Обработка персональных данных в РБ

Что такое обработка персональных данных в Республике Беларусь и каковы требования к её законности?

Вопрос защиты персональных данных в последние годы вышел за рамки профессиональных IT-сообществ и стал предметом внимания для всех участников хозяйственных отношений. Независимо от того, идет ли речь о небольшой компании, ведущей запись клиентов на услуги через Google Forms, или о крупной корпорации, формирующей кадровый резерв, каждая из них должна понимать: обработка персональных данных — это не только технический процесс, но и правовая обязанность, за несоблюдение которой предусмотрена ответственность.

Что такое персональные данные?

Согласно статье 1 Закона Республики Беларусь от 7 мая 2021 года № 99-З «О защите персональных данных» (далее — Закон), персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Это означает, что данные считаются персональными даже тогда, когда по совокупности признаков можно установить личность субъекта данных.

Сюда относятся не только имя и фамилия, номер паспорта или адрес электронной почты, но и такие сведения, как IP-адрес, история покупок, предпочтения в сервисах, местоположение, изображение на фото или голосовая запись.

Важно подчеркнуть: даже в том случае, если субъект данных сам добровольно предоставил информацию, у организации (оператора) сохраняется обязанность обрабатывать её строго в рамках закона.

Что понимается под обработкой персональных данных?

Обработка персональных данных — это любые действия или совокупность действий, совершаемых с персональными данными. Закон РБ в статье 1 дает расширенное определение, включая в это понятие:

• сбор;
• систематизацию;
• хранение;
• изменение;
• использование;
• передачу (в том числе трансграничную);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.

Таким образом, даже простое получение резюме по электронной почте или фиксация телефонного звонка уже формирует начало обработки. Классический пример — видеонаблюдение в офисе: если камеры фиксируют лица работников или посетителей, то оператор должен обеспечить выполнение всех требований закона, включая информирование субъектов данных.

Почему так важно соблюдать требования к обработке данных?

Законодатель строго регулирует отношения в сфере персональных данных, потому что речь идет об информации, которая непосредственно затрагивает частную жизнь граждан. Несанкционированный доступ, передача третьим лицам, сбор сверх необходимого объема — всё это может повлечь за собой не только административную, но и гражданско-правовую ответственность.

Обработка возможна только при наличии одного из законных оснований. Среди них:

• согласие субъекта данных;
• выполнение требований законодательства;
• защита жизни или здоровья субъекта;
• выполнение договора и др.

Пример из практики: предприятие собирало данные клиентов, указывая в анкете, что информация нужна «для улучшения качества сервиса». Однако не имело согласия на обработку в целях маркетинга. Контрольный орган признал действия нарушающими закон.

Какие требования к обработке персональных данных установлены в Республике Беларусь?

Закон содержит ряд универсальных требований, которых обязан придерживаться любой оператор. Среди них:

• законность обработки;
• минимизация сбора (не более того, что необходимо);
• точность и актуальность данных;
• ограниченность сроков хранения;
• обеспечение безопасности данных;
• соблюдение прав субъектов персональных данных.

В Законе закреплен принцип информационной открытости: субъект данных должен быть проинформирован о целях, объемах, сроках и иных условиях обработки. Это особенно важно при заключении трудовых договоров, договоров на оказание услуг, участии в маркетинговых кампаниях и т.п.

Как получить согласие субъекта персональных данных?

Согласие — это центральный правовой механизм легализации обработки. Оно должно быть свободным, конкретным, информированным и недвусмысленным. В письменной форме — если этого требует закон (например, при обработке специальной категории данных: о здоровье, биометрических параметрах и т.п.).

Как указано в статье 10 Закона, согласие может быть отозвано в любое время. На практике это означает, что организация обязана прекратить обработку и уничтожить данные, если отсутствуют другие правовые основания.

Что делать в случае трансграничной передачи данных?

Трансграничная передача данных — это передача персональной информации за пределы территории Республики Беларусь. Она допускается, если в стране-получателе обеспечивается надлежащая защита прав субъектов данных либо при наличии согласия субъекта (статья 9 Закона).

Особое внимание следует уделить передаче в страны, не входящие в Евразийский экономический союз. В таком случае рекомендуется использовать стандартные договорные условия или заключать отдельные соглашения о конфиденциальности с иностранными партнерами.

Какие санкции предусмотрены за нарушения?

Административная ответственность (ст. 23.7 КоАП) — это лишь один из возможных вариантов. Нарушения в сфере персональных данных также могут повлечь:

• гражданско-правовую ответственность (например, обязанность компенсировать моральный вред);
• дисциплинарную (внутри организации);
• в особо тяжёлых случаях — уголовную (например, при использовании данных в преступных целях) (ст. 203-1, 203-2 УК).

Например, в практике встречались случаи, когда работодатель публиковал данные бывших сотрудников без их согласия. Это стало основанием для иска о защите чести, достоинства и деловой репутации, а также обращения в контролирующий орган.

Какая практика сложилась в Беларуси?

Как показывает судебная практика Республики Беларусь, основными нарушениями остаются:

• отсутствие согласия или его некорректное оформление;
• обработка данных без достаточных правовых оснований;
• несоблюдение порядка хранения и защиты данных;
• неинформирование субъектов о целях обработки.

Одно из дел, рассмотренное в экономическом суде, касалось подрядчика, который использовал персональные данные клиента, полученные в рамках договора, для собственных рекламных рассылок. Суд указал на нарушение согласованных условий и признал действия противоправными.

Как обезопасить бизнес и не нарушить закон?

Практическая рекомендация: каждой компании стоит внедрить внутренний регламент по работе с персональными данными, назначить ответственного сотрудника, провести аудит существующих баз, привести в порядок формы согласия и договоры с контрагентами.

Малоизвестный факт: оператор обязан не просто получить согласие субъекта, но и подтвердить его получение документально. На практике это означает, что организация должна хранить формы согласия, а не просто ссылаться на то, что «клиент согласился устно».

Выводы: почему так важно юридическое сопровождение?

Вопросы обработки персональных данных — это не абстрактные нормы, а конкретные риски и обязательства, с которыми сталкивается каждый бизнес. Одна ошибка в политике конфиденциальности, одно письмо без согласия — и компания может оказаться под ударом закона, потерять клиентов и репутацию.

Юридическая компания «Экономические споры» располагает всей необходимой компетенцией, чтобы помочь вам выстроить легитимную и безопасную систему обработки персональных данных. Наши юристы с опытом от 15 до 25 лет, наш многопрофильный состав и международная партнёрская сеть позволяют решать самые сложные вопросы быстро и качественно. Руководитель компании — Сергей Белявский, рекомендованный арбитр МАС при БелТПП, автор книг и статей, практик с более чем 20-летним опытом работы в экономических судах.

Обращайтесь — и мы поможем не только избежать рисков, но и превратить соблюдение законодательства о персональных данных в конкурентное преимущество вашего бизнеса. Заполните форму заявки на консультацию на нашем сайте — и получите квалифицированную поддержку.