Для начала, давайте разберемся, касаются ли вас эти правила. Простой тест из нескольких вопросов:
- Есть ли у Вас юридическое лицо или ИП в Беларуси?
- Персональные данные Ваших сотрудников используются не только для кадрового учета, но и в других целях?
- Ведете ли вы бизнес онлайн и на вашем сайте есть форма обратной связи и личный кабинет пользователя/истории просмотров покупок, идентификация через социальные сети и т.п.?
- Храните ли вы персональные данные работников (в т.ч. сканы документов, фотографии), клиентов, деловых партнеров, пользователей сайта, платформы или приложений в облачном хранилище, на дисках или CRM?
Если хотя бы на часть вопросов вы ответили «да», вам нужно изучить новый Закон и начать действовать, чтобы избежать проблем.
До 2021 года вопросы защиты персональных данных в Беларуси не были урегулированы на уровне единого нормативного правового акта. С 15-го ноября 2021 г. в силу вступил Закон Республики Беларусь «О защите персональных данных» (далее – Закон), который направлен на обеспечение защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных.
Важно понимать, что Закон изменяет подход к определению понятия персональных данных, а именно — отказ от четкого перечня сведений, относящихся к персональным данным. Теперь персональные данные — это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано. А обработкой персональных данных считаются любые действия или операции, которые вы проводите с ними, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Форма обратной связи на сайте, личный кабинет в приложении, с помощью которых Вы получаете телефонный номер или e-mail физического лица – это сбор персональных данных. Если Ваш сайт или приложение собирает и/или хранит информацию о пользователях, то Вы уже являетесь оператором персональных данных. Это означает, что Вы подпадаете под действие нового Закона «О защите персональных данных» и под риском ответственности обязаны соблюдать требования, которые предъявляются Законом к обработке персональных данных.
Интересно, что регулирующий документ вступил в силу в середине ноября 2021 г., а административная ответственность за «нарушение законодательства о защите персональных данных, а именно за незаконные сбор, обработку, хранение или предоставление персональных данных, нарушение прав субъекта данных, распространение персональных данных, несоблюдение мер обеспечения защиты персональных данных» введена с 1 марта 2021 г. ст. 23.7 КоАП. Более того, с 19 июня 2021 г. УК предусмотрена уголовная ответственность за нарушение законодательства о персональных данных (ст. 2031 и ст. 2032 УК).
С вступлением в силу Закона введены понятия, аналогичные понятиям Общего регламента защиты персональных данных, принятого в Евросоюзе (General Data Protection Regulation, далее — GDPR). В частности, в нашем словаре появляется — оператор. Согласно абз. 8 ч. 1 ст. 1 Закона оператор — это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в т.ч. индивидуальный предприниматель, самостоятельно или совместно с указанными лицами организующие и (или) осуществляющие обработку персональных данных. То есть любой субъект, который тем или иным способом получает любую информация, позволяющую идентифицировать физическое лицо получает статус оператора со всеми вытекающими последствиями. Если говорить о юридических лицах, то любая организация теперь является оператором персональных данных.
С вступлением в силу Закона введены понятия, аналогичные понятиям Общего регламента защиты персональных данных, принятого в Евросоюзе (General Data Protection Regulation, далее — GDPR). Кроме того, в текст Закона введено понятие «уполномоченное лицо» (аналог «процессора» в GDPR).
Еще одно новое понятие уполномоченное лицо — это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах (абз. 16 ч. 1 ст. 1 Закона).
Оператора от уполномоченного лица отличить несложно. Если организация сама принимает решение об обработке персональных данных, она является оператором. Если же организация обрабатывает персональные данные по указанию другого лица (в т.ч. на основе договора), она является уполномоченным лицом.
К определениям, которые косвенно затрагивают понятие оператора, относятся «персональные данные» и «субъект персональных данных».
Согласно абз. 9 ч. 1 ст. 1 Закона персональными данными является любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Субъект персональных данных — это физическое лицо, в отношении которого осуществляется обработка персональных данных (абз. 13 ч. 1 ст. 1 Закона).
На основании ст. 17 нового Закона получается, что наниматель обязан установить следующие формы защиты персональных данных в конкретной организации:
- ознакомить работников с положениями законодательства в области защиты персональных данных, т.е. вышеуказанного Закона;
- разработать и алгоритмизировать политику в области защиты персональных данных, а также провести соответствующее обучение работников — данные процедуры реализуются, например, через разработку специальной формы для дачи согласия на обработку персональных данных (особенно, если дача согласия происходит в письменном виде, а не в электронной форме); шаблона договора, который заключается с субъектом персональных данных, в случаях, когда оператор персональных данных использует договор в качестве правового основания для обработки персональных данных; политику или положение, согласно которым производится обработка данных в компании.
- назначить лиц, ответственных за защиту персональных данных;
- разработать порядок доступа к персональным данным;
- осуществлять техническую и криптографическую защиту персональных данных в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные. Порядок защиты данных определяет ОАЦ при Президенте Республики Беларусь.
