Владельцы международных сайтов часто думают: «Мой бизнес зарегистрирован в другой стране, серверы тоже не в Беларуси, значит, местные законы меня не касаются». Но с персональными данными эта логика работает не всегда. Белорусское законодательство, как и европейский GDPR, умеет действовать на расстоянии.
Вопрос не в том, где физически находится компания. Вопрос в том, на кого ориентирован сайт и чьи данные он собирает.
Когда у иностранца появляются обязанности?
Закон «О персональных данных» вступил в силу в Беларуси в ноябре 2021 года. Он четко прописывает, что его нормы распространяются не только на местные компании. Иностранный оператор тоже обязан их соблюдать, если его деятельность направлена на белорусских пользователей.
Как это понять? Есть несколько признаков.
Первый и самый очевидный – сайт использует домен .by. Это прямое указание на то, что ресурс ориентирован на Беларусь.
Второй признак – языковая и валютная адаптация. Если на сайте есть русский или белорусский язык, цены указаны в белорусских рублях, а доставка предлагается по территории страны – это уже не случайность, а целенаправленная работа с местной аудиторией.
Третий момент – реклама. Если компания платит за продвижение в Беларуси, использует местные соцсети или сотрудничает с белорусскими блогерами, значит, она осознанно выходит на этот рынок.
И наконец, даже без всех этих признаков, если сайт просто собирает данные белорусов и использует их в коммерческих целях, закон может быть применен.
Что конкретно нужно делать?
Если иностранный сайт попадает под действие белорусского закона, у него появляется набор вполне конкретных обязанностей. Они не сложнее, чем требования GDPR, но игнорировать их не стоит.
Первое – нужно назначить ответственного за обработку персональных данных. Это может быть сотрудник компании или внешний консультант. Главное, чтобы человек реально занимался этими вопросами и знал, что делать.
Второе – опубликовать политику обработки персональных данных. Документ должен быть доступен на сайте, написан понятным языком и объяснять пользователю, какие данные собираются, зачем и как долго хранятся. Спрятанные в подвал сайта ссылки, которые никто не читает, – не лучший вариант. Политика должна быть на виду.
Третье – получать согласие на обработку данных. Здесь белорусский закон строг. Нельзя использовать заранее проставленные галочки. Нельзя прятать согласие в длинных абзацах пользовательского соглашения. Человек должен осознанно нажать кнопку, понимая, на что он соглашается. И у него должна быть возможность этот выбор изменить.
Четвертое – уведомить Национальный центр защиты персональных данных. Это требование многих удивляет. Мало того что сайт иностранный, так еще и в белорусский госорган нужно отчитываться. Но закон есть закон. До начала обработки данных белорусов оператор обязан направить уведомление. Исключения есть, но они касаются в основном бумажных носителей или данных, собираемых при пересечении границы.
Пятое – обеспечить права пользователей. Белорусы могут потребовать показать, какие данные о них хранятся, исправить ошибки или удалить информацию. Игнорировать такие запросы нельзя. На ответ обычно дается около двух недель.
Что будет, если ничего не делать?
Многие иностранные компании надеются, что до них просто не дотянутся. Но Национальный центр защиты персональных данных работает активно и мониторит интернет. Были случаи, когда требования об устранении нарушений направлялись владельцам сайтов за пределами Беларуси.
Ответственность предусмотрена административная. Штрафы для юрлиц могут достигать 50 базовых величин. В пересчете на твердую валюту это не космические суммы, но и не копейки. Плюс репутационные риски: информация о нарушениях может стать публичной.
Кроме того, сами пользователи вправе обращаться в суд с исками о компенсации морального вреда. Такие прецеденты уже есть, и суды не всегда на стороне операторов.
Чего бояться не стоит?
Если разобраться, требования белорусского закона не так уж страшны. Они во многом похожи на то, что уже требуют в Европе или России. И главное – закон не требует физического хранения данных внутри страны. В отличие от России, где базы данных должны находиться на территории РФ, Беларусь такой обязанности не вводила.
Это огромный плюс для иностранных компаний. Можно спокойно оставлять серверы там, где удобно, и при этом соблюдать местные правила.
Кому точно можно выдохнуть?
Если сайт чисто информационный, не собирает никаких данных, не использует куки для отслеживания, не предлагает товары и услуги – беспокоиться не о чем. Белорусский закон регулирует именно обработку данных. Нет обработки – нет обязанностей.
Если сайт изредка посещают белорусы, но никакой направленности на их страну нет, тоже можно спать спокойно. Закон не требует подстраиваться под каждого случайного посетителя.
Главные выводы
Иностранный сайт обязан соблюдать белорусский закон о персональных данных, если он целенаправленно работает с белорусской аудиторией. Признаки такой работы: домен .by, русский язык, цены в белорусских рублях, реклама в стране, доставка товаров.
Если эти признаки есть, нужно выполнить несколько простых шагов: назначить ответственного, опубликовать политику, настроить получение согласий, уведомить госорган и отвечать на запросы пользователей.
Сложного в этом ничего нет. Но игнорировать требования себе дороже. Штрафы, репутация, суды – последствия могут быть неприятными даже для компании, которая физически находится за тысячу километров от Беларуси.
Материал подготовлен юридической компанией «Экономические споры» (Минск, Беларусь) – https://e-sud.by.