Реализация прав субъектов персональных данных

Закон Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон) закрепляет требования к содержанию заявлений субъектов персональных данных, направленных на реализацию предусмотренных Законом прав (далее, если не указано иное, – заявления субъектов персональных данных).

В соответствии с пунктом 2 статьи 14 Закона заявления субъектов персональных данных должны содержать:

• фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
• дату рождения субъекта персональных данных;
• идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
• изложение сути требований субъекта персональных данных;
• личную подпись либо электронную цифровую подпись субъекта персональных данных.

По общему правилу, при наличии у оператора таких сведений установление им дополнительных требований к содержанию заявлений субъектов персональных данных не соответствует требованиям Закона.

Вместе с тем возможны ситуации, когда оператор не обрабатывает всю указанную в пункте 2 статьи 14 Закона информацию или ее часть либо обрабатывает иную информацию, не указанную в этом пункте. Соответственно, направление заявления с перечисленными персональными данными не позволит оператору надлежащим образом отреагировать на него.

В таких случаях представляется целесообразным указание в заявлении той информации, которая поможет оператору идентифицировать субъекта. При этом рассмотрение заявления, в котором отсутствуют определенные пунктом 2 статьи 14 Закона сведения, не является нарушением законодательства о персональных данных.

Примеры:

а) Оператор осуществляет обработку персональных данных на основании договора, заключенного с субъектом персональных данных, в целях совершения действий, установленных этим договором.
Договор содержит фамилию, собственное имя, отчество и адрес места жительства субъекта персональных данных.
Рассмотрение оператором заявления субъекта персональных данных, в котором отсутствуют дата его рождения и идентификационный номер, не противоречит законодательству о персональных данных.

б) Для получения доступа к онлайн-сервису пользователю необходимо создать учетную запись, используя свой номер телефона или адрес электронной почты.
В такой ситуации отражение номера телефона или адреса электронной почты как обязательного требования к заявлению субъекта персональных данных не является нарушением.

Необходимо учитывать также, что оператор не всегда обрабатывает персональные данные субъекта в привязке к данным, указанным в его заявлении о реализации права (фамилия, собственное имени, отчество (если таковое имеется) и т.п.), и, следовательно, не может организовать поиск требуемой информации только на основании этих данных.

Примеры.

а) Организация с целью обеспечения сохранности имущества осуществляет видеонаблюдение за входом и выходом в здание.
Камеры видеонаблюдения зафиксировали посещение субъектом персональных данных этого здания. Соответственно, организация осуществляет обработку его персональных данных (изображение человека). Одновременно с этим у нее нет возможности установить наличие подобной обработки в отсутствие дополнительной информации (даты и периода времени записи изображения субъекта персональных данных).
б) Средство массовой информации ежедневно осуществляет публикацию материалов, в том числе включающих фотографии людей или принадлежащего им имущества, с помощью которых они могут быть идентифицированы. При этом в ряде случаев оператор не соотносит такие изображения с конкретными субъектами.

В указанных ситуациях поиск всей необходимой информации, содержащей персональные данные, влечет необходимость осуществления операторами дополнительных мероприятий, связанных с подготовкой ответов на заявления.

В этой связи для реализации соответствующих прав субъекта персональных данных допустимо получить от него дополнительную информацию (например, о дате и примерном времени появления на записи камеры видеонаблюдения или ссылку на материал, содержащий его фотографию).

В соответствии с пунктом 1 статьи 10 Закона субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие посредством подачи оператору заявления в порядке, установленном статьей 14 Закона, либо в форме, посредством которой получено его согласие.

Пример.

Организация осуществляет рекламную рассылку на основании согласия субъекта персональных данных, которое может быть предоставлено в письменной или электронной форме (например, путем проставления соответствующей отметки в личном кабинете на интернет-ресурсе организации). При этом в качестве единственного варианта отзыва согласия предоставлена возможность заполнения формы обратной связи.
Подобная модель реализации отзыва согласия не соответствует пункту 1 статьи 10 Закона.

В то же время не противоречит Закону предоставление операторами дополнительной возможности реализации права на отзыв согласия в иных формах (например, посредством ussd-запроса, звонка в колл-центр, направления обращения в чат-бот или на адрес электронной почты и т.п.), позволяющих идентифицировать субъекта.

Применительно к вопросу отзыва согласия в той форме, в которой оно получено, следует отличать форму и способ получения согласия. Так, получение согласия в иной электронной форме подразумевает возможность его отзыва в иной электронной форме, независимо от способа получения (перечень таких способов содержится в пункте 3 статьи 5 Закона и является открытым). Однако важно, чтобы способ отзыва согласия был так же прост, как и способ его предоставления.

Пример.

Организация получает согласие субъектов на обработку персональных данных (адрес электронной почты) для осуществления рекламной рассылки путем проставления отметки (галочки) в соответствующем ”чек-боксе“ при оформлении заказа на сайте без создания личного кабинета.
В таком случае соответствует законодательству о персональных данных предоставление субъектам права отозвать согласие посредством нажатия кнопки ”отписаться“, которая содержится в письме, содержащем рекламную рассылку.

