Белорусский закон о защите персональных данных против европейского GDPR. Ключевые отличия

6 комментариев
Белорусский закон о защите персональных данных против европейского GDPR. Ключевые отличия

Вслед за Евросоюзом в Беларуси также решили законодательно расписать, как компаниям правильно работать с персональными данными пользователей. Опубликован предварительный вариант документа, и он во многом похож на GDPR. Правда, менее жёсткий по отношению к компаниям и сервисам. Юристы компании REVERA Гай Маевский и Елена Бонина нашли семь принципиальных отличий двух документов.

Читать далее

Иллюстрация: The German Marshall Fund of the United States

Сфера действия

Положения GDPR применяются, если:
— ваша компания или любой из её офисов находится на территории ЕС;
— вы предлагаете товары или услуги резидентам ЕС;
— вы обрабатываете данные жителей Евросоюза.

У белорусского законопроекта более узкая сфера действия. Территория, на которую распространяются нормы, не указана. Соответственно, документ будет действовать только на территории нашей страны.

Передача данных другим

GDPR дает возможность передачи собранных сведений информации в третьи страны, даже если эти страны не предоставляют надлежащий уровень защиты информации. Для этого достаточно подписать специальное допсоглашение и стандартные условия о передаче персональных данных.

Белорусский законопроект разрешает передачу персональных данных только в страны с надлежащим уровнем защиты. Правда, пока неясно, как этот уровень будут определять и что это за страны.

Согласие на обработку данных

Одно из оснований для обработки данных в соответствии с GDPR — согласие, причем надлежащее. Сервис не может заранее проставлять галочки в нужных ему местах, а все правила должны быть сформулированы на простом и понятном языке.

По европейскому регламенту, согласие может быть дано как письменно, так и устно. В Беларуси — только на бумаге или в электронной форме.

Это новое определение для белорусского законодательства. К электронным формам относятся:

  • электронный документ;
     
  • указание персональных данных после получения СМС или email;
     
  • простановка галочек или других отметок на интернет-ресурсе.

Без законного интереса

Согласие пользователя — это лишь одно из оснований для обработки данных. В отличие от GDPR, в белорусском законопроекте отсутствует самая гибкая правовая основа для обработки персональных данных — понятие «законный интерес».

Принцип законного интереса в ЕС применяется в том случае, если пользователь не может дать согласие на обработку персональных данных, но они будут ему полезны: дают коммерческие, личные или другие социальные выгоды. Например, маркетинг, логистика или проведение due diligence. Для спамеров такое обоснование не сработает.

Защита по умолчанию

В GDPR прописаны требования к программному обеспечению для обеспечения защиты пользователей:

  • privacy by design: предустановленные инструменты в ПО, которые минимизируют персонализацию и обезличивают пользователя (личные данные хранятся отдельно);
     
  • privacy by default: максимальные настройки приватности, которые должны предлагаться пользователю по умолчанию.

Белорусский законопроект таких требований не содержит и достаточно поверхностно регулирует технические способы защиты персональных данных.

Что можно требовать от компаний

Белорусский законопроект дает пользователям почти все те же права, что и GDPR. У белорусов теперь также появится «право на забвение» — удаление персональных данных из базы, возражение против обработки, право быть информированным, право изменения персональных данных.

Помимо этих прав, GDPR также предоставляет право не подпадать под действие решения, которое основывается исключительно на автоматической обработке (например, когда таким образом банк принимает решение о предоставлении кредита). У нас, к сожалению, такой гарантии законопроектом не предоставлено.

Принципы работы с данными, в том числе внутренние, компании должны публиковать в общем доступе.

Кто за всё отвечает

Если вы работаете с обработкой информации о пользователях, то вашей компании необходимо назначить ответственного за защиту персональных данных (Data Protection Officer, DPO).

В этой части текст белорусского законопроекта существенно отличается от GDPR.

GDPR требует назначать DPO только в том случае, если основная деятельность компании требует масштабного, регулярного и систематического мониторинга субъектов данных либо происходит масштабная обработка чувствительных данных.

Белорусский законопроект требует назначать DPO в любом случае. Основная функция DPO — облегчить компаниям жизнь и быть связующим звеном с регулятором.

Опишем ситуацию. Персональные сведения о ваших клиентах хранятся в разных местах. И если пользователь попросит удалить из базы какую-то информацию, могут возникнуть сложности. DPO способен решить эту проблему, составив ИТ-инфраструктуру, которая способна находить и оценивать источники данных: сообщения электронной почты, записи в базе данных, телефонные разговоры и многое другое.

Белорусский законопроект отличается от GDPR, но существенно перенял европейский опыт. Компаниям, которые уже соответствуют нормам ЕС, опасаться не стоит. Для остальных же принятие закона может стать настоящим вызовом. Но у бизнеса будет время подготовиться — документ вступит в силу только через год после подписания. Пока доступна только первая версия законопроекта, а 11 августа закончится его общественное обсуждение. Итоговый документ может измениться с учетом полученных предложений и парламентских слушаний.

Хотите сообщить важную новость?

