Об обучении в центре
Категории обучаемых в Национальном центре защиты персональных данных лиц определены приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 194 ”Об обучении по вопросам защиты персональных данных“ . Это лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, выполняющие эти функции:
- в банках и небанковских кредитно-финансовых организациях;
- в страховых организациях;
- у операторов электросвязи (за исключением индивидуальных предпринимателей);
- в республиканской и территориальных организациях по государственной регистрации недвижимого имущества, прав на него и сделок с ним;
- в Белорусской нотариальной палате, областных (Минской городской) нотариальных палатах;
- в риэлтерских организациях;
- в организациях здравоохранения;
- в местных исполнительных и распорядительных органах (за исключением сельских (поселковых) исполнительных комитетов), их структурных подразделениях с правами юридического лица;
- у операторов (уполномоченных лиц), организующих и (или) осуществляющих обработку персональных данных не менее 10 тыс. физических лиц, за исключением персональных данных работников этих операторов (уполномоченных лиц) в процессе осуществления трудовой (служебной) деятельности.
Именно указанные субъекты обязаны предоставлять в Национальный центр защиты персональных данных информацию в соответствии с частью второй подпункта 3.3 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“.
В Национальном центре защиты персональных данных также могут обучаться лица, непосредственно осуществляющие обработку персональных данных в организациях, указанных в подпункте 1.1 пункта 1 приказа Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 194, а также иные лица. В случае заинтересованности обучения таких лиц оператор (уполномоченное лицо) обеспечивает представление Национальному центру защиты персональных данных ежегодно до 15 ноября информации об их количестве. Вопрос об обучении данных лиц будет рассматриваться Национальным центром защиты персональных данных исходя из приоритета обязательного обучения отдельных категорий и имеющихся организационных возможностей.
В соответствии с абзацами четвертым – шестым части первой подпункта 3.3 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 такие лица могут пройти обучение:
- в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов;
- в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);
- у оператора (уполномоченного лица), то есть непосредственно в организации, путем изучения требований в области защиты персональных данных и проверки знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).
Договор и согласие
Договор и согласие выступают самостоятельными правовыми основаниями обработки персональных данных, которые не должны смешиваться и подменять друг друга.
Согласие субъекта персональных данных на обработку его персональных данных не требуется при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором.
Указанные в договоре персональные данные, которые необходимы для совершения действий, установленных договором, обрабатываются без согласия субъекта персональных данных. Соответствующие положения не должны включаться в договор.
Например, вы заключаете с организацией гражданско-правовой договор на перевозку мебели, в котором указываете свои персональные данные. Дополнительное оформление согласия на обработку ваших персональных данных не требуется, поскольку имеется иное правовое основание для их обработки без согласия субъекта персональных данных, предусмотренное абзацем пятнадцатым статьи 6 Закона.
Конкретных норм, которые бы предусматривали оформление согласия на обработку персональных данных для достижения иных целей, не связанных с предметом договора (например, рекламная рассылка), в виде отдельного документа или запрещали включение соответствующих положений, например, в текст договора, Закон не содержит.
Вместе с тем в соответствии с пунктом 1 статьи 5 Закона согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных. Оценивая согласие на предмет его свободного характера, следует исходить из того, обладает ли гражданин реальным выбором давать свое согласие либо его согласие является вынужденным, например, в силу связанности согласия с достижением иной, желаемой для него цели.
Например, оператором в договор купли-продажи включены положения о том, что лицо, приобретая товар, дает согласие на предоставление своих персональных данных в целях предоставления рекламных рассылок. Рекламные рассылки не являются необходимыми для исполнения сторонами договора купли-продажи, и такое согласие не носит свободного характера и, соответственно, не будет признаваться юридически действительным.
Согласие будет считаться свободным, если субъект персональных данных обладает возможностью выбора – дать (например, проставив галочку) или не дать свое согласие независимо от заключения такого договора. При этом отсутствие такого согласия не влечет отказ в заключении договора.
В такой ситуации согласие может рассматриваться как ”свободное“.