С практической точки зрения зачастую руководство организаций возлагает вопросы защиты коммерческой тайны или персональных данных на юридическую службу. Однако необходимо принимать во внимание, что у юристов, как правило, отсутствуют знания о технической стороне защиты информации. Поэтому в организации целесообразно создать небольшую группу из специалистов разных профилей. Это могут быть, например, юрист, специалист по кадрам, системный администратор и др.
Закон регулирует способы обработки персональных данных:
- с использованием средств автоматизации. Это обработка в рамках информационных систем и ресурсов: 1С, CRM, облачное хранилище.
- без использования средств автоматизации, если осуществляется систематизация данных по определенным критериям: картотеки, списки, базы данных, журналы.
При этом Закон не распространяется на отношения, касающиеся случаев обработки персональных данных:
- в процессе личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью (переписка в социальных сетях, с помощью электронной почты, сохранение и систематизация адресатов);
- отнесенных к государственным секретам.
В Законе детализированы основания для обработки персональных данных. По общему правилу обработка персональных данных должна осуществляться с согласия субъекта персональных данных, за исключением предусмотренных законодательством случаев. Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.
Исходя из практики реализации схожих норм за рубежом, согласие не будет считаться полученным:
- если лицу не была дана полная и понятная информация об обработке данных;
- если лицо было вынуждено дать согласие, чтобы воспользоваться определенной услугой (хотя сама по себе эта услуга не требует использования персональных данных);
- если невозможно достоверно установить наличие согласия (например, когда согласием на обработку считается использование лицом сервиса).
Что могут со своими персональными данными делать субъекты персональных данных, т.е. мы с вами как физические лица? У нас есть следующие права:
- на отзыв согласия об обработке персональных данных (ст. 10 Закона);
- на получение информации об обработке данных (ст. 11 Закона);
- на изменение персональных данных (ст. 11 Закона);
- на получение информации о предоставлении данных третьим лицам (ст. 12 Закона);
- требовать удаления данных или прекращения их обработки (ст. 13 Закона).
Что с данными, которые уходят за пределы Республики Беларусь? Закон закрепляет правило, согласно которому передача данных за пределы Республики Беларусь в страны, где не обеспечен надлежащий уровень защиты данных, запрещается (п. 1 ст. 9 Закона). Правда, пока список указанных стран на момент написания материала не опубликован.
Однако предусматривает перечень условий, при которых возможна передача персональных данных за рубеж. К таким условиям отнесены:
- наличие согласия субъекта персональных данных, который проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
- получение персональных данных на основании договора, заключенного с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;
- передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
- получено соответствующее разрешение уполномоченного органа по защите прав субъектов персональных данных.
Закон исходит из понимания, что оператор обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Законом также предусмотрено создание уполномоченного органа по защите прав субъектов персональных данных. Так, 28 октября 2021 г. был подписан Указ № 422 «О мерах по совершенствованию защиты персональных данных», который предусматривает создание Национального Центра по защите персональных данных (НЦЗПД) в качестве уполномоченного органа по защите персональных данных субъектов персональных данных, а также принятие операторами и — при определенных обстоятельствах- уполномоченными лицами дополнительных мер для обеспечения защиты персональных сведений при их обработке.
Каждому нанимателю следует учитывать, что вышеназванный Указ закрепляет дополнительные обязанности операторов:
- организовывать не реже одного раза в 5 лет прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных;
- обеспечить представление в НЦЗПД информации о количестве лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которым необходимо пройти обучение в НЦЗПД;
- устанавливать и поддерживать в актуальном состоянии: а) перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются; б) категории персональных данных, подлежащих включению в такие ресурсы (системы): общедоступные персональные данные; специальные персональные данные (кроме биометрических и генетических персональных данных); биометрические и генетические персональные данные; персональные данные, не являющиеся общедоступными или специальными; в) перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами; г) срок хранения обрабатываемых персональных данных;
- вносить в создаваемый Национальным центром защиты персональных данных государственный информационный ресурс «Реестр операторов персональных данных» (далее – реестр) сведения об информационных ресурсах (системах), содержащих персональные данные, а также обеспечивать актуализацию соответствующих сведений. Виды информационных ресурсов (систем), сведения о которых подлежат внесению в реестр, а также перечень включаемых в него сведений и срок их внесения в реестр определяются Оперативно-аналитическим центром при Президенте Республики Беларусь.
Кроме того, операторы (уполномоченные лица) до 15 декабря 2021 г., а в последующие годы – до 15 ноября обеспечивают представление Национальному центру защиты персональных данных информации о количестве лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которым необходимо пройти обучение в Национальном центре защиты персональных данных
Если у Вас есть необходимость в организации процесса защиты персональных данных в Вашей компании или вам нужна внутренняя система по защите персональных данных «под ключ», юристы ООО «РЕСОЛВА Консалт» будут рады оказать Вам помощь в разработке документов.