Белорусский закон о защите персональных данных против европейского GDPR. Ключевые отличия
Вслед за Евросоюзом в Беларуси также решили законодательно расписать, как компаниям правильно работать с персональными данными пользователей. Опубликован предварительный вариант документа, и он во многом похож на GDPR. Правда, менее жёсткий по отношению к компаниям и сервисам. Юристы компании REVERA Гай Маевский и Елена Бонина нашли семь принципиальных отличий двух документов.
Сфера действия
Положения GDPR применяются, если:
— ваша компания или любой из её офисов находится на территории ЕС;
— вы предлагаете товары или услуги резидентам ЕС;
— вы обрабатываете данные жителей Евросоюза.
У белорусского законопроекта более узкая сфера действия. Территория, на которую распространяются нормы, не указана. Соответственно, документ будет действовать только на территории нашей страны.
Передача данных другим
GDPR дает возможность передачи собранных сведений информации в третьи страны, даже если эти страны не предоставляют надлежащий уровень защиты информации. Для этого достаточно подписать специальное допсоглашение и стандартные условия о передаче персональных данных.
Белорусский законопроект разрешает передачу персональных данных только в страны с надлежащим уровнем защиты. Правда, пока неясно, как этот уровень будут определять и что это за страны.
Согласие на обработку данных
Одно из оснований для обработки данных в соответствии с GDPR — согласие, причем надлежащее. Сервис не может заранее проставлять галочки в нужных ему местах, а все правила должны быть сформулированы на простом и понятном языке.
По европейскому регламенту, согласие может быть дано как письменно, так и устно. В Беларуси — только на бумаге или в электронной форме.
Это новое определение для белорусского законодательства. К электронным формам относятся:
- электронный документ;
- указание персональных данных после получения СМС или email;
- простановка галочек или других отметок на интернет-ресурсе.
Без законного интереса
Согласие пользователя — это лишь одно из оснований для обработки данных. В отличие от GDPR, в белорусском законопроекте отсутствует самая гибкая правовая основа для обработки персональных данных — понятие «законный интерес».
Принцип законного интереса в ЕС применяется в том случае, если пользователь не может дать согласие на обработку персональных данных, но они будут ему полезны: дают коммерческие, личные или другие социальные выгоды. Например, маркетинг, логистика или проведение due diligence. Для спамеров такое обоснование не сработает.
Защита по умолчанию
В GDPR прописаны требования к программному обеспечению для обеспечения защиты пользователей:
- privacy by design: предустановленные инструменты в ПО, которые минимизируют персонализацию и обезличивают пользователя (личные данные хранятся отдельно);
- privacy by default: максимальные настройки приватности, которые должны предлагаться пользователю по умолчанию.
Белорусский законопроект таких требований не содержит и достаточно поверхностно регулирует технические способы защиты персональных данных.
Что можно требовать от компаний
Белорусский законопроект дает пользователям почти все те же права, что и GDPR. У белорусов теперь также появится «право на забвение» — удаление персональных данных из базы, возражение против обработки, право быть информированным, право изменения персональных данных.
Помимо этих прав, GDPR также предоставляет право не подпадать под действие решения, которое основывается исключительно на автоматической обработке (например, когда таким образом банк принимает решение о предоставлении кредита). У нас, к сожалению, такой гарантии законопроектом не предоставлено.
Принципы работы с данными, в том числе внутренние, компании должны публиковать в общем доступе.
Кто за всё отвечает
Если вы работаете с обработкой информации о пользователях, то вашей компании необходимо назначить ответственного за защиту персональных данных (Data Protection Officer, DPO).
В этой части текст белорусского законопроекта существенно отличается от GDPR.
GDPR требует назначать DPO только в том случае, если основная деятельность компании требует масштабного, регулярного и систематического мониторинга субъектов данных либо происходит масштабная обработка чувствительных данных.
Белорусский законопроект требует назначать DPO в любом случае. Основная функция DPO — облегчить компаниям жизнь и быть связующим звеном с регулятором.
Опишем ситуацию. Персональные сведения о ваших клиентах хранятся в разных местах. И если пользователь попросит удалить из базы какую-то информацию, могут возникнуть сложности. DPO способен решить эту проблему, составив ИТ-инфраструктуру, которая способна находить и оценивать источники данных: сообщения электронной почты, записи в базе данных, телефонные разговоры и многое другое.
Белорусский законопроект отличается от GDPR, но существенно перенял европейский опыт. Компаниям, которые уже соответствуют нормам ЕС, опасаться не стоит. Для остальных же принятие закона может стать настоящим вызовом. Но у бизнеса будет время подготовиться — документ вступит в силу только через год после подписания. Пока доступна только первая версия законопроекта, а 11 августа закончится его общественное обсуждение. Итоговый документ может измениться с учетом полученных предложений и парламентских слушаний.