До недавнего времени вопрос работы с персональными данными в Республике Беларусь не был урегулирован на уровне комплексного нормативного правового акта. В целях системного регулирования данного вопроса был подготовлен Закон Республики Беларусь «О защите персональных данных» (далее – Закон), который вступает в силу 15 ноября 2021 года. Положения Закона основываются на концепции проекта Закона Республики Беларусь «О персональных данных», разработанной Национальным центром законодательства и правовых исследований Республики Беларусь.
Закон направлен на обеспечение защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных.
Законом изменен подход к определению понятия персональных данных посредством отказа от четкого перечня сведений, относящихся к персональным данным. Так, под персональными данными понимается любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано. Такое определение сформулировано с учетом положений Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных от 28 января 1981 г. ETS № 108, а также общепринятых подходов к определению персональных данных в законодательстве зарубежных государств.
Закон регулирует обработку персональных данных:
- с использованием средств автоматизации (это обработка в рамках информационных систем и ресурсов);
- без использования средств автоматизации, если осуществляется систематизация данных по определенным критериям (картотеки, списки, базы данных, журналы).
При этом Закон не распространяется на отношения, касающиеся случаев обработки персональных данных:
- в процессе личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью (переписка в социальных сетях, с помощью электронной почты, сохранение и систематизация адресатов);
- отнесенных к государственным секретам.
В Законе детализированы основания для обработки персональных данных. По общему правилу обработка персональных данных должна осуществляться с согласия субъекта персональных данных, за исключением предусмотренных законодательством случаев. Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме. При этом обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей.
Законом предусматриваются основные права субъектов персональных данных, в частности субъект вправе в любое время без объяснения причин отозвать свое согласие, получить информацию об обработке персональных данных и о предоставлении персональных данных третьим лицам, изменить персональные данные, требовать прекращения обработки и удаления персональных данных, обжаловать действия и решения оператора персональных данных в уполномоченный орган.
Оператор обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных. При этом Законом определен ряд мер, которые являются обязательными к соблюдению.
Законом также предусмотрено создание уполномоченного органа по защите прав субъектов персональных данных. Создание специального органа, отвечающего за обеспечение соблюдения требований законодательства в сфере работы с персональными данными, является одной из наиболее важных мер по защите персональных данных в государстве.