Иностранный сайт и белорусские пользователи: когда нужно соблюдать закон о персональных данных?

Владелец сайта, зарегистрированного за пределами Беларуси, часто задается вопросом: распространяется ли на него действие Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О персональных данных» (далее – Закон о ПДн), если ресурс ориентирован на международную аудиторию и среди его посетителей есть белорусы? Ответ не всегда очевиден. Белорусское законодательство, как и GDPR в Европе, имеет экстерриториальный эффект. Это означает, что обязанность соблюдать местные правила может возникнуть у компании, даже если у нее нет офиса или представительства в Беларуси.

Что такое экстерриториальность в контексте персональных данных?

Экстерриториальность – это распространение действия национального законодательства на отношения с участием иностранных лиц, происходящие за пределами территории государства. В контексте персональных данных это означает, что закон может регулировать деятельность иностранной компании, если она взаимодействует с данными граждан Беларуси.

Закон о ПДн устанавливает, что его действие распространяется на обработку персональных данных, осуществляемую:

• на территории Республики Беларусь;
• за пределами территории Республики Беларусь, если обработка связана с действиями, направленными на использование расположенных на территории Беларуси средств обработки персональных данных, либо с предоставлением товаров (работ, услуг) гражданам Беларуси, либо с предложением им товаров (работ, услуг).

Иными словами, ключевой критерий – направленность деятельности на белорусский рынок или белорусских пользователей.

Когда иностранный сайт попадает под белорусский закон?

Можно выделить несколько ситуаций, при которых иностранный сайт обязан соблюдать Закон о ПДн.

Целенаправленная ориентация на белорусских пользователей.

Сайт явно ориентирован на Беларусь, если:

• он использует национальный домен .by;
• контент сайта полностью или частично представлен на белорусском или русском языке, при этом сайт рекламируется в Беларуси или предлагает товары/услуги с оплатой в белорусских рублях;
• на сайте указаны контактные данные для связи из Беларуси или есть геотаргетинг на белорусскую аудиторию.

В этом случае обработка персональных данных белорусских пользователей (например, сбор email-адресов для рассылки, cookie-файлы, заполнение форм обратной связи) подпадает под действие Закона о ПДн.

Отсутствие направленности, но наличие белорусских пользователей.

Если сайт международный, не ориентирован специально на Беларусь, но им пользуются белорусы, обязанность соблюдать закон возникает не всегда. Однако если сайт собирает данные в коммерческих целях (например, интернет-магазин, который доставляет товары в Беларусь), то оператор обязан учитывать требования белорусского законодательства в отношении данных белорусских клиентов.

Использование средств обработки данных на территории Беларуси.

Если серверное оборудование или иные средства для обработки персональных данных (например, дата-центр) физически находятся в Беларуси, то даже иностранный владелец сайта обязан соблюдать Закон о ПДн.

Важно: Закон не требует, чтобы иностранная компания физически находилась в Беларуси. Достаточно самого факта обработки данных белорусов.

Какие обязанности возникают у иностранного оператора?

Если иностранный сайт попадает под действие белорусского закона, он должен выполнять те же требования, что и местные компании.

Основные обязанности оператора:

• Назначить ответственного за обработку персональных данных. Это может быть сотрудник компании или привлеченное лицо.
• Разместить публичную политику обработки персональных данных. Документ должен быть доступен на сайте и четко описывать, какие данные собираются, для чего и как обрабатываются.
• Получать согласие на обработку персональных данных. Согласие должно быть конкретным, информированным и однозначным. Нельзя использовать «молчаливое согласие» или заранее проставленные «галочки». Форма выражения согласия может быть письменной или в виде электронного документа.
• Уведомлять уполномоченный орган о намерении осуществлять обработку персональных данных. Иностранные операторы обязаны направить уведомление в Национальный центр защиты персональных данных Республики Беларусь (далее – НЦЗПД) до начала обработки. Исключение составляют случаи, когда обработка осуществляется без использования средств автоматизации (например, только на бумаге) или если данные обрабатываются исключительно для пропуска через госграницу.
• Обеспечить реализацию прав субъектов персональных данных. Белорусские пользователи имеют право требовать уточнения, блокирования или удаления своих данных, а также получать информацию об их обработке. Оператор обязан ответить на такой запрос в течение разумного срока (обычно 5–15 дней, в зависимости от сложности).
• Принимать меры по защите персональных данных от неправомерного доступа, уничтожения, изменения, копирования и распространения.

