Персданные по-соседски

Сходства и отличия законодательных подходов к защите личной информации в России, Беларуси и Казахстане

Нормативная база, регламентирующая обработку персональных данных граждан в России, Беларуси и Казахстане, во многом схожа, однако есть и существенные различия. Почему определение персональных данных в РБ во многом совпадает с дефиницией GDPR Евросоюза, каковы различия в порядке трансграничной передачи данных в этих странах и другие законодательные тонкости – в материале RSpectr.

КТО ПРОВЕРЯЕТ

Законодательные правила, направленные на защиту персональных данных (ПД), встречаются в Конституции Республики Беларусь и других нормативных актах, но основным является закон РБ 99-З «О защите персональных данных», отметил старший консультант по защите ПД в компании «Б-152» Никита Володин на вебинаре «Сравнение законодательства о персональных данных в России, Беларуси и Казахстане».

Уполномоченным и надзорным органом по защите ПД в Беларуси является Национальный центр защиты персональных данных. «Несмотря на то что Центр появился относительно недавно, он ведет активную просветительскую деятельность среди операторов, дает пояснения по работе с ПД, разрабатывает основные формы документов (политики, согласия на обработку личной информации) и проводит проверки», – пояснил Никита Володин.

Консультант по защите персональных данных в компании «Б-152» Седа Антонян рассказала на вебинаре, что в Казахстане также действует отдельная норма, посвященная ПД, – закон 90-V «О персональных данных и их защите». «Кроме того, в республике есть большое количество подзаконных актов, которые регулируют обработку персданных и о которых оператору при работе в этой юрисдикции надо будет всегда помнить», – подчеркнула она.

Уполномоченным органом по защите субъектов персональных данных в Казахстане является Министерство цифрового развития, инноваций и аэрокосмической промышленности страны. Также в законе о персданных страны указано, что органы прокуратуры являются высшим надзорным органом за соблюдением защиты прав субъектов ПД, рассказала Седа Антонян.

Согласно статье 1 закона «О защите персональных данных» Республики Беларусь, персональными данными является «любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано». По словам Никиты Володина,

определение персональных данных в РБ во многом совпадает с дефиницией Общего регламента защиты данных (GDPR) Евросоюза

У Казахстана достаточно уникальнльный путь развития сферы защиты личной информации, обратила внимание Седа Антонян. Определение персональных данных в этой стране похоже на термин в российском законодательстве: «сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе». При этом, обратила внимание эксперт,

уточнения о материальных носителях персданных нет ни в российском, ни в белорусском законодательстве

Седа Антонян, «Б-152»:

– К сожалению, закон не определяет, что такое электронный, бумажный и другой материальный носитель. Может встать вопрос о юридическом статусе тех ПД, которые были сообщены субъектом устно или с помощью голосовой связи.

Согласно законодательству Казахстана, они не будут персональными данными, отметила эксперт.

ЗАИНТЕРЕСОВАННЫЕ СТОРОНЫ

Согласно российскому закону 152-ФЗ «О защите персональных данных» в обработке ПД участвуют три основные стороны:

• операторы, которые определяют цели обработки, объем обрабатываемой информации;
• субъект, чьи ПД обрабатываются;
• лицо, обрабатывающее персданные по поручению.

Никита Володин, «Б-152»:

– Закон «О персональных данных» РФ не содержит конкретного определения, кто является лицом, обрабатывающим персональные данные по поручению. В законодательстве Беларуси можно увидеть те же три стороны: оператор, субъект и уполномоченное лицо. При этом определение уполномоченного лица в законодательстве республики содержится, что выгодно отличает его от 152-ФЗ России.

Состав сторон, участвующих в обработке личных сведений, в законодательстве Казахстана отличается от российского и белорусского, рассказала Седа Антонян. В нем участвуют:

• оператор базы, содержащей ПД, – осуществляет их сбор и обработку;
• собственник базы, содержащей ПД, – лицо, которое владеет и распоряжается этой системой как своей собственностью;
• третье лицо – это не оператор, собственник базы или субъект ПД, но оно связано обстоятельствами и вынуждено обрабатывать такую информацию;
• субъект персданных.

«В законодательстве Казахстана нет института “обработчика ПД”. К сожалению, операторы на практике сталкиваются с проблемами из-за того, что не упоминается возможность оператора поручить обработку личной информации третьему лицу. Таким образом, все риски ответственности лежат на операторе», – отметила Седа Антонян.

ОБРАБОТКА И ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА

Принципы обработки персданных в Беларуси в основном совпадают с российскими, но есть отличие, обратил внимание Никита Володин. Принцип, закрепленный в 152-ФЗ, – запрет на объединение баз данных с персональными данными в несовместимых целях обработки отсутствует в законодательстве Республики Беларусь. Кроме того, там отдельно прописан принцип прозрачности обработки ПД – она обязана носить прозрачный характер, должна быть понятна субъекту, оператор должен вовремя реагировать на его запросы, отметил эксперт.

В принципах обработки ПД Казахстана сформулированы законная и справедливая основа, конфиденциальность, соблюдение конституционных прав и свобод человека и гражданина.

Седа Антонян, «Б-152»:

– Еще один принцип равенства сторон субъекта и собственника базы вызывает у меня много вопросов. На мой взгляд, законодательство в этой сфере как раз таки говорит о неравенстве, о том, что есть слабая сторона – субъект персданных, который особенно нуждается в защите.

В части прав субъектов ПД законодательные подходы Беларуси, Казахстана и России практически идентичны

Но право на отзыв согласия на обработку данных в Казахстане ограничено, обратила внимание она. Субъект не может отозвать свое согласие, если оно не соответствует закону или если у субъекта есть неисполненные обязательства. «Это уникальное обстоятельство, потому что право на отзыв нельзя ограничивать», – подчеркнула Седа Антонян.

Никита Володин отметил, что российский 152-ФЗ подходит к трансграничной передаче персональных данных более гибко, чем законодательство Беларуси. Российское определение содержит три критерия:

• Трансграничная передача возникает, если передаются именно ПД;
• Данные передаются на территорию иностранного государства;
• Данные передаются иностранному юридическому или физическому лицу, а также госоргану.

Если компания направляет работника в командировку, откуда он будет получать доступ к персданным и обрабатывать их, – это не будет являться трансграничной передачей с точки зрения 152-ФЗ.

Аналогичное белорусское законодательство содержит только два критерия:

• Трансграничная передача персданных.
• На территорию иностранного государства – в любых случаях, если ПД пересекают границу республики, происходит трансграничная передача.

В законодательстве России и Беларуси также есть деление на «адекватные» страны (подписавшие «Конвенцию о защите физических лиц при автоматизированной обработке персональных данных») и «неадекватные», то есть обеспечивающие и не обеспечивающие надлежащую защиту персональных данных.

Определение трансграничной передачи в Казахстане также более жесткое, чем в России, и похоже на белорусское: «передача ПД на территорию иностранного государства», отметила Седа Антонян.

Тимур Халудоров