Статья 11 Закона закрепляет право на получение информации, касающейся обработки персональных данных.

Пункт 1 статьи 11 Закона определяет объем информации, касающейся обработки персональных данных, которая должна быть предоставлена оператором субъекту, реализующему соответствующее право. В частности, оператор должен указать в ответе обрабатываемые им персональные данные заявителя.

При этом не соответствует требованиям Закона указание обобщающей характеристики или категории обрабатываемых персональных данных (например, ”адрес доставки“), если законодательством не установлены иные требования к получению интересующей информации (смотрите пример про получение информации о размере заработной платы). Оператор должен обозначить в ответе конкретную информацию о субъекте (например, ”адрес доставки: ул. К.Цеткин, 24-3“).

Необходимо учитывать положения пункта 3 статьи 3 Закона о том, что законодательным актом, устанавливающим правовой режим охраняемой законом тайны, могут быть предусмотрены особенности обработки персональных данных, входящих в состав охраняемой законом тайны. В этом случае применяются положения этого законодательного акта.

Пример.

Информация о состоянии здоровья одновременно относится как к категории персональных данных, так и к врачебной тайне. В этой связи право на получение информации, касающейся обработки персональных данных, может быть реализовано путем предоставления пациенту медицинской справки о состоянии здоровья или выписки из медицинских документов, формы и порядок заполнения которых установлены постановлением Министерства здравоохранения Республики Беларусь от 9 июля 2010 г. № 92.

Необходимо иметь в виду, что реализация права на получение информации, касающейся обработки персональных данных, не может заменить установленные законодательными актами механизмы получения отдельных видов информации, относящейся к персональным данным заявителя.

Пример.

Получение информации о размере заработной платы предусмотрено подпунктом 2.4 пункта 2 перечня административных процедур, осуществляемых государственными органами и иными организациями по заявлениям граждан, утвержденного Указом Президента Республики Беларусь от 26 апреля 2010 г. № 200. Соответствующая форма справки утверждена приложением 132 к постановлению Министерства труда и социальной защиты Республики Беларусь от 5 ноября 2010 г. № 140.
В этой связи ответ оператора на заявление о получении информации, касающейся обработки персональных данных своего работника (бывшего работника), может содержать общие сведения в части выплаты ему заработной платы (реквизиты текущего (расчетного) банковского счета заявителя, период выплаты и др.) и разъяснение права заявителя на получение соответствующей информации в порядке осуществления административной процедуры.

Статья 12 Закона гарантирует субъектам право на получение информации о предоставлении их персональных данных третьим лицам.

Право субъекта персональных данных получать от оператора информацию о предоставлении своих персональных данных третьим лицам предполагает обязанность оператора обеспечить учет фактов такой обработки.

Это не обязательно требует организации специального учета предоставляемых персональных данных (например, использования специализированного программного обеспечения, журналов и т.п.) и может осуществляться с помощью технических возможностей используемых оператором информационных ресурсов (систем) (например, систем электронного документооборота, управления взаимоотношениями с клиентами и т.п.).

Для определения случаев предоставления персональных данных, подлежащих учету, необходимо иметь в виду следующее:

• при предоставлении персональных данных непосредственно субъекту персональных данных отсутствует факт предоставления оператором персональных данных третьему лицу. Возможность передачи субъектом персональных данных информации о себе иным лицам не влечет обязанности оператора вести учет таких случаев;
• предоставление третьим лицам персональных данных умерших не требует учета, исходя из отсутствия у наследников и близких родственников права на получение информации о предоставлении персональных данных умершего третьим лицам, за исключением ситуаций, когда обработка персональных данных умершего осуществляется на основании согласия, данного этими лицами;
• не имеют значения форма предоставления персональных данных (устная, письменная и т.д.) и наличие волеизъявления субъекта персональных данных для совершения этого действия;
• исключения из права субъектов персональных данных на получение информации о предоставлении их персональных данных третьим лицам, предусмотренные пунктом 3 статьи 12 Закона, не требуют учета.

Статья 13 Закона закрепляет право требовать прекращения обработки персональных данных и (или) их удаления.

При этом в качестве меры по недопущению дальнейшей обработки персональных данных Закон предусматривает в том числе блокирование персональных данных.

Такая мера в контексте Закона является альтернативой удалению, поэтому прекращение доступа к персональным данным должно исключать возможность последующего доступа к ним, их использования и иных видов обработки (за исключением хранения) в интересах оператора.

Обязательным условием блокирования персональных данных является техническая невозможность их удаления, в том числе путем совершения действий, в результате которых невозможно определить принадлежность данных конкретному субъекту (т.н. анонимизации), т.е. ситуации, когда удаление персональных данных в информационном ресурсе (системе) может привести к его некорректной работе.

Не содержащие идентифицирующих характеристик данные (анонимизированные) не относятся к категории персональных данных, соответственно, действие Закона на них не распространяется и препятствий для их обработки в информационном ресурсе (системе) не будет (важно отличать анонимизацию от обезличивания (псевдонимизации), в результате которого информация не теряет статус персональных данных).