З лістапада 2021 года ў Беларусі ўступіў у сілу Закон "Аб абароне персанальных даных", дзякуючы якому ў краіне з'явілася комплекснае рэгуляванне сферы абароны персанальнай інфармацыі грамадзян.
Раней такога нарматыўнага акта ў Беларусі не існавала, а асобныя моманты былі прапісаны ў Законе "Аб інфармацыі, інфарматызацыі і абароне інфармацыі" і Законе "Аб рэгістры насельніцтва".
Сучасны свет пабудаваны такім чынам, што людзі ледзь не штодня перадаюць свае персанальныя даныя кампаніям і іншым людзям. На рабоце, у банках, офісах мабільных аператараў, любых дзяржаўных установах нас просяць паведаміць сваё імя і прозвішча, адрас пражывання, нумар і серыю пашпарта, кантактны тэлефон і іншыя звесткі. Пры гэтым важна, каб такая інфармацыя не стала здабыткам шырокай грамадскасці ці не была нядобрасумленна выкарыстана. На якіх падставах і каму яе перадаваць, як абараніць канфідэнцыйныя данныя, прапісана ў Законе "Аб абароне персанальных даных".
Можна вылучыць некалькі важных момантаў, прапісаных у Законе. Сярод іх:
- вызначэнне паняцця "персанальныя даныя". Цяпер да такіх даных адносіцца любая інфармацыя, з дапамогай якой можна ідэнтыфікаваць чалавека. Гэта не толькі нумар пашпарта ці год нараджэння - IMEI смартфона і нават IP адрас таксама лічыцца персанальнымі данымі. Калі чалавек сам распаўсюдзіў свае асабістыя даныя, то апошнія лічацца агульнадаступнымі.
- тлумачэнне таго, што трэба разумець пад апрацоўкай персанальных даных. У Законе сказана, што гэта любая аперацыя з персанальнымі данымі: збор, захоўванне, сістэматызацыя, выкарыстанне, распаўсюджванне і г.д.
- увядзенне паняцця "аператар персанальных даных". Гэта любая арганізацыя, якая апрацоўвае персанальныя даныя – крама, банк, страхавая кампанія, мабільны аператар, медыцынскі цэнтр і інш. Аператары зараз маюць шэраг абавязкаў, для іх прапісаны строгія правілы, якія неабходна выконваць.
- канкрэтныя меры, якія павінны прыняць арганізацыі для таго, каб апрацоўка персанальных даных была празрыстай і абароненай. Напрыклад, аператар павінен прызначыць асобу (стварыць структурнае падраздзяленне), адказную за ажыццяўленне ўнутранага кантролю за апрацоўкай персанальных даных; распрацаваць пакет дакументаў, якія вызначаюць палітыку ў сферы апрацоўкі персанальных даных; вызначыць парадак доступу да персанальных даных; унесці змены ў службовыя інструкцыі работнікаў, якія ажыццяўляюць апрацоўку персанальных даных.
Рэгулятарам Закона з'яўляецца Нацыянальны цэнтр абароны персанальных даных (НЦЗПД), які таксама быў створаны адразу пасля ўступлення Закона ў сілу. Менавіта ён ажыццяўляе кантроль за выкананнем заканадаўства з боку аператараў персанальных даных, гатовіць персанал, які адказны за апрацоўку асабістых даных, можа выставіць аператару патрабаванне змяніць ці нават выдаліць незаконна атрыманыя асабістыя даныя і інш.
Мабыць, галоўным дадатковым эфектам для звычайных людзей стане павышэнне якасці абароны іх персанальных даных. Цяпер ні адна беларуская арганізацыя не можа збіраць даныя аб карыстальніках без іх згоды на гэта, калі няма іншай прававой падставы, якая вызначана заканадаўствам. Больш за тое, карыстальнік мае права адклікаць сваю згоду - і кампанія будзе абавязана выдаліць яго персанальныя даныя.
У рамках працоўных адносін наймальнік і работнік павінны кіравацца Рэкамендацыямі НЦЗПД, узгодненымі з Міністэрствам працы. Напрыклад, работнік не можа патрабаваць ад наймальніка выдалення персанальных даных, пакуль працуе ў гэтай кампаніі. Затое пасля звальнення многія даныя можна будзе выдаліць (за выключэннем тых, якія на падставе актаў заканадаўства павінны захоўвацца на ранейшым месцы працы на працягу вызначанага тэрміна).
Таксама любы чалавек мае права звярнуцца ў арганізацыю, у якой вядзецца апрацоўка яго асабістых даных і даведацца, якім трэцім асобам яны перадаюцца, папрасіць унесці змяненні, атрымаць іншую інфармацыю, якая датычыцца яго персанальных даных. Парадак падачы такіх заяў падрабязна апісаны ў артыкуле 14 Закона.
Акрамя таго, калі вы лічыце, што вашы правы ў частцы апрацоўкі персанальных даных парушаюцца аператарам, вы можаце звярнуцца непасрэдна да рэгулятара Закона ў НЦЗПД. І ён праверыць працэс апрацоўкі вашых даных у гэтай арганізацыі.
Чалавек можа зайсці на сайт любой арганізацыі і азнаёміцца з Палітыкай у адносінах да апрацоўкі персанальных даных арганізацыі.
За невыкананне ўстаноўленых правіл Законам прадугледжана адказнасць і нават пакаранне. Так, НЦЗПД мае права заблакіраваць інфармацыйны рэсурс, напрыклад, сайт кампаніі. У якасці адказнасці за незаконную апрацоўку персанальных даных можа быць вынесена папярэджанне ці нават накладацца штраф.
Асоба, якая пацярпела ад невыканання Закона "Аб абароне персанальных даных", можа прэтэндаваць на кампенсацыю маральнай і матэрыяльнай шкоды.