Belarus: Das Gesetz „Über den Schutz personenbezogener Daten“

Ab 15. November 2021 treten personenbezogene Datenschutzbestimmungen in Belarus in Kraft

Das Gesetz „Über den Schutz personenbezogener Daten“ № 99-3 vom 07. Mai 2021 (nachfolgend „Gesetz“ genannt) zielt darauf ab, den Schutz personenbezogener Daten (nachfolgend „PD“ genannt), sowie Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung ihrer PD zu gewährleisten.

Laut Gesetz sind „personenbezogene Daten“ alle Informationen, die sich auf eine bereits identifizierte natürliche Person oder eine natürliche Person die identifiziert werden kann, beziehen.

Die wichtigste Voraussetzung für die Verarbeitung von PD ist die Einholung der Einwilligung der betroffenen Person durch den Datenverarbeiter. In diesem Fall gehören zu den Datenverarbeitern von PD u.a. staatliche Organe, juristische Personen der Republik Belarus, andere Organisationen, natürliche Personen (Einzelunternehmer), die unabhängig oder zusammen mit anderen obengenannten Personen die Verarbeitung von PD organisieren und (oder) durchführen. Das Gesetz legt Kriterien fest, nach denen eine Einwilligung als ordnungsgemäß eingeholt gilt. Die Einwilligung der betroffenen Person muss eine freie, eindeutige und informierte Willenserklärung sein, durch die sie die Verarbeitung ihrer PD gestattet. Die Verarbeitung von PD muss in einem angemessenen Verhältnis zu den angegebenen Zielen stehen und in allen Phasen einer solchen Verarbeitung einen gerechten Ausgleich zwischen den Interessen aller Beteiligten gewährleisten. Die Ziele müssen rechtmäßig, eindeutig und im Voraus festgelegt sein. Wenn die ursprünglich angegebenen Ziele geändert werden, muss der Datenverarbeiter eine neue Einwilligung der betroffenen Person einholen. Dabei darf die Aufbewahrung von PD nicht länger als für den angegebenen Zweck erfolgen.

Vor Einholung der Einwilligung muss der Datenverarbeiter über

  • Name und Sitz (Wohn- bzw. Aufenthaltsadresse)) des die Einwilligung einholenden Datenverarbeiters;
  • Ziele der Verarbeitung von PD;
  • Liste von PD;
  • Frist, für die die Einwilligung erteilt wird;
  • Informationen über autorisierte Personen, wenn die PD-Verarbeitung durch diese erfolgt;
  • Liste der Aktionen, die mit den PD erfolgen;
  • andere Informationen, die erforderlich sind, um die Transparenz der Verarbeitung von PD sicherzustellen;
  • informieren.

In bestimmten gesetzlich festgelegten Fällen ist die Einwilligung der betroffenen Person nicht erforderlich.

Die Einwilligung der betroffenen Person kann schriftlich, in Form eines elektronischen Dokuments oder in anderer elektronischer Form erfolgen (Ankreuzen des Kästchens auf der Website, Erhalt des Codes per E-Mail, per SMS).

Personenbezogene Daten dürfen nur im Auftrag oder im Interesse des Datenverarbeiters im Rahmen einer gesetzlich festgelegte Bedingungen enthaltenden Vereinbarung an Dritte weitergegeben werden. Die grenzüberschreitende Übermittlung von PD ist verboten, wenn im anderen Land kein angemessenes Schutzniveau für personenbezogene Daten gewährleistet ist. Auch hiervon bestehen jedoch Ausnahmen. Die Liste der Länder, in denen ein angemessenes Schutzniveau für die Rechte der betroffenen Personen besteht, wurde noch nicht festgelegt, voraussichtlich wird sie aber die Länder umfassen, die das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten Nr. 108 (abgeschlossen in Straßburg am 28. Januar 1981) ratifiziert haben.

Das Gesetz sieht eine Reihe von Rechten für betroffene Personen vor, darunter das Recht, die Einwilligung zu widerrufen, das Recht, die Beendigung der Verarbeitung von PD und/oder deren Löschung zu verlangen, und das Recht, Informationen über die Verarbeitung von PD zu erhalten.

Die rechtswidrige Verarbeitung, die Verletzung der Rechte des Betroffenen oder der Regeln zu deren Schutz ist eine Ordnungswidrigkeit. Bei Verstoß kann gegen eine natürliche Person (Geschäftsführer) oder ein Unternehmen eine Geldstrafe von bis zu 200 Basiseinheiten (etwa 2 050 Euro) verhängt werden.

Mit Inkrafttreten des Gesetzes werden den juristischen Personen – Datenverarbeiter von PD – eine Reihe neuer Verpflichtungen im Zusammenhang mit dem Erhalten und Verarbeitung von PD auferlegt, wie die Benennung einer für den Schutz von PD verantwortlichen Person, die Anpassung / Entwicklung einer Unternehmenspolitik zum Schutz von PD, die Einweisung und Schulung der unmittelbar an der Verarbeitung von PD beteiligten Mitarbeiter mit den Bestimmungen des Gesetzes usw.

Zum 15. November 2021 tritt der Erlass des Präsidenten der Republik Belarus № 422 vom 28.09.2021 „Über Maßnahmen zur Verbesserung des Schutzes personenbezogener Daten“ in Kraft. Durch diesen Erlass wird das Nationale Zentrum für den Schutz personenbezogener Daten der Republik Belarus (NZSPD) gegründet und seine Kompetenzen und Befugnisse definiert. Das NZSPD wird ein weiteres Kontrollorgan in Belarus sein, weil es befugt ist, die Verarbeitung personenbezogener Daten durch die Auftragsverarbeiter (autorisierte Personen) zu kontrollieren.

Das Minsker bnt-Büro unterstützt Sie gern bei der Vorbereitung der Dokumente, die für die Umsetzung der neuen Gesetzgebung über den Schutz personenbezogener Daten für die konkreten Aktivitäten ihres Unternehmens erforderlich sind.

Quelle: Nationales Rechts-Internetportal der Republik Belarus (NRIP), 13.05.2021, 2/2819.

Newsletter abonnieren

Wenn Sie den Newsletter abonnieren, stimmen Sie zugleich unseren Datenschutzbedingungen zu.