15 ноября 2021 года вступает в силу закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (Закон). Он пересматривает всю существующую систему обработки персональных данных в Беларуси.
Разберемся, как подготовиться к изменениям в сфере обработки персональных данных. В этом поможет Егор Кравченко, юрист корпоративной практики юридической фирмы Legaltax.
Почему это важно?
Напомним, что до принятия Закона о защите ПД все регулирование отношений по обработке ПД носило достаточно эпизодический характер - каких-либо системных требований в сфере обработки персональных данных не было.
С принятием Закона ситуация коренным образом меняется – нововведения затронут в том числе частный сектор, особенно e-commerce и IT.
Чуть ранее была введена административная и уголовная ответственность за нарушения в области использования персональных данных. Помимо ответственности, есть и репутационные риски при несоблюдении законодательных стандартов по обработке персональных данных – крупные контрагенты могут быть вынуждены просто отказаться от сотрудничества (как это было, например, на европейских рынках при введении GDPR).
Что меняется c принятием Закона о защите ПД?
Фактически, сфера действия Закона является максимально широкой и охватывает как автоматизированную, так и ручную обработку ПД при определенных условиях.
Закон закрепляет «широкий» (схожий с GDPR) подход к определению персональных данных – их перечень остается открытым и включает любую информацию, которая идентифицирует или может идентифицировать физическое лицо (например, не только ФИО, но и email, номер телефона, cookies, IP-адреса и иные идентификаторы). При этом обработкой ПД считаются фактически любые действия с ними, включая сбор, хранение и передачу.
Помимо прочего, законом закрепляются следующие моменты в отношении обработки персональных данных:
- Права физических лиц-носителей персональных данных.
- Принципы и основания для обработки.
- Обязанности оператора обработки.
- Требования к трансграничной передаче.
- Требования к обработке специальных категорий таких данных (например, биометрические/генетические данные, информация о политических взглядах, расовой/национальной принадлежности).
- Необходимость «документирования» отношений между оператором и уполномоченными лицами.
- Создание надзорного органа, который будет курировать вопросы защиты персональных данных.
Рассказываем, как адаптировать текущие процессы обработки персональных данных в компании к новому регулированию.
Рекомендации по подготовке к Закону о защите персональных данных
Шаг 1. Провести анализ текущих процессов обработки.
Вам нужно понимать, каким образом в компании выстроены процессы обработки (какие данные собираются, для каких целей, где и сколько хранятся, кому передаются, кто имеет доступ к персональным данным и др.).
Шаг 2. Обеспечить соответствие процессов обработки базовым требованиям законодательства.
Речь идет о следующих стандартах:
- Наличие правового основания обработки персональных данных (согласие, договор, иное основание по законодательству и др.). Обрабатывать данные без наличия основания запрещено.
- Наличие четко заявленной цели для обработки.
- Минимизация данных: вы должны собирать данные только в том объеме, который реально необходим в соответствии с заявленным ранее целям обработки, и не больше.
- Соблюдение сроков обработки и хранения персональных данных.
Сам Закон не содержит конкретных сроков – они должны быть соразмерными целям обработки, а в отдельных случаях должны соответствовать прямо установленным законодательством (например, документы по личному составу подлежат хранению 75 лет).
- Прозрачность процесса обработки.
Шаг 3. Обеспечить возможность надлежащего получения согласия лица-носителя персональных данных.
Получение такого согласия является основным (хотя и не единственным) правовым основанием для обработки. Закон о защите персональных данных упрощает формы получения согласия (в том числе в электронной форме).
Вместе с тем, до получения согласия вы должны обеспечить субъекту персональных данных:
- предоставление определенной информации об обработке данных (сроки, цели, перечень совершаемых действий, перечень обрабатываемых данных).
- разъяснение его прав, связанных с обработкой, механизма реализации этих прав, а также последствий дачи или отказа от дачи такого согласия.
Шаг 4. Внедрить меры по обеспечению защиты персональных данных.
Здесь нужно разработать систему мер (в соответствии со статьей 17 Закона о защите персональных данных).
Среди обязательных мер:
- Назначить ответственное лицо по вопросам внутреннего контроля обработки персональных данных.
- Разработать политику обработки.
- Ознакомить работников с законодательством и политикой обработки, обучить их.
- Внедрить систему тех/криптозащиты данных.
В дальнейшем политику обработки персональных данных (политику конфиденциальности) нужно будет разместить на вашем сайте. При этом конкретный состав и перечень мер будет зависеть от специфики вашей деятельности. И, соответственно, типов данных, которые вы обрабатываете, и быть достаточным для обеспечения защиты персональных данных.
В отношении обучения работников и применения тех/криптозащиты данных – ждем уточнений и разъяснений от гос. органов.
Шаг 5. Индивидуальные меры.
К примеру, если персональные данные хранятся или передаются за границу, то необходимо дополнительно обеспечить соблюдение требований трансграничной передачи (например, получение согласия, разъяснение рисков и др.).
Также в случае привлечения третьих лиц для обработки необходимо заключить договор между вашей компанией и третьим лицом, которое обрабатывает данные в ваших интересах и по вашему поручению. Например, такими третьими лицами могут быть сервисы аналитики и рекламы, провайдеры услуг, получающие доступ к персональным данным и др.
В договоре со сторонним обработчиком должны быть определены (ст. 17 Закона):
- Цели обработки данных.
- Действия, совершаемые с ними.
- Обязательства о конфиденциальности.
- Меры по защите данных.
Шаг 6. Обеспечивать соответствие процессов обработки в будущем.
После выполнения всех предварительных шагов, после вступления Закона необходимо будет и в дальнейшем соблюдать требования законодательства, в том числе:
- Прекращать обработку персональных данных при отсутствии (утрате) оснований для обработки.
- Обеспечивать защиту данных и соблюдение требований к их обработке.
- Уведомлять надзорный орган о нарушениях системы защиты персональных данных (не позднее 3 рабочих дней).
- Обеспечивать реализацию прав физических лиц.
Применение GDPR/PDPL и иностранного законодательства
К примеру, белорусские компании, которые ориентированы на рынок ЕС/ЕЭЗ (предложение товаров/услуг, мониторинг поведения пользователей в ЕС/ЕЭЗ) или работают с компаниями ЕС/ЕЭЗ (например, в качестве процессоров), должны учитывать, что к ним могут применяться нормы GDPR.
С 1 ноября 2021 года ступает в силу Китайский закон о защите персональных данных (Personal Information Protection Law) – по сути это «китайский GDPR», который будет иметь экстерриториальное действие, а значит компаниям, ориентированным на китайских рынок, надо быть готовыми работать в соответствии с его требованиями. В частности, PIPL может применяться и к белорусским компаниям, которые обрабатывают персональные данных физических лиц, находящихся в КНР, в целях предоставления товаров/услуг или анализа и оценки их действий.
Горячие темы