Персональные данные в Беларуси: просто о сложном

Часть первая – подготовительные действия

В Беларуси, пожалуй, не найдется ни одной функционирующей компании, которая не обрабатывала бы персональные данные. Ведь обработка - это любое действие, совершаемое с персональными данными, включая сбор, хранение, изменение, использование и т. д. Например, компании обрабатывают персональные данные своих работников, представителей контрагентов, потребителей и иных лиц.

Больше года назад вступил в силу Закон «О защите персональных данных» от 07.05.2021 № 99-З (далее - «Закон»), при этом на практике вопросы принятия необходимых мер по защите персональных данных все еще остаются актуальными. Именно оператор должен определить состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований законодательства. Оператор – это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо (в том числе индивидуальный предприниматель), самостоятельно или совместно с иными лицами организующие и (или) осуществляющие обработку персональных данных.

В цикле кратких статей по отдельным вопросам защиты персональных данных мы поможем операторам разобраться с особенностями разработки таких мер.

В первую очередь операторам следует отказаться от формального подхода к исполнению обязательных мер, предусмотренных Законом. Обязанность оператора - принять меры для обеспечения защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных. Формальное соблюдение требований законодательства (просто подготовка документов) без их исполнения на практике либо утверждение шаблонов документов без их адаптации к конкретным бизнес-процессам оператора не обеспечит защиту персональных данных.

Необходимо иметь ввиду, что Национальный центр защиты персональных данных Республики Беларусь при проведении проверок у операторов проверяет не только наличие документов, но и их соответствие существующим процессам, а также их фактическое исполнение. За 2022 год центром проведено 50 проверок и вынесено 50 требований/предписаний/ рекомендаций об устранении выявленных нарушений[1].

Итак, с чего же начать разработку мер по защите персональных данных в компании? По нашему мнению, сначала требуется провести подготовительную работу. А именно:

Шаг 1. Проанализировать бизнес-процессы оператора и выявить:

►  все случаи, в которых происходит обработка персональных данных

►  категории субъектов, данные которых обрабатываются

►  цель или причины обработки: для чего именно компания обрабатывает персональные данные? Например, компания собирает в отдельном файле данные о дате рождения работников для организации поздравления работников и т.п.

Шаг 2. Проанализировать выявленные случаи на предмет:

► соотношения цели обработки данных и запрашиваемого объема данных

Нередко бывают случаи, когда о физическом лице собирается гораздо больше информации, чем требуется. Один из распространенных примеров избыточного указания персональных данных - это данные о физическом лице - представителе, указываемые в доверенности. Так, на практике часто указываются ФИО, дата рождения, идентификационный номер, номер паспорта, место регистрации и т.д. Однако такой объем данных является избыточным, идентифицировать физическое лицо можно по ФИО, дате рождения и, например, по номеру паспорта.

► основания обработки персональных данных, т.е. есть ли законное основание для обработки или необходимо получать согласие субъекта на обработку

Так, согласие субъекта на обработку не требуется, например, при оформлении трудовых отношений, в процессе трудовой деятельности субъекта в случаях, предусмотренных законодательством, а также при получении персональных данных оператором на основании договора, заключенного с субъектом, в целях совершения действий, установленных этим договором, и иные.

Шаг 3. Определить лиц оператора, которые осуществляют обработку персональных данных и, соответственно, которым необходим доступ к персональным данным

►  В данном случае речь идет о работниках компании, иных физических лицах, непосредственно осуществляющих обработку персональных данных (например, привлеченных на основании договора подряда). Так, в случае, если главный бухгалтер заполняет и подает ежеквартальный отчет ПУ-3 – главный бухгалтер будет являться лицом, осуществляющим обработку персональных данных (в части данных работников, вносимых в отчет ПУ-3).

Шаг 4. Установить:

►  где фактически хранятся документы, содержащие персональные данные

►  в каких информационных системах (ресурсах) обрабатываются данные

►  кто является собственником (владельцем) таких информационных систем (ресурсов).

Все вышеуказанные действия являются основой для разработки политик оператора в области защиты персональных данных, отражающих и регулирующих все бизнес-процессы оператора, а также для определения необходимых технических и организационных мер. В следующих статьях мы рассмотрим вопрос разработки политик компании в отношении обработки персональных данных.

[1] Официальный сайт Национального центра защиты персональных данных Республики Беларусь: https://cpd.by/o-centre/otchety-o-dejatelnosti/