30 октября
BFS 17-й сезон: живая музыка, дух путешествий и инновационные гаджеты
2 | 1 | 3 |
До недавнего времени вопрос работы с персональными данными в Беларуси не был урегулирован на уровне комплексного нормативного правового акта. Сегодня, 15 ноября 2021 года, вступил в силу первый в стране Закон «О защите персональных данных». Он направлен на обеспечение защиты персональных данных, прав и свобод физических лиц. Специалисты юридической компании REVERA рассказали о том, что поменяется для бизнеса с вступлением в силу закона. Эксперты также подготовили чек-лист, который поможет проверить, готова ли ваша компания к работе с персональными данными в рамках действующего законодательства.
Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Это определение очень схоже с определением, закрепленным в Общем регламенте защиты персональных данных (GDPR) Европейского союза, но оно непривычно для белорусской правовой системы. Раньше в Беларуси был закрытый перечень персональных данных — в него входила только информация, которая вносится в реестр населения (ФИО, дата рождения, пол, адрес регистрации и т.д.). С введением нового определения предполагается, что объем информации, которая будет относиться к персональным данным, будет значительно шире.
Обратите внимание:
Для ИТ-бизнеса зачастую большую долю данных, с которыми он работает, составляют данные об устройствах пользователей (IP-адрес, локация, рекламные идентификаторы (IDFA, Google Advertising ID), информация о пользовательском поведении (на какие разделы сайта пользователь заходил и что просматривал). Закон пока не содержит однозначного ответа, будет ли относиться такая информация к персональным данным, но в соответствии с общемировыми подходами — должна.
Обработка персональных данных будет возможна при наличии согласия субъекта данных. То есть закон предусматривает согласие как главное основание для обработки данных (в отличие от GDPR, где к согласию можно обратиться, только если остальные основания, такие как жизненный интерес, договор, требования закона, публичный интерес, законный интерес, — неприменимы).
Согласие не требуется только в предусмотренных законом случаях. В частности, в рамках заключения и исполнения договора с субъектом данных, в том числе в рамках трудовых отношений.
Обратите внимание:
Закон не упоминает такое основание для обработки данных, как законный (легитимный интерес), на которое компании, в частности ИТ, которые работают на европейский рынок, часто ссылаются, к примеру, для осуществления рассылки. К примеру, вы делаете рассылку для своих клиентов, предлагая им свои услуги, скидки и другие предложения. В этом случае при определенных условиях по GDPR вы можете не получать согласие пользователя, а ссылаться на законный интерес. В Беларуси такие действия могут быть совершены только при наличии согласия субъекта.
Раньше согласие должно было быть получено в письменной форме, что практически невозможно для онлайн-бизнеса. Закон решает эту проблему и предусматривает, что согласие может быть дано в письменной форме, в форме электронного документа или иного документа в электронной форме, в том числе путем проставления галочки.
Закон также говорит о том, что согласие субъекта «представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных».
У компании появляется ряд обязательств по защите персональных данных:
Сейчас законодательство Республики Беларусь содержит только положение о том, что передача данных третьим лицам возможна с письменного согласия лица на такую передачу. Закон же регулирует отношения между оператором и уполномоченным лицом, а также вводит правила передачи данных за пределы Республики Беларусь.
Если вы поручаете обработку данных другому лицу от вашего имени (уполномоченное лицо), в договоре между вами и таким лицом должны быть предусмотрены:
В мировой практике такие уполномоченные лица называются «процессорами», и к ним, в частности, при определенных условиях можно отнести сервисы аналитики, рекламы, платежные сервисы и другие.
Передача данных за пределы Беларуси в страны, которые не обеспечивают надлежащий уровень защиты данных (списка таких стран пока нет, но должен быть разработан, к примеру, для ЕС такой страной является Беларусь, США и др.), будет возможна только при наличии определенных оснований. К примеру, если получено согласие субъекта данных на такую передачу, при условии, что субъект уведомлен о связанных с ней рисках.
Закон дает пользователям право определенным образом распоряжаться своими данными. У пользователей появилось право на:
Обратите внимание:
Реализация прав пользователей будет несколько труднее, чем в соответствии с GDPR. К примеру, субъект данных может запрашивать информацию о предоставлении своих персональных данных третьим лицам только 1 раз в год, а само заявление о реализации любого из прав должно подаваться либо в форме письменного документа, либо в форме электронного документа, подписанного ЭЦП. Также закон устанавливает ряд требований к информации, которую субъект данных должен указать в таком заявлении. Для сравнения: в GDPR требований к такому заявлению нет, субъект может подать его в электронной форме (написать на электронную почту, к примеру) и в свободной форме.
