"Это накроет всех". Представлен проект закона о личных данных
4 июля разработчики закона «О персональных данных» представили для обсуждения проект документа. Закон запретит обрабатывать личные данные без согласия, а также даст белорусам право требовать их удаления. Правда, уполномоченный орган по защите данных пока не выбрали.
Обсуждение законопроекта продлится до 11 августа, оставить отзывы можно на форуме Национального центра правовой информации.
Согласно документу, персональные данные — это любая информация, которая может идентифицировать человека. Персональные данные могут быть в том числе биометрическими (отпечатки пальцев) и генетическими (ДНК).
«Это накроет (в хорошем смысле) всех, — отмечает Алексей Козлюк, правозащитник и исследователь Лаборатории цифровых свобод правозащитной организации Human Constanta. — Закон применяется в первую очередь к автоматической обработке данных, а также к неавтоматизированной обработке, когда информация собирается в каталог и позволяет вести поиск по признакам».
Обработка данных — только с вашего согласия
Никто не сможет обрабатывать или распространять ваши персональные данные без вашего согласия. А точнее «свободного, конкретного, информированного выражения воли». Оно может быть письменным или электронным — например, SMS-сообщение или галочка в чекбоксе на сайте.
Среди ситуаций, в которых согласие не нужно, — защита жизни или здоровья, розыск преступников, осуществление правосудия и контроль за соблюдением налогового законодательства. Также можно обрабатывать те персональные данные, которые вы сами сделали общедоступными. Не являются конфиденциальными имена и должности госслужащих.
Субъекты персональных данных получат право знакомиться со своими персональными данными, требовать внести в них изменения. Можно будет требовать удаления своих персональных данных, если их собрали или обработали без оснований или «они не являются необходимыми для заявленной цели их сбора».
Согласие на обработку можно будет отозвать. В этом случае оператору придется не позднее, чем в пятнадцатидневный срок прекратить действия с данными, удалить их или заблокировать.
«Публикация политики приватности станет обязательной для всех операторов»
Алексей Козлюк отмечает, что в белорусском проекте много сходств с GDPR — европейским регламентом, который вступил в силу в мае.
«Хорошая новость: операторам не надо регистрироваться ни в каких реестрах, — отмечает эксперт. — Очень хорошая новость: требования локализации данных, то есть хранения данных белорусских пользователей в национальном сегменте, тоже нет. Публикация политики приватности станет обязательной для всех операторов. И вот еще, каждая организация должна будет назначить DPO (сотрудника или отдел по защите персональных данных)».
Согласно проекту, орган по защите прав субъектов данных будет определен президентом.
«По срокам, месту в системе госорганов, формальной независимости и так далее никакой ясности, — подчеркивает Алексей Козлюк. — Это плохо, так как уполномоченный орган — ключевой элемент системы. Хороший закон + плохой уполномоченный (или его отсутствие) = неработающий закон. С другой стороны, в тексте нет ничего, что намекает на невозможность хорошего исхода, то есть создания независимого органа с достаточными полномочиями».
Надзором за исполнением закона займется прокуратура. Лица, виновные в нарушении закона, понесут ответственность, «предусмотренную законодательными актами». Какую именно — пока неизвестно.