Согласие должно быть информированным, то есть субъекту до начала обработки должна быть предоставлена информация, предусмотренная пунктом 5 статьи 5 Закона. Включая согласие в текст договора, и предусматривая возможность субъекту персональных данных выбрать, давать или не давать такое согласие, оператор должен в этом договоре предусмотреть и соответствующую информацию, что может привести к ”перегрузке“ договора.
Таким образом, несмотря на то, что законодательство о персональных данных не содержит запрета на включение в текст договора согласия на обработку персональных данных, использование данного подхода на практике может приводить к конфликтным ситуациям и затруднительности для оператора обосновать свободный характер полученного согласия.
Учитывая, что согласно статье 6 Закона договор и согласие на обработку персональных данных являются самостоятельными правовыми основаниями для обработки персональных данных, более предпочтительным видится оформление согласия на обработку персональных данных и предоставление необходимой информации, связанной с обработкой, в отдельном документе.
Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ понятие ”разглашение персональных данных“, равно как и подписание работниками обязательства о неразглашении персональных данных не предусмотрены.
Трудовым кодексом установлена дисциплинарная ответственность за нарушение работником порядка обработки персональных данных. В этой связи привлечение работника к такой ответственности не связано с наличием (отсутствием) рассматриваемого обязательства.
Обязанность соблюдения законодательства о персональных данных и принятых в соответствии с ним локальных правовых актов оператора целесообразно закрепить в должностных инструкциях работников.
Таким образом, получение от работников обязательства о неразглашении персональных данных не требуется и приведет к появлению дополнительного, не основанного на законодательстве документа, содержащего персональные данные работника.
Согласие является одним из правовых оснований для обработки персональных данных. При этом все правовые основания, включая согласие, имеют равную силу.
Случаи (правовые основания), когда для обработки персональных данных согласие не требуется, перечислены в статьях 6 и 8 Закона. При наличии хотя бы одного из этих правовых оснований обработка персональных данных будет осуществляться без согласия субъекта персональных данных. Наиболее распространенными случаями, когда обработка осуществляется без согласия субъекта персональных данных, являются следующие:
- при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством (например, статьей 26 Трудового кодекса Республики Беларусь установлен перечень документов, которые наниматель обязан потребовать, а гражданин должен предъявить нанимателю при заключении трудового договора);
- при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа (например, заявление об оказании материальной помощи);
- в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (согласно Закону Республики Беларусь от 18 июля 2011 г. № 300-З ”Об обращениях граждан и юридических лиц“ организации, индивидуальные предприниматели обязаны, в частности, принимать меры для полного, объективного, всестороннего и своевременного рассмотрения обращений. В письменных ответах на жалобы в отношении действий (бездействия) организаций, индивидуальных предпринимателей и их работников должны содержаться анализ и оценка указанных действий (бездействия), информация о принятых мерах в случае признания жалоб обоснованными.)
Согласие на обработку персональных данных может быть дано в письменной форме, в виде электронного документа (подписанного электронной цифровой подписью) или в иной электронной форме.
Согласие в виде электронного документа должно быть удостоверено электронной цифровой подписью, выработанной с использованием личного ключа, сертификат открытого ключа которого издан в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь.
В иной электронной форме согласие на обработку персональных данных может быть дано посредством:
- указания (выбора) определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
- проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе;
- других способов, позволяющих установить факт получения согласия субъекта персональных данных.
Например, с учетом открытого перечня способов получения согласия в иной электронной форме, к таким способам может быть отнесено получение согласия посредством записи в электронной форме телефонного разговора, обмена е-mail, обмена информацией через мобильное приложение и т.п.
Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие, подав оператору заявление.
Такое заявление может быть подано в письменной форме или в форме электронного документа и должно содержать:
- фамилию, собственное имя, отчество (если таковое имеется), адрес места жительства (места пребывания);
- дату рождения;
- идентификационный номер, при отсутствии такого номера – номер документа, удостоверяющего личность, в случаях, если эта информация указывалась при даче своего согласия оператору;
- изложение сути требований;
- вашу личную подпись либо электронную цифровую подпись субъекта персональных данных.
Кроме того, если согласие было получено в иной электронной форме (например, путем указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты либо проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе, а также других способов, позволяющих установить факт получения согласия субъекта персональных данных), то оператор обязан предоставить возможность для отзыва согласия в такой же форме (например, посредством проставления соответствующей отметки на интернет-ресурсе).
Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить субъекта персональных данных об этом, если отсутствуют иные правовые основания для таких действий с персональными данными.
При отсутствии технической возможности удаления персональных данных оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить субъекта персональных данных об этом в тот же срок.
Право на отзыв согласия субъекта персональных данных может быть реализовано только в том случае, когда правовым основанием обработки персональных данных выступает согласие субъекта персональных данных.
Обработка персональных данных в целях совершения действий, установленных в договоре, который заключен между субъектом персональных данных и оператором, осуществляется без согласия субъекта персональных данных. В этой связи правовые основания отзыва согласия отсутствуют.
При заключении договора добровольного страхования медицинских расходов между юридическим лицом (в отношении своих работников) и страховой организацией каждая из этих сторон обрабатывает персональные данные работников и является самостоятельным оператором. Соответственно, каждый оператор должен иметь правовые основания для такой обработки.
Добровольное медицинское страхование может быть реализовано только в случае, если работник выражает на это соответствующее желание.
Наряду с согласием правовым основанием для предоставления юридическим лицом персональных данных своих работников страховой организации в целях заключения договора добровольного страхования медицинских расходов может служить заявление работника.
Правовым основанием для обработки персональных данных застрахованных лиц страховой организацией для целей исполнения договора добровольного страхования медицинских расходов, заключенного между страховой организацией и юридическим лицом, должно являться согласие субъекта персональных данных, которое должно быть получено до заключения указанного договора.
До 15 ноября 2021 г. (вступление в силу Закона) сбор, обработка, хранение информации о частной жизни и персональных данных физического лица осуществлялось с его письменного согласия в соответствии со статьей 18 Закона Республики Беларусь от 10 ноября 2008 г. № 455-З ”Об информации, информатизации и защите информации“ (далее – Закон об информации, информатизации и защите информации).
С 15 ноября 2021 г. вступили в силу основные положения Закона, которыми существенно повышаются требования к порядку получения согласия и его содержанию, что направлено на дополнительную защиту прав физических лиц при обработке их персональных данных.
Однако в Законе не определены переходные положения, предусматривающие порядок распространения его действия на отношения, возникшие до вступления его в силу, в связи с чем при его применении на практике возможны следующие ситуации.
1. Учитывая положения статьи 66 Закона Республики Беларусь
от 17 июля 2018 г. № 130-З ”О нормативных правовых актах“, если согласие было получено до вступления в силу Закона и соответствовало требованиям Закона об информации, информатизации и защите информации, такое согласие признается надлежащим для целей Закона, и получение нового согласия не требуется. При этом условия обработки таких персональных данных после 15 ноября 2021 г. должны соответствовать требованиям Закона.
В частности, если согласие являлось частью договора, заключенного до вступления в силу Закона, и касалось обработки персональных данных в рамках заключения (исполнения) договора, а информация, указанная в статье 5 Закона, не предоставлялась, то с 15 ноября 2021 г. дальнейшая обработка признается правомерной. Правовым основанием на такую обработку выступает абзац пятнадцатый статьи 6 Закона (обработка на основании договора, заключенного (заключаемого) с субъектом персональных данных).
Если согласие получалось также для иных целей (например, рекламных рассылок), то в части иных целей действует согласие, а в части обработки для заключения (исполнения) договора – основание, предусмотренное абзацем пятнадцатым статьи 6 Закона.
2. Если ранее полученное согласие не соответствовало Закону об информации, информатизации и защите информации (не соблюдена письменная или приравненная к ней форма) и в соответствии с Законом отсутствуют иные правовые основания для обработки персональных данных, то оператор должен либо получить согласие в соответствии с требованиями, установленными статьей 5 Закона, либо прекратить обработку и удалить персональные данные субъекта.
1.3. В случае, если до 15 ноября 2021 г. законодательством не предусматривалось возможности обработки персональных данных без согласия, и не было получено согласие, а после вступления в силу Закона обработка продолжается и подпадает под одно из оснований, предусмотренных статьей 6 Закона (например, обработка при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных), то такая обработка может вестись без согласия на основании соответствующих положений статьи 6 Закона.
