В ноябре 2021 вступил в силу Закон «О защите персональных данных» (Закон), который установил правила игры в сфере регулирования обработки персональных данных для белорусских компаний.
За это время произошел ряд событий и изменений в регулировании, которые важно знать как операторам по обработке персональных данных, так и самим субъектам данных. Мы ранее обращали внимание на ряд рекомендаций по подготовке к новому Закону.
В этой статье мы остановимся на тех ключевых моментах, включая дополнения к Закону, на которые нужно обратить внимание в первую очередь. Подробнее KV.by рассказал Егор Кравченко, юрист корпоративной практики юридической фирмы Legaltax.
Что изменилось с 15 ноября 2021?
В дополнение к Закону был принят ряд новых актов, которые конкретизировали отдельные положения и пролили свет на отдельные неурегулированные вопросы.
Среди основных изменений можно выделить следующие:
- Создание надзорного органа - Национального центра защиты персональных данных (НЦЗПД), который курирует вопросы защиты персональных данных в Республике Беларусь, ведет разъяснительную работу и обладает полномочиями по проведению проверок и защите прав физических лиц (Указ от 28.10.2021 № 422).
- Появились новые обязанности у операторов и уполномоченных лиц в части поддержания в актуальном состоянии определенной информации (Указ от 28.10.2021 № 422).
- Уточнены требования к порядку и периодичности прохождения обучения по вопросам защиты персональных данных и вопросам информационной безопасности (Указ от 28.10.2021 № 422; Приказ ОАЦ от 12 ноября 2021 г. № 194).
- ОАЦ обновил требования к технической и криптографической защите персональных данных (обновленный Приказ ОАЦ № 66).
- НЦЗПД ввел ряд новых регуляторных уточнений:
- классификацию информационных ресурсов (систем) для целей их криптографической/технической защиты (Приказ НЦЗПД № 12);
- порядок и случаи предоставления уведомлений о нарушениях систем защиты персональных данных (Приказ НЦЗПД № 13);
- перечень стран, обеспечивающих надлежащий уровень защиты персональных данных (Приказ НЦЗПД № 14).
Указанные изменения однозначно свидетельствуют о том, что сфера защиты персональных данных постепенно «обрастает» новыми требованиями и будет в центре внимания еще долго, поэтому компаниям необходимо налаживать и приводить свои бизнес-процессы в соответствие с новыми правилами и требованиями.
Рекомендации для ИТ-компаний
Политика обработки персональных данных
Каждая компания должна разработать политику обработки персональных данных.
НЦЗПД недавно опубликовал рекомендации по ее подготовке (текст рекомендаций – по ссылке). Они фактически убирают возможность использования «типовых» документов и требуют индивидуального подхода и проработки от каждой компании.
Если вкратце, этот документ должен прозрачно и в доступной форме содержать информацию о том, как компания обрабатывает персональные данные (включая цели обработки, перечень персональных данных, основания обработки, сведения о привлекаемых третьих лицах, трансграничной передаче и др.).
При этом можно разработать как одну общую политику, закрывающую все процессы в компании, так и отдельные политики для соответствующих бизнес-процессов (например, отдельную политику для посетителей сайта, отдельную – для пользователей/потребителей приложений и сервисов). Каждую политику необходимо разместить на сайте компании.
Проверка оснований для обработки персональных данных
Всегда выбирайте подходящее основание для обработки персональных данных – они перечислены в Законе. Помните, что согласие не является единственным основанием и зачастую вы можете обрабатывать персональные данные без необходимости получения согласия (например, обработка необходима для целей заключения и исполнения договора с физическим лицом или вы обязаны обрабатывать персональные данные в силу требований законодательства (например, ведение персонифицированного учета по работникам или исполнение обязанностей налогового агента).
При этом учитывайте, что каждое из оснований, предусмотренных в законодательстве, не безгранично - к примеру, наниматель вправе обрабатывать персональные данные работника при заключении трудового договора (оформлении трудовых отношении) или в процессе трудовой деятельности в случаях, предусмотренных законодательством (например, для выплаты заработной платы, организации учета рабочего времени и др.), без согласия работника.
