Персданные по-соседски
Сходства и отличия законодательных подходов к защите личной информации в России, Беларуси и Казахстане
Нормативная база, регламентирующая обработку персональных данных граждан в России, Беларуси и Казахстане, во многом схожа, однако есть и существенные различия. Почему определение персональных данных в РБ во многом совпадает с дефиницией GDPR Евросоюза, каковы различия в порядке трансграничной передачи данных в этих странах и другие законодательные тонкости – в материале RSpectr.
КТО ПРОВЕРЯЕТ
Законодательные правила, направленные на защиту персональных данных (ПД), встречаются в Конституции Республики Беларусь и других нормативных актах, но основным является закон РБ 99-З «О защите персональных данных», отметил старший консультант по защите ПД в компании «Б-152» Никита Володин на вебинаре «Сравнение законодательства о персональных данных в России, Беларуси и Казахстане».
Уполномоченным и надзорным органом по защите ПД в Беларуси является Национальный центр защиты персональных данных. «Несмотря на то что Центр появился относительно недавно, он ведет активную просветительскую деятельность среди операторов, дает пояснения по работе с ПД, разрабатывает основные формы документов (политики, согласия на обработку личной информации) и проводит проверки», – пояснил Никита Володин.
Консультант по защите персональных данных в компании «Б-152» Седа Антонян рассказала на вебинаре, что в Казахстане также действует отдельная норма, посвященная ПД, – закон 90-V «О персональных данных и их защите». «Кроме того, в республике есть большое количество подзаконных актов, которые регулируют обработку персданных и о которых оператору при работе в этой юрисдикции надо будет всегда помнить», – подчеркнула она.
Уполномоченным органом по защите субъектов персональных данных в Казахстане является Министерство цифрового развития, инноваций и аэрокосмической промышленности страны. Также в законе о персданных страны указано, что органы прокуратуры являются высшим надзорным органом за соблюдением защиты прав субъектов ПД, рассказала Седа Антонян.
Согласно статье 1 закона «О защите персональных данных» Республики Беларусь, персональными данными является «любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано». По словам Никиты Володина,
определение персональных данных в РБ во многом совпадает с дефиницией Общего регламента защиты данных (GDPR) Евросоюза
У Казахстана достаточно уникальнльный путь развития сферы защиты личной информации, обратила внимание Седа Антонян. Определение персональных данных в этой стране похоже на термин в российском законодательстве: «сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе». При этом, обратила внимание эксперт,
уточнения о материальных носителях персданных нет ни в российском, ни в белорусском законодательстве
Седа Антонян, «Б-152»:
– К сожалению, закон не определяет, что такое электронный, бумажный и другой материальный носитель. Может встать вопрос о юридическом статусе тех ПД, которые были сообщены субъектом устно или с помощью голосовой связи.
Согласно законодательству Казахстана, они не будут персональными данными, отметила эксперт.
ЗАИНТЕРЕСОВАННЫЕ СТОРОНЫ
Согласно российскому закону 152-ФЗ «О защите персональных данных» в обработке ПД участвуют три основные стороны:
- операторы, которые определяют цели обработки, объем обрабатываемой информации;
- субъект, чьи ПД обрабатываются;
- лицо, обрабатывающее персданные по поручению.
Никита Володин, «Б-152»:
– Закон «О персональных данных» РФ не содержит конкретного определения, кто является лицом, обрабатывающим персональные данные по поручению. В законодательстве Беларуси можно увидеть те же три стороны: оператор, субъект и уполномоченное лицо. При этом определение уполномоченного лица в законодательстве республики содержится, что выгодно отличает его от 152-ФЗ России.
Состав сторон, участвующих в обработке личных сведений, в законодательстве Казахстана отличается от российского и белорусского, рассказала Седа Антонян. В нем участвуют:
- оператор базы, содержащей ПД, – осуществляет их сбор и обработку;
- собственник базы, содержащей ПД, – лицо, которое владеет и распоряжается этой системой как своей собственностью;
- третье лицо – это не оператор, собственник базы или субъект ПД, но оно связано обстоятельствами и вынуждено обрабатывать такую информацию;
- субъект персданных.
«В законодательстве Казахстана нет института “обработчика ПД”. К сожалению, операторы на практике сталкиваются с проблемами из-за того, что не упоминается возможность оператора поручить обработку личной информации третьему лицу. Таким образом, все риски ответственности лежат на операторе», – отметила Седа Антонян.
ОБРАБОТКА И ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА
Принципы обработки персданных в Беларуси в основном совпадают с российскими, но есть отличие, обратил внимание Никита Володин. Принцип, закрепленный в 152-ФЗ, – запрет на объединение баз данных с персональными данными в несовместимых целях обработки отсутствует в законодательстве Республики Беларусь. Кроме того, там отдельно прописан принцип прозрачности обработки ПД – она обязана носить прозрачный характер, должна быть понятна субъекту, оператор должен вовремя реагировать на его запросы, отметил эксперт.
В принципах обработки ПД Казахстана сформулированы законная и справедливая основа, конфиденциальность, соблюдение конституционных прав и свобод человека и гражданина.
Седа Антонян, «Б-152»:
– Еще один принцип равенства сторон субъекта и собственника базы вызывает у меня много вопросов. На мой взгляд, законодательство в этой сфере как раз таки говорит о неравенстве, о том, что есть слабая сторона – субъект персданных, который особенно нуждается в защите.
В части прав субъектов ПД законодательные подходы Беларуси, Казахстана и России практически идентичны
Но право на отзыв согласия на обработку данных в Казахстане ограничено, обратила внимание она. Субъект не может отозвать свое согласие, если оно не соответствует закону или если у субъекта есть неисполненные обязательства. «Это уникальное обстоятельство, потому что право на отзыв нельзя ограничивать», – подчеркнула Седа Антонян.
Никита Володин отметил, что российский 152-ФЗ подходит к трансграничной передаче персональных данных более гибко, чем законодательство Беларуси. Российское определение содержит три критерия:
- Трансграничная передача возникает, если передаются именно ПД;
- Данные передаются на территорию иностранного государства;
- Данные передаются иностранному юридическому или физическому лицу, а также госоргану.
Если компания направляет работника в командировку, откуда он будет получать доступ к персданным и обрабатывать их, – это не будет являться трансграничной передачей с точки зрения 152-ФЗ.
Аналогичное белорусское законодательство содержит только два критерия:
- Трансграничная передача персданных.
- На территорию иностранного государства – в любых случаях, если ПД пересекают границу республики, происходит трансграничная передача.
В законодательстве России и Беларуси также есть деление на «адекватные» страны (подписавшие «Конвенцию о защите физических лиц при автоматизированной обработке персональных данных») и «неадекватные», то есть обеспечивающие и не обеспечивающие надлежащую защиту персональных данных.
Определение трансграничной передачи в Казахстане также более жесткое, чем в России, и похоже на белорусское: «передача ПД на территорию иностранного государства», отметила Седа Антонян.
Тимур Халудоров