане также действует отдельная норма, посвященная ПД, – закон 90-V «О персональных данных и их защите». Кроме того, в республике есть большое количество подзаконных актов, которые регулируют обработку персданных и о которых оператору при работе в этой юрисдикции надо будет всегда помнить.
Уполномоченным органом по защите субъектов персональных данных в Казахстане является Министерство цифрового развития, инноваций и аэрокосмической промышленности страны. Также в законе о персданных страны указано, что органы прокуратуры являются высшим надзорным органом за соблюдением защиты прав субъектов ПД.
Согласно статье 1 закона «О защите персональных данных» Республики Беларусь, персональными данными является «любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано. Определение персональных данных в РБ во многом совпадает с дефиницией общего регламента защиты данных (GDPR) Евросоюза.
У Казахстана достаточно уникальный путь развития сферы защиты личной информации. Определение персональных данных в этой стране похоже на термин в российском законодательстве: «сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе». При этом,
УТОЧНЕНИЯ О МАТЕРИАЛЬНЫХ НОСИТЕЛЯХ ПЕРСДАННЫХ НЕТ НИ В РОССИЙСКОМ, НИ В БЕЛОРУССКОМ ЗАКОНОДАТЕЛЬСТВЕ.
Получается, что закон не определяет, что такое электронный, бумажный и другой материальный носитель. Может встать вопрос о юридическом статусе тех ПД, которые были сообщены субъектом устно или с помощью голосовой связи.
Согласно законодательству Казахстана, они не будут персональными данными.
ЗАИНТЕРЕСОВАННЫЕ СТОРОНЫ
Согласно российскому закону 152-ФЗ «О защите персональных данных» в обработке ПД участвуют три основные стороны:
- операторы, которые определяют цели обработки, объем обрабатываемой информации
- субъект, чьи ПД обрабатываются
- лицо, обрабатывающее персданные по поручению
Закон «О персональных данных» РФ не содержит конкретного определения, кто является лицом, обрабатывающим персональные данные по поручению. В законодательстве Беларуси можно увидеть те же три стороны: оператор, субъект и уполномоченное лицо. При этом определение уполномоченного лица в законодательстве республики содержится, что выгодно отличает его от 152-ФЗ России.
Состав сторон, участвующих в обработке личных сведений, в законодательстве Казахстана отличается от российского и белорусского. В нем участвуют:
- оператор базы, содержащей ПД, – осуществляет их сбор и обработку
- собственник базы, содержащей ПД, – лицо, которое владеет и распоряжается этой системой как своей собственностью
- третье лицо – это не оператор, собственник базы или субъект ПД, но оно связано обстоятельствами и вынуждено обрабатывать такую информацию
- субъект персональных данных
В законодательстве Казахстана нет института “обработчика ПД”. К сожалению, операторы на практике сталкиваются с проблемами из-за того, что не упоминается возможность оператора поручить обработку личной информации третьему лицу. Таким образом, все риски ответственности лежат на операторе.
ОБРАБОТКА И ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА
Принципы обработки персданных в Беларуси в основном совпадают с российскими, но есть отличие. Принцип, закрепленный в 152-ФЗ, – запрет на объединение баз данных с персональными данными в несовместимых целях обработки отсутствует в законодательстве Республики Беларусь. Кроме того, там отдельно прописан принцип прозрачности обработки ПД – она обязана носить прозрачный характер, должна быть понятна субъекту, оператор должен вовремя реагировать на его запросы.
В принципах обработки ПД Казахстана сформулированы законная и справедливая основа, конфиденциальность, соблюдение конституционных прав и свобод человека и гражданина. Еще один принцип равенства сторон субъекта и собственника базы вызывает много вопросов. Законодательство в этой сфере как раз таки говорит о неравенстве, о том, что есть слабая сторона – субъект персданных, который особенно нуждается в защите.
В ЧАСТИ ПРАВ СУБЪЕКТОВ ПД ЗАКОНОДАТЕЛЬНЫЕ ПОДХОДЫ БЕЛАРУСИ, КАЗАХСТАНА И РОССИИ ПРАКТИЧЕСКИ ИДЕНТИЧНЫ
Но право на отзыв согласия на обработку данных в Казахстане ограничено: субъект не может отозвать свое согласие, если оно не соответствует закону или если у субъекта есть неисполненные обязательства. Это уникальное обстоятельство, потому что право на отзыв нельзя ограничивать.
Российский 152-ФЗ подходит к трансграничной передаче персональных данных более гибко, чем законодательство Беларуси. Российское определение содержит три критерия:
- Трансграничная передача возникает, если передаются именно ПД
- Данные передаются на территорию иностранного государства
- Данные передаются иностранному юридическому или физическому лицу, а также госоргану
Если компания направляет работника в командировку, откуда он будет получать доступ к персданным и обрабатывать их, – это не будет являться трансграничной передачей с точки зрения 152-ФЗ.
Аналогичное белорусское законодательство содержит только два критерия:
- Трансграничная передача персданных.
- На территорию иностранного государства – в любых случаях, если ПД пересекают границу республики, происходит трансграничная передача.
В законодательстве России и Беларуси также есть деление на «адекватные» страны (подписавшие «Конвенцию о защите физических лиц при автоматизированной обработке персональных данных») и «неадекватные», то есть обеспечивающие и не обеспечивающие надлежащую защиту персональных данных.
Определение трансграничной передачи в Казахстане также более жесткое, чем в России, и похоже на белорусское: передача ПД на территорию иностранного государства.
Таким образом, нормативная база, регламентирующая обработку персональных данных граждан в России, Беларуси и Казахстане, во многом схожа, однако есть и существенные различия.