Какая ответственность грозит за нарушение?

Ответственность за нарушение законодательства о персональных данных предусмотрена статьей 23.7 Кодекса Республики Беларусь об административных правонарушениях (далее – КоАП). Она может наступить даже для иностранной компании, если нарушение затронуло права белорусских граждан.

Кроме того, субъект персональных данных вправе требовать возмещения морального вреда в судебном порядке.

НЦЗПД активно ведет работу по выявлению нарушителей, в том числе путем мониторинга интернет-ресурсов. Известны случаи, когда центром направлялись требования об устранении нарушений в адрес владельцев сайтов, зарегистрированных за рубежом.

Сравнение с подходами в других юрисдикциях

Похожий принцип экстерриториальности заложен в GDPR (Общий регламент по защите данных Европейского союза). Он применяется к компаниям за пределами ЕС, если они предлагают товары или услуги резидентам ЕС либо отслеживают их поведение.

В России также действует принцип экстерриториальности. Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ требует от операторов, осуществляющих обработку данных российских граждан, обеспечивать их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории РФ (так называемый закон о локализации данных). При этом требование о регистрации в качестве оператора распространяется и на иностранные компании.

Белорусский подход ближе к европейскому: нет жесткой привязки к локализации баз данных, но есть четкое требование об уведомлении НЦЗПД и соблюдении прав субъектов. Это делает его более гибким для иностранного бизнеса, но не менее обязательным.

Практические рекомендации для владельцев иностранных сайтов

Проведите аудит.

Определите, попадает ли ваш сайт под действие белорусского закона. Оцените, собираете ли вы данные белорусских пользователей и есть ли у вас признаки направленности деятельности на Беларусь.

Если закон применим, выполните требования:

• Направьте уведомление в НЦЗПД. Это можно сделать через портал center.gov.by. Уведомление должно содержать информацию об операторе, целях обработки, категориях данных и правовых основаниях.
• Разработайте и опубликуйте политику обработки персональных данных на русском или белорусском языке. Убедитесь, что она доступна по прямой ссылке с главной страницы.
• Настройте механизмы получения согласия. Уберите предустановленные «галочки». Сделайте так, чтобы пользователь мог дать осознанное согласие на конкретные цели обработки.
• Обеспечьте возможность реализации прав субъектов. Создайте форму обратной связи или укажите email, по которому белорусские пользователи могут направлять запросы.

Консультируйтесь со специалистами.

Законодательство о персональных данных динамично развивается. НЦЗПД регулярно публикует разъяснения по применению закона. Если у вас есть сомнения, лучше обратиться к юристам, специализирующимся на защите персональных данных в Беларуси.

Наша юридическая компания «Экономические споры» специализируется на комплексном сопровождении бизнеса в вопросах трансграничного права и персональных данных. С 2019 года мы помогаем клиентам выстраивать работу с данными в соответствии с требованиями белорусского и международного законодательства. Наш директор Сергей Белявский, имеющий 20-летний опыт в системе экономических судов (в том числе 10 лет в должности судьи), разрабатывает стратегии минимизации комплаенс-рисков для компаний, работающих с белорусским рынком. Команда из 15 юристов и специалистов с опытом от 15 до 25 лет проводит аудит сайтов, разрабатывает документы (политики, формы согласий), сопровождает процедуру уведомления НЦЗПД и представляет интересы клиентов в случае проверок.

Мы владеем русским, польским и английским языками, имеем партнёрскую сеть в 160 странах и счёт в PKO Bank Polski. Более 2000 клиентов доверили нам защиту своих интересов. Если ваш сайт собирает данные белорусских пользователей и вы хотите быть уверены в его соответствии закону, оставьте заявку – мы предложим реалистичный план решения.