Компания должна исполнить запрос на реализацию любого из вышеперечисленных прав в течение 15 дней с момента его получения, кроме предоставления информации (на это дается 5 дней). Для сравнения, срок ответа на запрос пользователя по GDPR — 1 месяц, и этот срок может быть продлен.
Напоминаем, что с марта 2021 года в Беларуси действует административная ответственность за нарушение законодательства о защите персональных данных, а именно за незаконные сбор, обработку, хранение или предоставление персональных данных, нарушение прав субъекта данных, распространение персональных данных, несоблюдение мер обеспечения защиты персональных данных.
Следующий чек-лист мы подготовили специально для тех ответственных лиц, которые занимаются приведением процессов в компании в соответствие с Законом «О защите персональных данных» (юрист, директор, бухгалтер и пр.). И расписали по шагам, что нужно было сделать бизнесу к сегодняшнему дню, чтобы работать в соответствии с законом.
Еще больше бизнеса — в нашем Telegram-канале. Подпишись!
1. Назначить ответственное за работу с персональными данными лицо.
Документы: приказ о назначении и должностная инструкция/дополнения в должностную инструкцию (если это не отдельная должность).
2. Определить, в каких «точках» компания работает с персональными данными (например, HR: в данном случае речь идет о данных, которые предоставляют о себе кандидаты и работники), договоры с контрагентами, сайты, приложения, программы лояльности и прочее).
3. Определить цель каждой обработки персональных данных и убедиться, что вся запрашиваемая информация необходима для данных целей — излишние данные исключить (не запрашивать).
4. Определить надлежащее правовое основание для каждой обработки (согласие, трудовые отношения, договор, обработка общедоступных данных, требования законодательства и иное).
Документы по пп. 2, 3, 4: реестр обработки персональных данных.
5. Разработать политику обработки персональных данных в компании и сопутствующие документы, необходимые для систематизации процессов.
Документы:
6. Разработать и поддерживать в актуальном состоянии:
Документы: перечни, указанные выше.
7. Провести разграничение доступа к персональным данным.
Документы и шаги:
8. Ознакомить работников с документами из пп. 5 и 6, законодательством о защите персональных данных, провести инструктаж по работе с персональными данными. При этом не реже одного раза в 5 лет необходимо организовывать прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных.
Документы: журнал проведения инструктажа, иные документы, подтверждающие прохождение обучения.
9. Разработать политику обработки персональных данных для сайта и (или) приложения.
Обратите внимание:
Мы рекомендуем иметь отдельные документы для сайтов и (или) приложений (с информацией для клиентов) и внутренний локальный правовой акт (где будут содержаться правила для работников (пп. 5 и 6 выше)). При этом политика обработки данных для сайтов и (или) приложений должна быть написана простым и понятным языком, поскольку пишется для пользователей.
Документ: политика обработки персональных данных.
10. По результатам проведенной работы внести изменения в заключенные/заключаемые документы.
Пример:
Обратите внимание:
Важно следить за целями обработки персональных данных. Если цели изменились со временем — необходимо получить новое согласие.
11. Оформить поручения на обработку персональных данных с уполномоченными лицами.
12. Проработать технические вопросы реагирования на запросы субъектов персональных данных (обеспечить возможность отзыва согласия, удаления данных и так далее).
13. Принимать меры по технической и криптографической защите информационных систем.
30 октября
BFS 17-й сезон: живая музыка, дух путешествий и инновационные гаджеты
28 октября
10 лет с VOKA: от небольшой ТВ-платформы до онлайн-кинотеатра номер один в Беларуси
28 октября
Запускаем акцию — «Заяви о себе с Про бизнес»!
24 октября
Аккредитив с дисконтированием от Белагропромбанка: деньги за товар сразу на счете
23 октября
Суперакция на размещение рекламы на Про бизнес до 31 октября — не пропустите!
22 октября
МТБанк запустил масштабную акцию для бизнеса: бесплатное оборудование MTkassa, скидки на обслуживание и зарплатный проект за 0%
21 октября
Клиент Betera поставил 50 000 BYN на Лигу чемпионов. Что из этого вышло?
16 октября
Компания МиСофт объявляет о проведении масштабной конференции о цифровизации бизнеса в Минске