Пишите в наш Телеграм

Читайте также

Минус 200 млн евро из-за GDPR. Разбирались, как избежать штрафов за обработку данных
Минус 200 млн евро из-за GDPR. Разбирались, как избежать штрафов за обработку данных
Минус 200 млн евро из-за GDPR. Разбирались, как избежать штрафов за обработку данных
Cеньоров всё меньше, за МКАД есть жизнь. ИТ в Беларуси-2019, часть 1
Cеньоров всё меньше, за МКАД есть жизнь. ИТ в Беларуси-2019, часть 1
Cеньоров всё меньше, за МКАД есть жизнь. ИТ в Беларуси-2019, часть 1
COVID-19 быстро терраформирует ландшафт белорусской ИТ-индустрии. Ещё месяц назад для большинства айтишников коронавирус был персонажем из мемов в рабочих чатах. Времена изменились: многие привыкли работать из дома, разбираются в типах масок и уже не будут удивлены длинному письму от CEO. 
42 комментария
«Сокращали по 50 человек». HR о реакции компаний на кризисы-2009, 2011, 2020
«Сокращали по 50 человек». HR о реакции компаний на кризисы-2009, 2011, 2020
«Сокращали по 50 человек». HR о реакции компаний на кризисы-2009, 2011, 2020
Польскую школу оштрафовали на $5000 за идентификацию по отпечаткам в столовой
Польскую школу оштрафовали на $5000 за идентификацию по отпечаткам в столовой
Польскую школу оштрафовали на $5000 за идентификацию по отпечаткам в столовой
1 комментарий

Обсуждение

0

Передача данных другим
>>Правда, пока неясно, как этот уровень будут определять и что это за страны.
Очень плохо, что не знаете. В Беларуси есть проект создания Национальной системы безбумажной торговли. Это целое отдельное мероприятие государственной программы развития цифровой экономики и информационного общества на 2016 - 2020 годы www.government.by/upload/docs/file4c1542d87d1083b5.PDF
Этот проект теснейшим образом связан с международными торговыми отношениями Беларуси. Поэтому в стране задано направление на реализацию проектов по развитию трансграничной безбумажной торговли и электронной логистики по направлению взаимодействия с ЕС в формате восточного партнерства, который предпологает собой, соответственно, взаимодействие в рамках стратегии единого цифрового рынка стран Европейского союза (!) и даже учёт рекомендаций ВТО (!!) - это с одной стороны.
С другой стороны - есть целая цифровая повестка стран ЕАЭС. Скажу больше, для реализации подобных инициатив есть даже выделенный офис управления цифровыми инициативами Евразийской экономической комиссии.
www.eurasiancommission.org/ru/act/dmi/workgroup
www.eurasiancommission.org/ru/act/dmi/SiteAssets/Обзор%20ВБ.pdf
Поэтому страны вполне себе определены и понятны - в приоритете ЕС и ЕАЭС.
Ну, конечно, кто об этом будет знать, если мы на дев.бай больше Яну Потееву и её друга Дорофея обсуждаем...
Да и от строителя "ИТ-страны" - пекаря с хорошим знанием испанского, статей что то на дев.бай совсем нет, может она чего расскажет, как там ИТ-страна движется-строится?

0

история в лицах всегда интереснее, ИМО. Хабр уже проходил разделение по тематикам, но система хабов и подписок там замечательная - и она работает, ИМО.
возможно это решение [система хабов и подписок] нам поможет перестать возмущаться тем что дев.бай нам рассказывает истории о "необъективной реальности" ["пекари" и тп], которые, в то же время, находят большой отклик у читателей?

-1

истории про людей в ИТ тоже нужны, но как бы хотелось, что б они были разбавлены и каким-нибудь полезным просветительским материалом. Тут же столько всего интересного в стране происходит, общаешься с разными людьми - диву даешься, но узнаешь об этом почему то откуда угодно, только не из дев.бай...

-1

Согласие на обработку данных
>> По европейскому регламенту, согласие может быть дано как письменно, так и устно. В Беларуси — только на бумаге или в электронной форме. Это новое определение для белорусского законодательства.
Во-первых. В статье 1 проекта закона, которая так и называется: "Основные термины, используемые в настоящем Законе, и их определения" такого определения нет.
Во-вторых, говориться про иную электронную форму - просто иную в отличие от электронного документа. А не про какое то новое понятие.
В-третьих, учитывая изложенное, это определение вводится не то что в качестве "нового для белорусского законодательства", его сфера действия даже на весь закон не распространяется (в статье 1 его же нет), а только на пункт 2 статьи 5, ну ещё на первый пункт 12-ой статьй.
(А вы, прям, "новое определение для белорусского законодательства". Привет, юристы!)
P.S. Про фразу:
"К электронным формам относятся:
- электронный документ;
- указание персональных данных после получения СМС или email;
- простановка галочек или других отметок на интернет-ресурсе."
надеюсь не стоит пояснять, почему она чушь, хотя бы с наличием ещё в проекте закона пункта: "- других способов, позволяющих установить факт получения согласия субъекта персональных данных"? (Привет, юристы 2 !)

1

ссылку, которые почему-то не вставили в текст:
http://forumpravo.by/forums/?forum=15&topic=10297#post103967

0

В "праве на забвение" - "право изменения персональных данных". Т.е. после прохождения обязательной идентификации на каком-нибудь ресурсе (например, подключившись к услугам какого-нибудь банка), получив какой-нибудь идентификатор с которым можно будет пользоваться услугами, можно будет изменить свои данные и пользоваться услугами банка по сути анонимно?
Это же как-то должно регулироваться какими-то внутренними положениями компании (банка, например). Не будет ли противоречий с законом?

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже