Zagraniczna strona a białoruscy użytkownicy: kiedy stosuje się ustawa o ochronie danych osobowych?

Właściciele stron zarejestrowanych poza Białorusią często zadają pytanie: czy Ustawa Republiki Białorusi z dnia 7 maja 2021 r. nr 99-Z “O ochronie danych osobowych” (dalej – Ustawa o Ochronie Danych) ma do nich zastosowanie, jeśli strona jest skierowana do międzynarodowej publiczności, a wśród odwiedzających są Białorusini? Odpowiedź nie zawsze jest oczywista. Białoruskie ustawodawstwo, podobnie jak europejskie RODO, ma skutek eksterytorialny. Oznacza to, że obowiązek przestrzegania lokalnych przepisów może powstać nawet wtedy, gdy firma nie ma biura ani przedstawicielstwa na Białorusi.

Co oznacza eksterytorialność w kontekście danych osobowych?

Eksterytorialność to rozszerzenie działania prawa krajowego na stosunki z udziałem podmiotów zagranicznych, mające miejsce poza terytorium państwa. W kontekście danych osobowych oznacza to, że prawo może regulować działalność zagranicznej firmy, jeśli przetwarza ona dane obywateli Białorusi .

Ustawa o Ochronie Danych stanowi, że jej przepisy mają zastosowanie do przetwarzania danych osobowych:

• na terytorium Republiki Białorusi
• poza terytorium Białorusi, jeśli przetwarzanie wiąże się z działaniami ukierunkowanymi na wykorzystanie środków przetwarzania danych znajdujących się na terytorium Białorusi albo z dostarczaniem towarów (robót, usług) obywatelom Białorusi lub oferowaniem im towarów (robót, usług) 

Innymi słowy, kluczowym kryterium jest ukierunkowanie działalności na rynek białoruski lub białoruskich użytkowników.

Kiedy zagraniczna strona podlega białoruskiemu prawu?

Można wyróżnić kilka sytuacji, w których zagraniczna strona internetowa ma obowiązek przestrzegania Ustawy o Ochronie Danych.

Celowe ukierunkowanie na białoruskich użytkowników

Strona jest wyraźnie ukierunkowana na Białoruś, jeśli:

• używa krajowej domeny .by
• treści są w całości lub częściowo w języku białoruskim lub rosyjskim, a strona jest reklamowana na Białorusi lub oferuje towary/usługi z płatnością w rublach białoruskich
• na stronie podano dane kontaktowe z Białorusi lub stosowany jest geotargeting na białoruską publiczność 

W takim przypadku przetwarzanie danych osobowych białoruskich użytkowników (np. zbieranie adresów e-mail do newslettera, pliki cookie, wypełnianie formularzy kontaktowych) podlega Ustawie o Ochronie Danych.

Brak ukierunkowania, ale obecność białoruskich użytkowników

Jeśli strona jest międzynarodowa, nieskierowana specjalnie na Białoruś, ale korzystają z niej Białorusini, obowiązek przestrzegania prawa nie zawsze powstaje. Jednak jeśli strona zbiera dane w celach komercyjnych (np. sklep internetowy dostarczający towary na Białoruś), operator musi uwzględniać wymogi białoruskiego prawa w odniesieniu do danych białoruskich klientów.

Wykorzystanie środków przetwarzania danych na terytorium Białorusi

Jeśli sprzęt serwerowy lub inne środki do przetwarzania danych osobowych (np. centrum danych) znajdują się fizycznie na Białorusi, nawet zagraniczny właściciel strony ma obowiązek przestrzegania Ustawy o Ochronie Danych.

Ważne: Prawo nie wymaga, aby zagraniczna firma fizycznie znajdowała się na Białorusi. Wystarczy sam fakt przetwarzania danych Białorusinów.

Jakie obowiązki ma zagraniczny operator?

Jeśli zagraniczna strona podlega białoruskiemu prawu, musi spełniać te same wymagania co lokalne firmy.

Podstawowe obowiązki operatora:

• Wyznaczyć osobę odpowiedzialną za przetwarzanie danych osobowych.Może to być pracownik firmy lub osoba z zewnątrz.
• Opublikować publiczną politykę przetwarzania danych osobowych.Dokument musi być dostępny na stronie i jasno opisywać, jakie dane są zbierane, w jakim celu i jak przetwarzane .
• Uzyskiwać zgodę na przetwarzanie danych osobowych.Zgoda musi być konkretna, świadoma i jednoznaczna. Nie można stosować “milczącej zgody” ani wstępnie zaznaczonych “ptaszków”. Zgoda może być wyrażona na piśmie lub w formie elektronicznej.
• Zawiadomić upoważniony organ o zamiarze przetwarzania danych osobowych.Zagraniczni operatorzy mają obowiązek przesłać zawiadomienie do Narodowego Centrum Ochrony Danych Osobowych Republiki Białorusi (dalej – NCODO) przed rozpoczęciem przetwarzania. Wyjątki obejmują przypadki, gdy przetwarzanie odbywa się bez użycia środków automatyzacji (np. tylko na papierze) lub gdy dane są przetwarzane wyłącznie w celu przekroczenia granicy państwowej.
• Zapewnić realizację praw podmiotów danych.Białoruscy użytkownicy mają prawo żądać wyjaśnienia, zablokowania lub usunięcia swoich danych, a także uzyskania informacji o ich przetwarzaniu. Operator ma obowiązek odpowiedzieć na takie żądanie w rozsądnym terminie (zwykle 5–15 dni, w zależności od złożoności).
• Podjąć środki ochrony danych osobowychprzed nieuprawnionym dostępem, zniszczeniem, zmianą, kopiowaniem i rozpowszechnianiem.

