Право
Ольга Ленская, «Про бизнес» 15 ноября 2021

В Беларуси вступил в силу Закон «О защите персональных данных»: что нужно знать бизнесу

Фото: ey.com
Фото: ey.com

До недавнего времени вопрос работы с персональными данными в Беларуси не был урегулирован на уровне комплексного нормативного правового акта. Сегодня, 15 ноября 2021 года, вступил в силу первый в стране Закон «О защите персональных данных». Он направлен на обеспечение защиты персональных данных, прав и свобод физических лиц. Специалисты юридической компании REVERA рассказали о том, что поменяется для бизнеса с вступлением в силу закона. Эксперты также подготовили чек-лист, который поможет проверить, готова ли ваша компания к работе с персональными данными в рамках действующего законодательства.


Алёна Поторская, ведущий юрист REVERA
Алёна Поторская
Ведущий юрист REVERA
Ольга Опимах, помощник юриста REVERA
Ольга Опимах
Помощник юриста REVERA
   

Что изменилось с вступлением в силу закона

1. Введено определение персональных данных.

Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Это определение очень схоже с определением, закрепленным в Общем регламенте защиты персональных данных (GDPR) Европейского союза, но оно непривычно для белорусской правовой системы. Раньше в Беларуси был закрытый перечень персональных данных — в него входила только информация, которая вносится в реестр населения (ФИО, дата рождения, пол, адрес регистрации и т.д.). С введением нового определения предполагается, что объем информации, которая будет относиться к персональным данным, будет значительно шире.

Обратите внимание:

Для ИТ-бизнеса зачастую большую долю данных, с которыми он работает, составляют данные об устройствах пользователей (IP-адрес, локация, рекламные идентификаторы (IDFA, Google Advertising ID), информация о пользовательском поведении (на какие разделы сайта пользователь заходил и что просматривал). Закон пока не содержит однозначного ответа, будет ли относиться такая информация к персональным данным, но в соответствии с общемировыми подходами — должна.

2. Детализируются основания для обработки персональных данных.

Обработка персональных данных будет возможна при наличии согласия субъекта данных. То есть закон предусматривает согласие как главное основание для обработки данных (в отличие от GDPR, где к согласию можно обратиться, только если остальные основания, такие как жизненный интерес, договор, требования закона, публичный интерес, законный интерес, — неприменимы).

Согласие не требуется только в предусмотренных законом случаях. В частности, в рамках заключения и исполнения договора с субъектом данных, в том числе в рамках трудовых отношений.

Обратите внимание:

Закон не упоминает такое основание для обработки данных, как законный (легитимный интерес), на которое компании, в частности ИТ, которые работают на европейский рынок, часто ссылаются, к примеру, для осуществления рассылки. К примеру, вы делаете рассылку для своих клиентов, предлагая им свои услуги, скидки и другие предложения. В этом случае при определенных условиях по GDPR вы можете не получать согласие пользователя, а ссылаться на законный интерес. В Беларуси такие действия могут быть совершены только при наличии согласия субъекта.

Фото: mhealth.ru
Фото: mhealth.ru

3. Появляются требования к согласию.

Раньше согласие должно было быть получено в письменной форме, что практически невозможно для онлайн-бизнеса. Закон решает эту проблему и предусматривает, что согласие может быть дано в письменной форме, в форме электронного документа или иного документа в электронной форме, в том числе путем проставления галочки.

Закон также говорит о том, что согласие субъекта «представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных».

У компании появляется ряд обязательств по защите персональных данных:

  • Назначить лицо или отдел, ответственные за защиту персональных данных в компании
  • Разработать политику компании в отношении обработки персональных данных и сделать ее доступной для неограниченного круга лиц (в том числе посредством сети Интернет)
  • Провести обучение работников работе с персональными данными
  • Установить порядок доступа к персональным данным
  • Осуществлять техническую и криптографическую защиту персональных данных.

4. Закон регламентирует вопросы передачи персональных данных.

Сейчас законодательство Республики Беларусь содержит только положение о том, что передача данных третьим лицам возможна с письменного согласия лица на такую передачу. Закон же регулирует отношения между оператором и уполномоченным лицом, а также вводит правила передачи данных за пределы Республики Беларусь.

Если вы поручаете обработку данных другому лицу от вашего имени (уполномоченное лицо), в договоре между вами и таким лицом должны быть предусмотрены:

  • Цели обработки данных
  • Действия, совершаемые с данными
  • Обязательство о конфиденциальности
  • Меры по защите данных.

В мировой практике такие уполномоченные лица называются «процессорами», и к ним, в частности, при определенных условиях можно отнести сервисы аналитики, рекламы, платежные сервисы и другие.

Передача данных за пределы Беларуси в страны, которые не обеспечивают надлежащий уровень защиты данных (списка таких стран пока нет, но должен быть разработан, к примеру, для ЕС такой страной является Беларусь, США и др.), будет возможна только при наличии определенных оснований. К примеру, если получено согласие субъекта данных на такую передачу, при условии, что субъект уведомлен о связанных с ней рисках.

Фото: proforientator.ru
Фото: proforientator.ru

5. У субъектов появляются права распоряжаться своими данными.

Закон дает пользователям право определенным образом распоряжаться своими данными. У пользователей появилось право на:

  • Отзыв согласия
  • Получение информации об обработке данных
  • Внесение изменений в персональные данные
  • Получение информации о предоставлении данных третьим лицам
  • Требование удалить данные или прекратить их обработку.

