Обновленное законодательство Республики Беларусь в области защиты персональных данных действует уже более 1 года (с середины ноября 2021), и как показывает практика, для обеспечения соответствия требованиям законодательства зачастую необходимы пересмотр и адаптация белорусскими компаниями своих устоявшихся внутренних и внешних бизнес-процессов. Вместе со старшим юристом корпоративной практики юридической фирмы Legaltax Егором Кравченко разбираемся, как изменилось регулирование за 2022 год, какие рекомендации бизнесу можно дать и чего ожидать в 2023 году.
2022 год стал первым полным календарным годом действия обновленного законодательства по регулированию персональных данных, за время которого надзорным органом была проведена большая разъяснительная работа, ряд точечных плановых и внеплановых проверок белорусских компаний и куда большее количество камеральных проверок (по результатам анализа и оценки информации, размещенной в Интернете). Компании, осуществляющие деятельность в сфере информационных технологий (разработка программного обеспечения, сайтов и т.п.), также не остались без внимания надзорного органа.
Остановимся на типичных нарушениях, выявляемых при проведении проверок, в том числе для самопроверки.
Типичные нарушения и рекомендации по их предотвращению
Основываясь на сводной информации надзорного органа по итогам 2022 года, остановимся на следующих типичных нарушениях:
1. Невыполнение либо ненадлежащее выполнение обязанности по назначению структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных.
Такое назначение является одной из обязательных мер по обеспечению защиты персональных данных для всех государственных органов, юридических лиц Республики Беларусь и иных организаций. Это значит, что в каждой компании должен быть назначен ответственный за такой контроль.
В зависимости от сферы деятельности, масштабов обработки персональных данных и иных обстоятельств возможны различные варианты назначения ответственного за контроль, включая создание отдельного структурного подразделения, назначение освобожденного работника, возложение дополнительных функций на одного или нескольких работников.
Важно: возможность привлечения «внешнего» ответственного по гражданско-правовому договору белорусским законодательством не предусмотрена.
Примерами нарушений могут быть формальное назначение ответственного за контроль (без реальной контрольной деятельности такого лица) или номинальное возложение обязанностей на одного из работников, который не имеет объективной возможности выполнять соответствующие функции, возложение обязанностей ответственного лица на работника, который организует обработку персональных данных или работает с персональными данными на систематической основе или в больших объемах.
Рекомендации при назначении ответственного за осуществление внутреннего контроля за обработкой персональных данных:
- избегайте формализма в назначении ответственного лица – назначение «для галочки», без реального осуществления контроля, не будет рассматриваться как надлежащее выполнение требований законодательства.
- у ответственного должна быть объективная возможность выполнять соответствующие функции с учетом уже имеющихся должностных обязанностей: проверьте его реальные и установленные по должностной инструкции обязанности, навыки и квалификацию.
- обработка персональных данных не должна быть основным видом деятельности для назначенного лица: исключите назначение лиц из числа руководителей компании (или структурных подразделений) или их заместителей, а также работников, основные функции которых связаны с обработкой большого объема персональных данных (кадровые и бухгалтерские службы и т.п.).
- обеспечьте независимость назначенного лица и создайте необходимые условия для осуществления им своих функций: предоставьте в необходимом объеме доступ к документам и информации, в том числе в информационных системах (ресурсах).
2. Формальный подход к изданию документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, и несоответствие локальных правовых актов требованиям законодательства о персональных данных (или их отсутствие).
Документы, определяющие политику в отношении обработки персональных данных, должны быть у каждой компании. Как показывает практика, некоторые компании используют шаблоны, доступные в интернете («типовые» политики), или документы, разработанные в соответствии с требованиями зарубежного законодательства.
Ни первый, ни второй варианты не подходят. Основная проблема таких документов - они не отражают реальных процессов, содержат абстрактные положения и не обеспечивают прозрачный характер обработки персональных данных в конкретной компании.
