Как обстоят дела сейчас

Система регулирования и защиты персональных данных в Беларуси не вполне развита и во многом отстает от международных стандартов. В Беларуси пока не было комплексного закона, регулирующего защиту персональных данных, а также уполномоченного органа, защищающего права граждан в связи с обработкой данных, в то время как в странах ЕС такие институты существуют с 80-х годов прошлого века.

Беларусь не присоединилась к Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных от 28 января 1981 г. ETS № 108 (Конвенция Совета Европы 108), которая представляет собой международно признанный стандарт в сфере защиты качества, использования и защиты персональных данных. В классификации стран с действующей системой защиты персональных данных, включая ЕС и страны Совета Европы, Беларусь не обеспечивает адекватный режим защиты персональных данных.

Если коротко о законодательстве, то в Беларуси сейчас есть подробное регулирование технической защиты данных, но ключевые вопросы вообще никак не прописаны. К таким вопросам относятся: понятия, принципы защиты персональных данных, участники правоотношений, их обязанности, права субъектов данных, основания обработки, контроль за исполнением.

Правоприменительную практику оценить сложно, поскольку отсутствует полноценный общественный контроль в сфере регулирования персональных данных. Государственный контроль по факту сводится к вопросам информационной безопасности, без фокуса на права субъектов данных и информирования о результатах работы. Практика защиты прав субъектов персональных данных, пострадавших от утечек данных и иных злоупотреблений, отсутствует, не считая политически-мотивированных дел о распространении данных силовиков и госслужащих.

Что предусматривает новый закон

Концепция закона о персональных данных появилась еще в 2016 году, в 2019 законопроект был принят в первом чтении и отложен в долгий ящик. И только сейчас был принят Закон от 7 мая 2021 г. № 99-З «О защите персональных данных».

В новом законе отражены наиболее важные элементы:

• определения персональных данных и базовых понятий;
• участники правоотношений, их права и обязанности;
• базовые принципы защиты персональных данных;
• согласие субъекта и другие основания для обработки персональных данных;
• права субъектов данных и  обязанности операторов (контролеров) и уполномоченных лиц (процессоров);
• орган, уполномоченный контролировать соблюдение законодательства о персональных данных;
• механизм привлечения к ответственности за нарушение правил.

В целом положения закона сформулированы с учетом положений Конвенции Совета Европы 108, а также общепринятых подходов к определению персональных данных в законодательстве зарубежных государств. Терминология, используемая в законопроекте наиболее схожа с законодательством Российской Федерации. По сравнению с текстом законопроекта 2019 года принципиальных изменений нет, но некоторые положения сформулированы логичнее. Так, например, сбор, распространение и предоставление персональных данных все же отнесли к обработке.

Проект Закона предусматривает, что его действие будет распространяться на действия с персональными данными, осуществляемые с использованием средств автоматизации или без использования таких средств. В последнем случае закон будет применяться только, когда персональные данные систематизированы определенным образом и возможен быстрый поиск информации (например, картотека в алфавитном порядке, по определенным годам и т.д.).

Положения Закона будут распространяться как на государственные органы и организации, так и на частные компании и отдельных лиц. Следуя общепринятой мировой практике, из сферы действия Закона прямо исключаются личное, семейное, домашнее и иное подобное использование персональных данных, а также защита государственных секретов.

Предусмотрено, что большинство норм Закона вступят в силу спустя 6 месяцев после принятия (в ноябре 2021 года). Это не большой срок, GDPR давал 2 года, а первоначальный текст законопроекта – 1 год.

Новый закон для бизнеса

К тексту вопросов не так много, как ожидали эксперты. Основная проблема может ждать бизнес, медиа и гражданское общество на этапе формирования правоприменительной практики.

Для бизнеса неприятной новостью может стать отсутствие легитимного интереса как основания для обработки. В юрисдикции GDPR это основание используется достаточно широко, в наших реалиях бизнес может попробовать заменить это основание на псевдо-свободное согласие или договор между субъектом и оператором.