1.4. Если до 15 ноября 2021 г. законодательством не предусматривалось возможности обработки персональных данных без согласия и согласие не было получено, а после вступления в силу Закона обработка продолжается и не подпадает под основания, предусмотренные статьей 6 Закона, то оператор должен либо получить согласие в соответствии с требованиями, установленными статьей 5 Закона, либо прекратить обработку и удалить персональные данные субъекта.
Осуществление внутреннего контроля за обработкой персональных данных
Наличие в любой организации множества бизнес-процессов, связанных с использованием персональных данных, различных целей и правовых оснований обработки персональных данных, круга лиц, которые имеют доступ к таким данным, обусловливают сложность повседневного контроля в этой сфере и нередко приводят к различного рода нарушениям. При этом многие нарушения обусловлены незнанием или ошибочным представлением о возможных (допустимых) пределах использования персональных данных, неосведомленностью о положениях законодательства о персональных данных.
Поэтому необходим действенный механизм обеспечения соблюдения Закона и недопущения претензий как со стороны уполномоченного органа по защите прав субъектов персональных данных, иных государственных органов, так и со стороны субъектов персональных данных, предотвращения репутационных потерь организации вследствие несоблюдения законодательства.
Его важнейшим элементом призван стать предусмотренный Законом институт внутреннего контроля за соблюдением законодательства о персональных данных. повышению эффективности данного института должен способствовать и предусмотренный в законодательстве о персональных данных специальный порядок обучения лиц, уполномоченных на осуществление внутреннего контроля.
В связи с изложенным не допустим формальный подход к назначению ответственного за осуществление внутреннего контроля и созданию условий для обеспечения его деятельности.
К основным функциям лица, ответственного за осуществление внутреннего контроля, могут, в частности, относиться следующие:
- осуществление (участие в осуществлении) внутреннего контроля за обработкой персональных данных (в этих целях целесообразно иметь в организации положение о порядке проведения внутреннего контроля);
- консультирование руководителя и работников по вопросам применения законодательства о персональных данных;
- участие в разработке (поддержании в актуальном состоянии) документов, определяющих политику организации в отношении обработки персональных данных;
- ведение (координация ведения) реестра обработки персональных данных;
- участие в обучении работников организации и иных лиц, непосредственно осуществляющих обработку персональных данных по вопросам защиты персональных данных (в том числе разработка тестов, иных заданий, их проверка и т.п.);
- участие в рассмотрении заявлений субъектов персональных данных;
- взаимодействие с уполномоченным органом по защите прав субъектов персональных данных – Национальным центром защиты персональных данных.
Конкретные квалификационные требования к работникам, на которых возлагаются функции ответственного за осуществление внутреннего контроля, Законом не определены. Однако с учетом возлагаемых на данных лиц функций, такое лицо должно назначаться c учетом знания законодательства о персональных данных (что, как правило, предполагает наличие юридического образования) и практики его применения, а также способности выполнять функции, возложенные на данное лицо.
Назначение лица, ответственного за осуществление внутреннего контроля, может быть реализовано следующим образом:
- освобожденный работник (структурное подразделение) – целесообразно в случае масштабной обработки персональных данных (особенно, если цель организации – извлечение прибыли);
- возложение дополнительных функций на одного из работников организации. При этом для такого лица обработка персональных данных не должна быть основным видом деятельности, что призвано исключить потенциальный конфликт интересов. В связи с этим следует исключить назначение ответственного за осуществление внутреннего контроля из числа руководителей организации (их заместителей), а также структурных подразделений или работников, основные функции которых связаны с обработкой большого объема персональных данных (например, кадровые и бухгалтерские службы, структурные подразделения по обращениям граждан и т.п.). Кроме того, у назначенного работника должна быть объективная возможность выполнять соответствующие функции с учетом уже имеющихся должностных обязанностей;
- возложение дополнительных функций на двух работников: на одного (например, юрисконсульт) – в части организационных и правовых мер, на другого (например, специалист по информационной безопасности) – в части мер по технической и криптографической защите персональных данных. При таком варианте требуется четкое распределение функций между указанными лицами, исключение противоречий в их деятельности. При этом, как и в предыдущем варианте, у назначенного работника должна быть объективная возможность выполнять соответствующие функции с учетом уже имеющихся должностных обязанностей.
Представляется нецелесообразным возложение соответствующих функций исключительно на ответственного за обеспечение защиты информации или инженера (программиста, системного администратора, специалиста по информационной безопасности и т.п.).
Не соответствует цели введения рассматриваемого института практика тех организаций, в которых лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, назначаются в каждом структурном подразделении. Это приводит к сложностям при их взаимодействии, конкуренции, возможности появления различных подходов по реализации законодательства о персональных данных в различных подразделениях. Кроме того, это может приводить к конфликту интересов, а также потребовать дополнительных временных и финансовых затрат на обучение таких лиц (например, на базе Национального центра защиты персональных данных).
В целях надлежащего выполнения организацией возложенных на нее Законом обязанностей рекомендуется обеспечить независимость лица, ответственного за осуществление внутреннего контроля, посредством:
- предоставления доступа к документам и информации, в том числе обрабатываемой в информационных системах (ресурсах) в объеме, необходимом для выполнения возложенных на него обязанностей;
- организации непосредственной подчиненности руководителю организации или его заместителю.
Важно обратить внимание, что в связи с назначением ответственного за осуществление внутреннего контроля ни оператор, ни уполномоченное лицо, ни работники организации, непосредственно осуществляющие обработку персональных данных, не освобождаются от ответственности, предусмотренной законодательными актами, за допущенные ими нарушения.
Ответственность за нарушение законодательства о защите персональных данных
В соответствии со статьей 19 Закона Республики Беларусь ”О защите персональных данных“ лица, виновные в нарушении настоящего Закона, несут ответственность, предусмотренную законодательными актами. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных настоящим Законом, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
За нарушение законодательства о защите персональных данных, незаконные действия в отношении персональных данных, несоблюдение мер обеспечения их защиты установлена дисциплинарная, административная и уголовная ответственность.
Дисциплинарная ответственность:
Статья 47 ТК (с 29.06.2021)
Трудовой договор с работником может быть прекращен в случаях нарушения им порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных.
Кроме того, за нарушение должностных обязанностей в сфере обработки персональных данных может наступать также дисциплинарная ответственность и другие меры ответственности, предусмотренные Трудовым кодексом.
Административная ответственность:
Статья 23.7 КоАП (с 01.03.2021)
Нарушение законодательства о защите персональных данных
- Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, –влекут наложение штрафа в размере до пятидесяти базовых величин.
- Деяния, предусмотренные частью 1 настоящей статьи, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, – влекут наложение штрафа в размере от четырех до ста базовых величин.
- Умышленное незаконное распространение персональных данных физических лиц – влечет наложение штрафа в размере до двухсот базовых величин.
- Несоблюдение мер обеспечения защиты персональных данных физических лиц – влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя – от десяти до двадцати пяти базовых величин, а на юридическое – от двадцати до пятидесяти базовых величин.
Протоколы об административных правонарушениях по статье 23.7 КоАП имеют право составлять уполномоченные должностные лица органов внутренних дел, дела рассматриваются единолично судьей районного (городского) суда.
Уголовная ответственность:
Статья 203-1 УК (с 19.06.2021)
Незаконные действия в отношении информации о частной жизни и персональных данных
1. Умышленные незаконные сбор, предоставление, иная обработка информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина, наказываются общественными работами, или штрафом, или арестом, или ограничением свободы на срок до двух лет, или лишением свободы на тот же срок.
Важно!!!!
Уголовная ответственность по части первой статьи 203-1 УК возможна при наличии выраженного в установленном уголовно-процессуальным законом порядке требования лица, пострадавшего от преступления.
2. Умышленное незаконное распространение информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина, наказываются лишением права занимать определенные должности или заниматься определенной деятельностью со штрафом или ограничением свободы на срок до трех лет со штрафом, или лишением свободы на тот же срок со штрафом.
3. Действия, предусмотренные частями 1 или 2 настоящей статьи, совершенные в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга, – наказываются ограничением свободы на срок до пяти лет со штрафом, или лишением свободы на тот же срок со штрафом.