Компания может разработать одну общую политику обработки персональных данных либо подготовить несколько документов, определяющих порядок обработки персональных данных в определенных сферах (на этапах определенных бизнес-процессов): например, отдельная политика для сайта, мобильного приложения, в отношении обработки персональных данных работников).
Основная задача таких документов – обеспечить прозрачность обработки персональных данных и дать четкое представление компании и субъектам персональных данных о том, что происходит с персональными данными и на каких условиях они обрабатываются.
В политике должны отражаться бизнес- и иные процессы, в ходе которых осуществляется обработка персональных данных, например:
- цели и правовые основания обработки,
- категории субъектов, чьи персональные данные обрабатываются для соответствующих целей,
- перечень обрабатываемых персональных данных,
- порядок и условия их обработки, в том числе срок хранения,
- права субъектов персональных данных и механизм их реализации.
Разработки только документов, определяющих политику компании в отношении обработки персональных данных, недостаточно.
Компания должна дополнительно разработать необходимые внутренние локальные акты: о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), с перечнем информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых является компания, с перечнем уполномоченных лиц и т.п.
Конкретный комплекс локальных актов определяется исходя из структуры компании, бизнес-процессов, круга лиц, вовлеченных в обработку и имеющих доступ к данным, используемых информационных ресурсах (системах). Помимо разработки указанных документов необходимо обеспечить их реальное внедрение и использование (например, установление разграничения доступа и др.), а также соответствующий контроль.
Рекомендации:
- проверьте, имеются ли документы, определяющие политику обработки персональных данных, и соответствуют ли они рекомендациям надзорного органа;
- проверьте, имеются ли необходимые внутренние локальные акты и внедрены ли они на практике, осуществляется ли внутренний контроль за их соблюдением. По перечню документов ориентируйтесь на положения статьи 17 Закона Республики Беларусь № 99-З от 07.05.2021 «О защите персональных данных» и Указ Президента Республики Беларусь № 422 от 28.10.2021 «О мерах по совершенствованию защиты персональных данных», а также на свои бизнес-процессы;
- подготовьте шаблоны документов: формы согласий, формы разъяснения прав, формы заявлений или ответов на заявления субъектов персональных данных и др.
3. Несоблюдение требований к поручению обработки персональных данных уполномоченным лицам.
Нередко компании пользуются услугами сторонних провайдеров и привлекают к обработке персональных данных уполномоченных лиц. Примерами поручения обработки персональных данных уполномоченным лицам может быть передача части своих процессов и функций, связанных с обработкой персональных данных, на аутсорсинг другой компании (ведение бухгалтерского учета, IT-поддержка и т.п.).
Зачастую в отношении поручаемой обработки компания-заказчик выступает оператором, а организация-исполнитель — уполномоченным лицом. Не всегда компания-исполнитель является уполномоченным лицом, и по этой причине оценка статусов компаний и их взаимоотношений (оператор, уполномоченное лицо, самостоятельные операторы, совместные операторы) должна осуществляться исходя из конкретных обстоятельств.
Для привлечения к обработке уполномоченных лиц необходимо соблюдать определенные требования, в том числе проверять наличие оснований и соблюдение порядка такого привлечения.
В большинстве случаев поручение оператором обработки уполномоченному лицу оформляется договором. Это может быть как самостоятельный договор, так и отдельные положения в основном договоре о сотрудничестве. Заключение такого договора также обязательно, если планируете привлекать иностранных уполномоченных лиц (например, зарубежные компании). Законодательство предъявляет ряд необходимых к включению условий.
Рекомендации:
- при планировании привлечения уполномоченных лиц к обработке персональных данных составляйте договоры с учетом положений статьи 7 Закона Республики Беларусь № 99-З от 07.05.2021 «О защите персональных данных», а также предварительно проверяйте, приняты ли таким лицом правовые, организационные и технические меры для обеспечения обработки персональных данных в соответствии с требованиями законодательства;
- ведите учет и поддерживайте в актуальном состоянии перечень привлекаемых уполномоченных лиц.
4. Несоблюдение требований к согласию на обработку персональных данных и его получению.