Jaka grozi odpowiedzialność za naruszenia?

Odpowiedzialność za naruszenie przepisów o ochronie danych osobowych przewiduje artykuł 23.7 Kodeksu Republiki Białorusi o wykroczeniach administracyjnych (dalej – KWO). Może ona dotknąć nawet zagraniczną firmę, jeśli naruszenie naruszyło prawa obywateli Białorusi.

Ponadto podmiot danych może dochodzić w sądzie zadośćuczynienia za szkodę moralną.

NCODO aktywnie monitoruje zasoby internetowe w poszukiwaniu naruszeń. Znane są przypadki, gdy centrum kierowało żądania usunięcia naruszeń do właścicieli stron zarejestrowanych za granicą.

Porównanie z podejściem w innych jurysdykcjach

Podobna zasada eksterytorialności obowiązuje w RODO (ogólne rozporządzenie o ochronie danych w Unii Europejskiej). Ma ono zastosowanie do firm spoza UE, jeśli oferują one towary lub usługi rezydentom UE albo monitorują ich zachowanie.

W Rosji również obowiązuje zasada eksterytorialności. Ustawa federalna nr 152-FZ “O danych osobowych” wymaga od operatorów przetwarzających dane obywateli Rosji, aby zapewniali ich zapis, systematyzację, gromadzenie, przechowywanie, aktualizację i wydobywanie z wykorzystaniem baz danych znajdujących się na terytorium Rosji (tzw. ustawa o lokalizacji danych). Wymóg rejestracji jako operator dotyczy także firm zagranicznych.

Podejście Białorusi jest bliższe europejskiemu: brak ścisłego wymogu lokalizacji danych, ale jasne obowiązki powiadamiania NCODO i poszanowania praw podmiotów danych. To czyni je bardziej elastycznym dla międzynarodowego biznesu, ale nie mniej obowiązkowym.

Praktyczne zalecenia dla właścicieli zagranicznych stron

Przeprowadź audyt

Określ, czy Twoja strona podlega białoruskiemu prawu. Oceń, czy zbierasz dane białoruskich użytkowników i czy Twoja działalność wykazuje ukierunkowanie na Białoruś.

Jeśli prawo ma zastosowanie, spełnij wymogi:

• Wyślij zawiadomienie do NCODO za pośrednictwem portalu center.gov.by. Zawiadomienie musi zawierać informacje o operatorze, celach przetwarzania, kategoriach danych i podstawie prawnej .
  • Opracuj i opublikuj politykę przetwarzania danych osobowych w języku rosyjskim lub białoruskim. Upewnij się, że jest dostępna bezpośrednim linkiem ze strony głównej.
  • Skonfiguruj mechanizmy uzyskiwania zgody. Usuń wstępnie zaznaczone pola. Zadbaj, aby użytkownik mógł wyrazić świadomą zgodę na konkretne cele przetwarzania.
  • Umożliw realizację praw podmiotów danych. Stwórz formularz kontaktowy lub podaj adres e-mail, na który białoruscy użytkownicy mogą kierować zapytania.

Konsultuj się ze specjalistami

Przepisy o ochronie danych osobowych stale ewoluują. NCODO regularnie publikuje wyjaśnienia dotyczące stosowania ustawy. W razie wątpliwości warto skonsultować się z prawnikami specjalizującymi się w ochronie danych osobowych na Białorusi.

Nasza kancelaria “Spory Gospodarcze” świadczy kompleksową pomoc prawną inwestorom zagranicznym, w tym polskim, przy transakcjach zbycia udziałów w białoruskich spółkach. Założyciel kancelarii, Siergiej Bielawski, ma 20letnie doświadczenie w sprawach gospodarczych, w tym 10 lat pracy jako sędzia – co daje nam praktyczne rozumienie orzecznictwa i procedur niezbędnych przy transakcjach transgranicznych. Zespół liczący 15 prawników i specjalistów (z doświadczeniem 15–25 lat) oferuje pełen zakres usług: analizę dokumentacji założycielskiej, wycenę udziałów, przygotowanie i złożenie wniosków do odpowiednich organów (w tym ispolkomu i Rady Ministrów), reprezentację przed organami rejestrowymi oraz wsparcie przy rejestracji zmian po transakcji. Obsługujemy klientów w językach polskim, rosyjskim i angielskim, współpracujemy z partnerami w ponad 160 krajach i posiadamy rachunek w PKO Bank Polski – ułatwiając płatności i rozliczenia w transakcjach z udziałem inwestorów z Polski.

W ciągu działalności poprowadziliśmy ponad 2000 spraw, a łączna wartość zabezpieczonych i wyegzekwowanych środków przekracza 1,95 mld rubli. Jeśli planujesz sprzedaż udziałów w białoruskiej spółce i potrzebujesz pewnego, praktycznego planu działania – zostaw zapytanie. Ocenimy sytuację i zaproponujemy realną strategię działania.