​Нормы о защите персональных данных в Беларуси существовали и раньше, но были разрознены по различным нормативно-правовым актам. 15 ноября 2021 года в Беларуси вступил в силу закон «О защите персональных данных», в котором вся эта информация консолидирована, а требования к обработке и хранению персональных данных значительно расширены.

Специалисты Softline Belarus разобрались, что относится к персональным данным, какие требования предъявляются к их охране и какие последствия наступают в случае их разглашения.

 

Что такое персональные данные

Персональные данные, исходя из определения, которое дает новый закон – это любая информация, с помощью которой можно прямо или косвенно идентифицировать человека. Получается, что к персональным данным можно отнести, не ограничиваясь, следующую информацию:

• паспортные данные (ФИО, пол, дата рождения, серия и номер паспорта, личный номер, адрес регистрации и проживания);
• биометрические данные (отпечатки пальцев, ладоней, радужная оболочка глаза, характеристики лица и его изображение, описание внешности);
• генетические данные (ДНК, группа крови);
• специальные персональные данные (расовая либо национальная принадлежность, политические взгляды, членство в профсоюзах, религиозные или другие убеждения, здоровье, половая жизнь, привлечение к административной или уголовной ответственности);
• номер телефона;
• IP-адрес;
• e-mail-адрес;
• геолокационные данные.

Также в законе есть понятие «общедоступные персональные данные» - это информация, распространенная самим человеком либо с его согласия. Например, сведения, которые пользователь опубликовал на своих страничках в социальных сетях или указал на сайте знакомств.

В то же время, закон не поясняет, относится ли к персональным данным информация о поведении пользователя на сайтах и в приложениях, файлы cookie и другие данные, которые не позволяют точно идентифицировать человека.

 

Что понимается под обработкой персональных данных

Обработка – это все действия, которые совершаются с персональными данными. Например, новостная рассылка по e-mail, ведение базы клиентов, обработка и анализ анкет людей, прочее.

 

Какая ответственность лежит на компании, которая занимается обработкой персональных данных

Компания, которая хранит и обрабатывает персональные данные, берет на себя ответственность за их использование, хранение и защиту.

При этом обработка персональных данных ограничивается достижением конкретных, заранее заявленных целей. То есть если было заявлено, что номер телефона клиента нужен для последующего звонка менеджера, то в будущем нельзя делать на этот номер рассылку в мессенджерах или по СМС.

Если появляется необходимость изменения заявленных целей, для этого необходимо получать новое согласие человека.

 

Как получить согласие на обработку персональных данных

По новому закону, человек может дать согласие на обработку персональных данных письменно, в виде электронного документа или в иной электронной форме (например, путем проставления специальной галочки на интернет-ресурсе).

 

В каких случаях согласие человека на обработку персональных данных не требуется?

Статья 6 нового закона дает целый список случаев, когда не требуется согласие на обработку персональных данных. В основном они связаны с реализацией государственными органами своих функций (осуществление правосудия, проведения выборов и референдумов, статистических наблюдений и т.д.).

Также не требуется согласия на предоставление персональных данных:

• в рамках трудовых или служебных отношений (при трудоустройстве,  во время работы, при увольнении);
• при их получении на основании договора, заключенного физическим лицом, в целях совершения действий, установленных этим договором;
• при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных;
• для осуществления нотариальной деятельности;
• в исследовательских целях при условии обезличивания персональных данных;
• для защиты жизни, здоровья или иных жизненно важных интересов человека, если получение согласия субъекта персональных данных невозможно.

 

Что нужно сделать компаниям для соответствия требованиям закона:

1. Назначить ответственных (сотрудника или подразделение) за защиту персональных данных.
2. Разработать политику компании в отношении персональных данных и сделать ее общедоступной – разместить на корпоративном портале, сайте компании.
3. Разработать формы для получения согласия человека на обработку персональных данных. Что в них должно содержаться - название компании, цель использования персональных данных, срок использование и прочее - читайте подробнее в  5 статье закона.
4. Проинформировать сотрудников о новом законе и политике компании в отношении к персональным данным, провести обучение ответственных по работе с персональными данными.
5. Установить порядок доступа и работы с персональными данными.
6. Осуществлять техническую и криптографическую защиту персональных данных. Требования к защите персональных данных можно найти в приказе оперативно-аналитического центра при президенте Республики Беларусь от 20 февраля 2020 г. №66.
   Информационные системы, в которых хранятся или обрабатываются персональные данные, должны соответствовать более полусотне критериев.

 

Какие права появляются у субъектов персональных данных

После вступления закона в силу, любой ваш клиент или пользователь, персональные данные которого вы обрабатываете, получит право на:

• отзыв согласия на использование персональных данных;
• получение информации об обработке данных (как вы обрабатываете его персональную информацию и для чего используете);
• внесение изменений в персональные данные;
• получение информации о предоставлении своих данных третьим лицам (например компаниям, которые по аутсорсу проводят для вас маркетинговые исследования);
• требовать удаления своих персональных данных или прекращения их использования.

Компании, которые хранят и обрабатывают персональные данные, обязаны выполнить любое из указанных требований в течение 15 дней, а требование о предоставлении информации – в течение 5 рабочих дней, с момента его получения.

 

Какая ответственность предусмотрена за нарушение закона «О персональных данных»

В статье 23.7 КоАП Республики Беларуси предусмотрена административная ответственность в виде штрафа до 200 базовых величин. Она может наступить за:

• незаконный сбор, обработку, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных; умышленное незаконное распространение персональных данных;
• несоблюдение мер обеспечения защиты персональных данных.

Те же действия, повлекшие причинение существенного вреда или тяжких последствий, а также совершенные в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга могут повлечь уголовную ответственность (ст. 203-1 Уголовного кодекса Республики Беларусь предусматривает наказание вплоть до 5 лет лишения свободы).

К административной ответственности может быть привлечена как компания, так и конкретные люди, руководители или сотрудники, которые занимались обработкой и защитой персональных данных. К уголовной – только физические лица.

Также компания будет нести гражданскую ответственность, то есть обязана возместить человеку имущественный или моральный ущерб, понесенный им в случае разглашения или утечки его персональных данных, если такое требование заявит пострадавшее лицо.

И хотя в Беларуси ответственность за нарушения законодательства о персональных данных в разы мягче, чем в соседних государствах и западных странах, нельзя забывать о потере деловой репутации, а также о целенаправленных кибератаках. Согласно отчету компании Positive Technologies, во втором квартале 2021 года 36% атак злоумышленников на информационные системы компаний были проведены для кражи персональных данных ее сотрудников и клиентов.