Если наниматель захочет обрабатывать персональные данные работника для иных, не связанных с трудовой деятельностью целей, или к примеру, персональные данные его родственников (например, для организации подарков детям работников и др.), то следует подумать о получении согласия на сбор и обработку таких данных или оценить возможность использования другого подходящего в этой ситуации основания для обработки.
Документы, определяющие порядок доступа к персональным данным
Разработайте и утвердите локальные акты, которые регулируют вопросы доступа работников и иных лиц к персональным данных, которые обрабатывает ваша компания, и учитывайте специфику бизнес-модели и внутренней структуры компании.
Фактически, эти документы должны определять, кто, когда, в каких объемах и при каких условиях может получать доступ к персональным данным. Такие документы являются частью обязательных требований, возложенных на компании.
Формы «типовых» документов
Проанализируйте источники, из которых вы можете получать персональные данные (например, сайт, приложения и др.). Для удобства работы рекомендуется иметь типовые формы документы, которые позволят вашей компании «закрывать» основные бизнес-процессы исходя из специфики вашей деятельности и «точек» сбора и обработки персональных данных (например, формы разъяснения прав, формы согласий для личных кабинетов, для форм обратной связи и др.).
Правила передачи персональных данных третьим лицам
Если планируете передавать персональные данные третьим лицам (например, вы храните персональные данные на сторонних серверах или передаете бухгалтерии на аутсорсе или иным провайдерам услуг), то убедитесь, что имеете на это право и соблюдаете требования к порядку передачи персональных данных.
В зависимости от основания обработки персональных данных – получите согласие физического лица на привлечение третьих лиц к обработке его персональных данных (либо убедитесь, что оно в конкретном случае не требуется).
Если к обработке данных привлекается третье лицо (провайдер), то нужно проверить, что отношения надлежащим образом оформлены (например, заключен договор, в котором определены перечень разрешенных действий, цели обработки, обязанности по конфиденциальности и меры по защите персональных данных в соответствии с Законом).
Новые требования Указа № 422
Речь идет о разработке и поддержании в актуальном состоянии следующих перечней:
- информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых является компания (например, сайты, приложения и иные системы и ресурсы);
- категории персональных данных, подлежащих включению в такие ресурсы (системы).
Это могут быть:
- общедоступные персональные данные;
- специальные персональные данные (кроме биометрических и генетических);
- биометрические и генетические персональные данные;
- персональные данные, не являющиеся общедоступными или специальными;
- перечень уполномоченных лиц (если обработка персональных данных осуществляется уполномоченными лицами);
- срок хранения обрабатываемых персональных данных.
Контролируйте соблюдение требований к срокам и порядку прохождения обучения по вопросам защиты персональных данных и вопросам информационной безопасности.
В отдельных случаях ИТ-компании должны будут организовать обучение своих работников по вопросам защиты персональных данных непосредственно в НЦЗПД (например, если компания имеет доступ/обрабатывает персональные данные более 10 тысяч физических лиц (кроме своих работников).
Правила трансграничной передачи персональных данных
Трансграничная передача данных (т.е. передача персональных данных в иностранное государство) имеет место не только, когда контрагент (подрядчик/заказчик/провайдер) расположен за пределами Республики Беларусь, но и если персональные данные хранятся за пределами Республики Беларусь (например, используются иностранные «хранилища» - Google-диск, Tresorit и т.п. ).
Специфика нашего Закона состоит в том, что правила трансграничной передачи данных зависят от того, обеспечивается или нет по мнению НЦЗПД в соответствующей стране «надлежащий» уровень защиты персональных данных. Если обеспечивается, то дополнительных обязанностей в связи с трансграничной передачей не возникает.
Если не обеспечивается – нужно получить согласие физического лица (при этом разъяснить ему сопутствующие риски в связи с такой передачей) или использовать одно из иных доступных оснований для такой передачи из статьи 9 Закона.
Перечень «надлежащих» стран в настоящее время ограничен странами-участницами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28 января 1981 года (подробный список – здесь).
В него в том числе входят все наши соседи и иные страны Совета Европы. США в этот список не попало.
Горячие темы