Обратите внимание:

Реализация прав пользователей будет несколько труднее, чем в соответствии с GDPR. К примеру, субъект данных может запрашивать информацию о предоставлении своих персональных данных третьим лицам только 1 раз в год, а само заявление о реализации любого из прав должно подаваться либо в форме письменного документа, либо в форме электронного документа, подписанного ЭЦП. Также закон устанавливает ряд требований к информации, которую субъект данных должен указать в таком заявлении. Для сравнения: в GDPR требований к такому заявлению нет, субъект может подать его в электронной форме (написать на электронную почту, к примеру) и в свободной форме.

Компания должна исполнить запрос на реализацию любого из вышеперечисленных прав в течение 15 дней с момента его получения, кроме предоставления информации (на это дается 5 дней). Для сравнения, срок ответа на запрос пользователя по GDPR — 1 месяц, и этот срок может быть продлен.

Напоминаем, что с марта 2021 года в Беларуси действует административная ответственность за нарушение законодательства о защите персональных данных, а именно за незаконные сбор, обработку, хранение или предоставление персональных данных, нарушение прав субъекта данных, распространение персональных данных, несоблюдение мер обеспечения защиты персональных данных.

Следующий чек-лист мы подготовили специально для тех ответственных лиц, которые занимаются приведением процессов в компании в соответствие с Законом «О защите персональных данных» (юрист, директор, бухгалтер и пр.). И расписали по шагам, что нужно было сделать бизнесу к сегодняшнему дню, чтобы работать в соответствии с законом.

Еще больше бизнеса — в нашем Telegram-канале. Подпишись!

Чек-лист для бизнеса: что нужно сделать

1. Назначить ответственное за работу с персональными данными лицо.

Документы: приказ о назначении и должностная инструкция/дополнения в должностную инструкцию (если это не отдельная должность).

2. Определить, в каких «точках» компания работает с персональными данными (например, HR: в данном случае речь идет о данных, которые предоставляют о себе кандидаты и работники), договоры с контрагентами, сайты, приложения, программы лояльности и прочее).

3. Определить цель каждой обработки персональных данных и убедиться, что вся запрашиваемая информация необходима для данных целей — излишние данные исключить (не запрашивать).

4. Определить надлежащее правовое основание для каждой обработки (согласие, трудовые отношения, договор, обработка общедоступных данных, требования законодательства и иное).

Документы по пп. 2, 3, 4: реестр обработки персональных данных.

Фото: sberbank.ru
Фото: sberbank.ru

5. Разработать политику обработки персональных данных в компании и сопутствующие документы, необходимые для систематизации процессов.

Документы:

  • Положение об обработке ПД (ЛПА — коллективные договоры, соглашения, правила внутреннего трудового распорядка и иные акты, регулирующие трудовые и связанные с ними отношения у конкретного нанимателя)
  • Регламент реагирования на запросы субъектов ПД
  • Типовые формы заявлений субъектов о реализации их прав
  • Типовые формы ответов на заявления субъектов о реализации их прав (или отказов в реализации)
  • Журнал учета заявлений субъектов ПД.

6. Разработать и поддерживать в актуальном состоянии:

  • Перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых является компания
  • Категории персональных данных, подлежащих включению в такие ресурсы (системы): общедоступные; специальные (кроме биометрических и генетических); биометрические и генетические; персональные данные, не являющиеся общедоступными или специальными
  • Перечень уполномоченных лиц, если обработка персональных данных осуществляется такими лицами
  • Срок хранения обрабатываемых персональных данных.

Документы: перечни, указанные выше.

7. Провести разграничение доступа к персональным данным.

Документы и шаги:

  • Разработать и внедрить положение о порядке доступа к персональным данным
  • Принять реальные технические меры, которые позволят предотвратить несанкционированный доступ.

8. Ознакомить работников с документами из пп. 5 и 6, законодательством о защите персональных данных, провести инструктаж по работе с персональными данными. При этом не реже одного раза в 5 лет необходимо организовывать прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных.

Документы: журнал проведения инструктажа, иные документы, подтверждающие прохождение обучения.

Фото: artemvm.info
Фото: artemvm.info

9. Разработать политику обработки персональных данных для сайта и (или) приложения.

Обратите внимание:

Мы рекомендуем иметь отдельные документы для сайтов и (или) приложений (с информацией для клиентов) и внутренний локальный правовой акт (где будут содержаться правила для работников (пп. 5 и 6 выше)). При этом политика обработки данных для сайтов и (или) приложений должна быть написана простым и понятным языком, поскольку пишется для пользователей.

Документ: политика обработки персональных данных.

10. По результатам проведенной работы внести изменения в заключенные/заключаемые документы.

Пример:

  • Разработать текст согласия для кандидатов и следить за его получением от кандидатов перед началом обработки их персональных данных
  • Исключить согласие на обработку персональных данных из трудового договора, поскольку в такой форме оно является вынужденным
  • Разработать текст отдельного согласия с работниками и получить такое согласие от каждого работника
  • Отредактировать анкету для участия в программе лояльности (убрать излишние данные, добавить форму для запроса согласия в надлежащей форме)
  • Изменить форму запроса данных на сайте и (или) в приложениях (убрать излишние данные, добавить форму для запроса согласия в надлежащей форме).

Обратите внимание:

Важно следить за целями обработки персональных данных. Если цели изменились со временем — необходимо получить новое согласие.

11. Оформить поручения на обработку персональных данных с уполномоченными лицами.

12. Проработать технические вопросы реагирования на запросы субъектов персональных данных (обеспечить возможность отзыва согласия, удаления данных и так далее).

13. Принимать меры по технической и криптографической защите информационных систем.

Читайте также