Статья 203-2 УК (с 19.06.2021)
Несоблюдение мер обеспечения защиты персональных данных
Несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий,- наказывается штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или исправительными работами на срок до одного года, или арестом, или ограничением свободы на срок до двух лет, или лишением свободы на срок до одного года.
Важно!!!!
Национальный центр защиты персональных данных не уполномочен на привлечение к ответственности за нарушение законодательства о защите персональных данных.
Применение закона "О защите персональных данных" в отношении иностранных организаций
Закон не содержит специальных положений, определяющих его действие в пространстве и по кругу лиц. В этой связи подлежат применению общие положения законодательства Республики Беларусь о нормативных правовых актах.
С учетом статьи 67 Закона Республики Беларусь от 17 июля 2018 г. № 130-З ”О нормативных правовых актах“ требования Закона не распространяются на обработку персональных данных иностранной организацией за пределами Республики Беларусь. Однако действие Закона распространяется на иностранные организации, осуществляющие свою деятельность на территории Республики Беларусь через представительства, открытые в порядке, предусмотренном законодательством Республики Беларусь, в части деятельности такого представительства.
Принимая во внимание то, что представительство иностранной организации не является самостоятельным юридическим лицом, а выступает в качестве обособленного подразделения иностранной организации, действует от имени и в интересах оператора, оператором, исходя из положений Закона, признается сама иностранная организация.
Назначение оператором структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, отнесено Законом к числу обязательных мер по обеспечению защиты персональных данных. При этом в целях эффективного выполнения оператором обязанностей, возложенных на него Законом, а также учитывая, что обработка персональных данных на территории Республики Беларусь будет осуществляться непосредственно представительством иностранной организации, целесообразным видится назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, именно в представительстве иностранной организации.
Исходя из положений Закона, ключевым критерием трансграничной передачи персональных данных является факт ее перемещения на территорию иностранного государства.
В случае передачи персональных данных иностранной организации, расположенной за пределами Республики Беларусь, ее представительством имеет место трансграничная передача, которая должна осуществляться представительством иностранной организации в соответствии со статьей 9 Закона.
Иные вопросы
На основании статьи 16 Закона Республики Беларусь от 25 ноября 1999 г. № 326-З ”О туризме“ реализация туров (оказание туристических услуг) осуществляется:
- субъекту туристической деятельности – на основании договора комиссии или иных договоров, не запрещенных законодательством;
- участнику (участникам) туристической деятельности – на основании договора оказания туристических услуг.
При этом в соответствии с частью первой статьи 17 названного Закона исполнителем по договору оказания туристических услуг может быть любой субъект туристической деятельности (туроператор или турагент). Хотя турагент является связующим звеном между туроператором и заказчиком (участником туристической деятельности), он при этом выступает самостоятельным участником правоотношений, заключая соответствующие договоры и, как следствие, осуществляя сбор и обработку персональных данных от заказчика и третьих лиц, в пользу которых заключен договор оказания туристических услуг.
При заключении договора оказания туристических услуг турагент осуществляет обработку персональных данных как заказчика, так и третьих лиц, поскольку такие персональные данные на основании части первой пункта 27 Правил оказания туристических услуг, утвержденных постановлением Совета Министров Республики Беларусь от 12 ноября 2014 г. № 1064, необходимы для целей оказания туристических услуг. В этой связи для целей Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ отношения туроператор – турагент следует рассматривать как отношения оператор – оператор, поскольку турагент имеет самостоятельное право на сбор и обработку персональных данных участников туристической деятельности от своего имени.
При этом следует отметить, что данная модель отношений будет действовать только в течение 2022 года, поскольку с 1 января 2023 г. вступает в силу Закон Республики Беларусь от 11 ноября 2021 г. № 129-З ”О туризме“. Данный Закон определяет туроператора как непосредственного исполнителя по договору оказания туристических услуг (абзац пятый пункта 1 статьи 1 названного Закона), а турагента в данном случае – как уполномоченное лицо туроператора на совершение юридически значимых действий, в том числе на заключение договоров оказания туристических услуг (пункт 4 статьи 22 названного Закона).
В этой связи с 1 января 2023 г. для целей Закона о персональных данных отношения туроператор – турагент будут носить характер оператор – уполномоченное лицо.