Вступил в силу Закон Республики Беларусь «О защите персональных данных». В связи с отсутствием практического опыта его применения, у субъектов хозяйствования возникает ряд вопросов по необходимому пакету документов, а также по организации процесса работы с персональными данными. Вместе с юридической компанией «ПравоГранд» разберем основные моменты закона.
Обработка персональных данных – это любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Обработкой занимаются государственные органы, юридические лица либо иные организации, физические лица, в том числе индивидуальные предприниматели (далее – операторы персональных данных).
Субъекты персональных данных – это
- физические лица, персональные данные которых обрабатываются;
- идентифицированные физические лица которых можно идентифицировать.
Пакет документов, который необходимо разработать для защиты персональных данных будет зависеть в первую очередь от вида деятельности субъекта хозяйствования.
Но в обязательном порядке оператор должен сделать следующее:
- разъяснить субъектам персональных данных их права и обязанности;
- получить их согласие на использование данных;
- обеспечить меры по защите персональных данных;
- реализовать права субъектов персональных данных;
- назначить ответственное лицо, контролирующее законность обработки данных в организации;
- организовать обучение по вопросам защиты персональных данных;
- разработать политику в отношении обработки персональных данных;
- ознакомить работников с документами, касающимися обработки и защиты персональных данных;
- установить порядок доступа к персональным данным.
Разберем поэтапно действия оператора при работе с персональными данными физических лиц.
1. Разработка в организации соответствующей политики в отношении обработки персональных данных.
Это одна из обязательных мер, которую должен предпринять оператор в целях обеспечения защиты персональных данных. Политика, как правило, включает информацию об обработке и защите персональных данных в организации, в том числе порядок обеспечения конфиденциальности при обработке соответствующей информации. Это основной документ, где будет утвержден весь процесс работы с персональными данными.
В соответствии с требованиями законодательства субъект хозяйствования обязан обеспечить неограниченный доступ к данной политике, в том числе с использованием глобальной компьютерной сети Интернет. Документы можно разместить на сайте организации или на информационном стенде в офисе, если сайта нет.
2. Доводим до сведения физического лица информацию, касающуюся обработки его персональных данных.
До получения согласия на обработку персональных данных оператор предоставляет субъекту информацию о себе, перечень персональных данных, на обработку которых нужно согласие, цель обработки этих данных, срок, на который дается согласие, информацию об уполномоченных лицах, информацию о правах субъекта персональных данных, а также иную информацию, необходимую для обеспечения прозрачности процесса обработки таких данных.
Информация может предоставляться как в письменной, так и в электронной форме. Как правило, форму предоставления согласия определяют в зависимости от того, в какой форме физическое лицо будет выражать согласие на обработку персональных данных.
3. Получение согласия на обработку персональных данных.
Согласие на обработку персональных данных – это добровольно принятое физическим лицом решение о предоставлении своих данных оператору для их обработки в определенных целях.
Такое согласие также может быть оформлено либо в письменной, либо в электронной форме. При возникновении споров именно оператор должен будет подтвердить получение соответствующего согласия от физического лица. Поэтому при выборе формы необходимо обеспечить возможность доказывания факта получения согласия.
При даче согласия субъект персональных данных должен указать фамилию, собственное имя, отчество, дату рождения, идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего его личность, за исключением некоторых случаев, установленных законодательством.
Наших клиентов часто волнует вопрос о необходимости получения согласия на обработку персональных данных у работников организации. Так в соответствии с нормами законодательства Республики Беларусь согласие на обработку персональных данных не требуется при оформлении трудовых отношений, а также в процессе трудовой деятельности. Однако, если наниматель захочет использовать персональные данные работника не для трудовых целей, то на это потребуется получение письменного согласия.
Актуален вопрос получения согласия на обработку персональных данных через интернет-ресурс в случаях, если организация продает свои товары, услуги через интернет-магазин, в том числе без непосредственного контакта с потребителем. В таком случае взять согласие можно, например, проставлением пользователем соответствующей отметки на сайте либо другими способами, позволяющими установить факт получения согласия субъекта персональных данных.
Оператор в обязательном порядке через сайт в сети Интернет доводит до физического лица информацию о порядке получения, обработке и защите персональных данных и определяет получение согласия от этого лица.
4. Назначение структурного подразделения или лица, ответственного за осуществлением контроля за обработкой персональных данных.
Ответственным лицом за осуществление контроля за обработкой персональных данных может быть, в-принципе, любой работник организации. Он назначается приказом руководителя.
Основные обязанности такого лица установлены Законом о защите персональных данных. К ним относятся:
- осуществление внутреннего контроля за соблюдением законодательства о персональных данных,
- доведение до сведения работников организации положения законодательства о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, а также обучение сбору, обработке и защите персональных данных, иные обязанности.
Конкретный перечень обязанностей можно отразить в должностной инструкции ответственного лица либо в приказе.
Назначенное лицо проходит обучение по работе с персональными данными. Законодательством установлен перечень лиц, которые в обязательном порядке должны пройти обучение в Национальном центре защиты персональных данных. Это лица, которые в совокупности:
– отвечают за внутренний контроль за обработкой персональных данных;
– осуществляют эту функцию в определенных организациях, в частности:
- банках и небанковских кредитно-финансовых организациях;
- страховых организациях;
- у операторов электросвязи;
- республиканской и территориальных организациях по государственной регистрации недвижимого имущества, прав на него и сделок с ним;
- Белорусской нотариальной палате, областных (Минской городской) нотариальных палатах;
- риэлтерских организациях;
- организациях здравоохранения;
- местных исполнительных и распорядительных органах, их структурных подразделениях с правами юридического лица. Требование по обучению не распространяется на лиц, работающих в сельских (поселковых) исполкомах.
- у операторов (уполномоченных лиц), организующих и (или) осуществляющих обработку персональных данных не менее десяти тысяч физических лиц. В это число не включаются персональные данные работников этих операторов, собранные в процессе осуществления трудовой деятельности.
Организация может разработать и иные документы, которые она считает необходимыми и достаточными для оптимальной работы с персональными данными. В данной статье мы рассмотрели лишь те, которые должны быть в обязательном порядке.
Законом установлена административная ответственность за несоблюдение мер по обеспечению защиты персональных данных физических лиц в виде штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя – от десяти до двадцати пяти базовых величин, а на юридическое лицо – от двадцати до пятидесяти базовых величин.
Более того п. 10 ч. 1 статьи 47 Трудового кодекса Республики Беларусь установлено дополнительное основание для увольнения ответственного работника за нарушение порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных.
Таким образом, при работе с физическими лицами, субъекты хозяйствования обязаны организовать работу с персональными данным в соответствии с нормами законодательства. И для того, чтобы сделать это правильно лучше обратиться к профессионалам, которые с учетом специфики работы организации помогут подготовить необходимый пакет документов и проконсультируют, как правильно организовать работу, чтобы минимизировать риски в этом вопросе.
Полный гайд по защите персональных данных читайте по ссылке.
Боржемская Елена,
руководитель, управляющий партнер
ООО “ПравоГранд”
Полный спектр юридических услуг
для вашего бизнеса