Согласие на обработку персональных данных не является универсальным или единственным основанием для обработки персональных данных.
В случаях, когда для обработки персональных данных полагаетесь на согласие, то его содержание и порядок получения должны соответствовать требованиям законодательства: оно должно быть свободным, однозначным и информированным. При несоблюдении указанных критериев действительность такого согласия может быть поставлена под сомнение.
До получения согласия обязаны предоставить субъекту персональных данных требуемую по законодательству информацию, простым и ясным языком разъяснить ему его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи/отказа в даче согласия.
На практике могут выявляться нарушения в процедуре получения согласия: например, согласие запрашивается в ситуациях, когда оно не требуется; до получения согласия субъекту персональных данных не предоставляется необходимая информация в полном объеме; запрашивается единое согласие на достижение несвязанных между собой целей; некорректно изложены цели и сроки обработки персональных данных.
Рекомендация:
- проверить содержание испрашиваемых согласий, порядок их получения на предмет соответствия требованиям законодательства. Задайте себе вопрос: являются ли получаемые согласия свободными, однозначными и информированными?
5) Неосуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь.
Белорусские компании обязаны обеспечить осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные. Требования к технической и криптографической защите персональных данных при их обработке в информационных системах зависят от категорий обрабатываемых персональных данных и, соответственно, класса информационных систем. Более подробно с требованиями можно ознакомиться в Приказе Оперативно-аналитического центра при Президенте Республики Беларусь от 20.02.2020 № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449».
Чего ждать от 2023 года?
Мы рекомендуем белорусским компаниям ориентироваться на заявленные надзорным органом проблемные вопросы и приоритетные цели и задачи на 2023 год.
Среди точек контроля можно выделить:
- Осуществление видеонаблюдения
Это актуально для компаний, осуществляющих или планирующих осуществлять видеонаблюдение в офисе, на рабочих местах, в зонах общего пользования/приема посетителей. В отдельных случаях такое видеонаблюдение может быть признано избыточным и повлечь нарушение требований законодательства о защите персональных данных.
- Обработка биометрических персональных данных, в том числе несовершеннолетних
Примерами таких персональных данных могут быть отпечатки пальцев, изображения лиц и т.п. Обработка биометрических персональных данных, как и иных «специальных» персональных данных, допускается лишь при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных.
Поэтому предварительно должны обеспечить проведение оценки планируемой обработки и внедрить необходимые меры для предупреждения выявленных рисков. Надзорный орган вправе проверить, какой комплекс мер был внедрен и являются ли они достаточными.
- Трансграничная передача персональных данных.
Доступность иностранных сервисов, вовлечение в трансграничные бизнес-процессы, внешнеторговая деятельность и коммуникация с зарубежными контрагентами, клиентами и партнерами часто связана с получением и передачей персональных данных за пределы Республики Беларусь.
Многие компании не уделяют должное внимание соблюдению условий и порядку осуществления такой трансграничной передачи. Это создает определенные риски для субъектов персональных данных (возможная утрата контроля над данными и их незаконное использование третьими лицами), а также может повлечь ответственность для компании за несоблюдение требований законодательства.
Трансграничная передача на практике встречается, если, к примеру, храните персональные данные за пределами Республики Беларусь, пользуетесь услугами иностранных провайдеров (онлайн-хранилища, сервисы для автоматизации бизнес-процессов, почтовые сервисы, сервисы рассылки и др.) или осуществляете передачу персональных данных в рамках группы компаний.
Рекомендуем проверить, каким образом организовано хранение персональных данных, куда (в какую юрисдикцию), кому, в каком объеме, на каком основании и на каких условиях передаются персональные данные за пределы Республики Беларусь.
Также ожидается, что с 2024 года будет создан и запущен Реестр операторов персональных данных, в который белорусские компании будут обязаны вносить определенные сведения об отдельных информационных ресурсах (системах). Рекомендуем заранее проверить, подпадают ли используемые информационные ресурсы (системы) под соответствующие критерии.
Данные критерии были выработаны еще в 2022 году, их перечень здесь.