Исполнение закона потребует пересмотра многих бизнес-процессов, усиления технической и организационной безопасности, обучения персонала, больше инструкций и политик, большей прозрачности в обработке данных и информирования субъектов. Также всем без исключения операторам придется ввести новую штатную единицу (DPO), тот же GDPR этого требует только при определенных условиях. Больше подробностей и список задач для бизнеса появится не раньше начала работы Уполномоченного органа по защите прав субъектов персональных данных, а он пока еще даже не создан. Это значит, что сроки подготовки к исполнению требований закона будут максимально короткими.

Вместе с тем, бизнес все же получит понятную правовую рамку для деятельности, которая к тому же не будет принципиально отличаться от требований регуляторов в соседних странах и на основных международных рынках.

Новый закон для медиа

Главный вопрос, который задают СМИ: как новый закон повлияет на свободное распространение информации? И здесь пока тоже нет ответа. Традиционно право на приватность, включая защиту персональных данных, необходимо балансировать со свободой информации. GDPR и, в первую очередь, судебная практика и национальные законодательства стран ЕС не допускают использования ограничений в отношении медиа и распространения информации в общественных интересах. В беларусском законе такой подход отражен лишь частично.

Исключения предусмотрены только для журналистов в узком толковании, а свобода поиска, сбора и распространения информации теми же сотрудниками онлайн-ресурсов (не СМИ), блогерами, фрилансерами, активистами-расследователями и т.д. ставится под угрозу. С учетом того, что протоколы по административным делам о нарушении правил обработки персональных данных будут составлять органы внутренних дел, качество правоприменительной практики и ее направленность может очень сильно исказить смысл закона.

Новый закон для граждан

В свете мирных протестов после президентских выборов 2020 года, беларусские de-facto власти взяли курс на защиту персональных данных в тех случаях, когда речь идет о деанонимизации данных сотрудников правоохранительных органов или другой чувствительной информации. Изменения в Кодекс об административных правонарушениях фактически запрещают распространение и сбор персональных данных силовиков и госслужащих, а практика по уголовным делам идет по пути ужесточение наказания за нарушение права на частную жизнь. Применение норм о защиты персональных данных и охране права на частную жизнь применяется в дискриминационной манере – преимущественно к оппонентам действующей власти.

Сможет ли новый закон поменять ситуацию и создать систему защиты информации о частной жизни для всех, а не только для избранных? Будут ли ограничены многочисленные базы данных, которые ведутся силовыми структурами, электронная слежка в интернете, бесконтрольное автоматизированное распознавание лиц на улицах? Вопросы в ближайшей перспективе являются риторическими. Впрочем, положения закона с некоторыми исключениями распространяются также на деятельность силовиков, включая ограничение сроков, целей и объема собираемых личных данных граждан. В Молдове и Грузии в свое время уполномоченные органы начинали свою деятельность как раз с наведения порядка со сбором и использованием данных правоохранительными органами. Однако такие действия возможны лишь при учреждении независимого Уполномоченного органа, что предусмотрено законом, но неясно, будет ли реализовано на практике.

Что касается споров граждан и бизнеса, обрабатывающего личные данные, здесь перспектив больше. И хоть в законе нет некоторых прав, предусмотренных GDPR, таких как право на переносимость данных и на пересмотр решений, принятых с использованием алгоритмов, основной набор прав все же есть. Это как раз та политически-нейтральная тема, в которой Уполномоченный орган может при желании проявить свою принципиальность.

Что в итоге

В итоге мы имеем хорошую задумку и неплохой текст закона, который появился в самое неподходящее для этого время. В целом, его можно оценить положительно в качестве первого и достаточно осторожного опыта регулирования нового института. И все же при формировании института защиты персональных данных слишком многое будет зависеть от правоприменительной практики, принципиальности и независимости Уполномоченного органа и судов, вовлеченности граждан в отстаивание своих прав, а также ресурсов бизнеса, которые можно направить на выстраивание новых процессов.  Возможно, в некоторых аспектах закон будет отвечать целям, которые в него заложены, но ждать чудес в условиях экономического кризиса и правового дефолта не приходится.