Проект первого в Беларуси закона о персональных данных опубликован и проходит общественное обсуждение (свои замечания и предложения к тексту проекта каждый желающий может оставить до 11 августа). Если закон будет принят в предложенной редакции, у бизнеса будет год до его вступления в силу, чтобы подготовиться и перестроить свои процессы под новые требования. Партнёр юридической фирмы Arzinger & Partners Клим Сташевский рассказал про специфические моменты законопроекта, которые коснутся разработчиков мобильных приложений — и пообещал ни разу не упоминать GDPR в статье.
Сухим юридическим языком проект закона описывает все разнообразие действий, которые можно совершать с персональными данными, но для простоты восприятия в рамках данного разговора можно объединить все эти действия одним словом «обработка».
Если не заплывать на глубину всех этих прав, обязанностей, требований, то ближе к берегу можно выловить несколько важных наблюдений.
1. А тебе точно 16 лет?
Проект закона исповедует необходимость получения согласия пользователей на обработку их персональных данных (что хорошо для пользователя). Но такое согласие могут давать только дееспособные люди. Дееспособность — это законная возможность заключать сделки. Она наступает в 16 лет, но может наступить и раньше: если человек вступил в брак (это возможно с 15 лет), либо если суд признал его дееспособным (это называется эмансипация).
Это значит, что если пользователю меньше 16, он еще не обременён браком и ни разу не был в суде, то согласие на обработку его данных должны дать родители (или усыновители и попечители).
Тут два варианта для разработчиков: либо запретить пользователям моложе 16 лет использовать их сервис (как это сделал в Европе WhatsApp), либо придумать, как сделать дачу согласия родителями удобной и комфортной.
2. Сбор отпечатков требует письменного согласия
Сбор биометрических (отпечатки пальцев, ладоней, радужная оболочка глаза, характеристики и изображение (!) лица) и генетических (код ДНК человека) персональных данных может осуществляться с согласия пользователя, данного только в письменной форме или в виде электронного документа (необходима ЭЦП). Другими словами, если в приложении используется что-то похожее на Touch ID или Face ID, то пользователь должен на это подписаться.
Судя по всему, под письменной формой проект закона подразумевает именно бумажный документ (т.к. проставление галочки в соответствующей форме противопоставляется письменной форме, что свидетельствует о неумолимом противостоянии двух правовых школ современной Беларуси: является галочка (акцепт оферты) письменной формой или нет).
3. Размещать сервера для обработки персональных данных в Беларуси не требуется (пока)
Проект закона не содержит требований к размещению серверов в Беларуси, если на них обрабатывают персональные данные граждан Беларуси (в ходе разработки проекта были опасения, что белорусский законодатель воспримет опыт восточного соседа, но этого не произошло). Однако в тексте есть норма, которая фиксирует, что порядок технической и криптографической защиты персональных данных устанавливается Оперативно-аналитическим центром (ОАЦ). Такие требования есть и действуют, но как их адаптируют в развитие принятого закона – хороший вопрос.
При этом надо учитывать, что есть Указ №60, который возвращает в национальный сегмент сети Интернет информационные сети, системы и ресурсы, используемые для продажи или оказания услуг белорусским бизнесом на территории Беларуси. Хочется верить, что вопрос соотношения указа и закона будет решён не путем многочисленных толкований и рассуждений юристов (как это сегодня происходит), а изменением самого указа.
Пока на странице обсуждения законопроекта только две страницы с комментариями.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.