Персональные данные в Беларуси: просто о сложном


Часть первая – подготовительные действия

10 мая 2023 г.

В Беларуси, пожалуй, не найдется ни одной функционирующей компании, которая не обрабатывала бы персональные данные. Ведь обработка - это любое действие, совершаемое с персональными данными, включая сбор, хранение, изменение, использование и т. д. Например, компании обрабатывают персональные данные своих работников, представителей контрагентов, потребителей и иных лиц.


Больше года назад вступил в силу Закон «О защите персональных данных» от 07.05.2021 № 99-З (далее - «Закон»), при этом на практике вопросы принятия необходимых мер по защите персональных данных все еще остаются актуальными. Именно оператор должен определить состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований законодательства. Оператор – это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо (в том числе индивидуальный предприниматель), самостоятельно или совместно с иными лицами организующие и (или) осуществляющие обработку персональных данных.


В цикле кратких статей по отдельным вопросам защиты персональных данных мы поможем операторам разобраться с особенностями разработки таких мер.


В первую очередь операторам следует отказаться от формального подхода к исполнению обязательных мер, предусмотренных Законом. Обязанность оператора - принять меры для обеспечения защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных. Формальное соблюдение требований законодательства (просто подготовка документов) без их исполнения на практике либо утверждение шаблонов документов без их адаптации к конкретным бизнес-процессам оператора не обеспечит защиту персональных данных.


Необходимо иметь ввиду, что Национальный центр защиты персональных данных Республики Беларусь при проведении проверок у операторов проверяет не только наличие документов, но и их соответствие существующим процессам, а также их фактическое исполнение. За 2022 год центром проведено 50 проверок и вынесено 50 требований/предписаний/ рекомендаций об устранении выявленных нарушений[1].


Итак, с чего же начать разработку мер по защите персональных данных в компании? По нашему мнению, сначала требуется провести подготовительную работу. А именно:


Шаг 1. Проанализировать бизнес-процессы оператора и выявить:


►  все случаи, в которых происходит обработка персональных данных

►  категории субъектов, данные которых обрабатываются

►  цель или причины обработки: для чего именно компания обрабатывает персональные данные? Например, компания собирает в отдельном файле данные о дате рождения работников для организации поздравления работников и т.п.


Шаг 2. Проанализировать выявленные случаи на предмет:


соотношения цели обработки данных и запрашиваемого объема данных

Нередко бывают случаи, когда о физическом лице собирается гораздо больше информации, чем требуется. Один из распространенных примеров избыточного указания персональных данных - это данные о физическом лице - представителе, указываемые в доверенности. Так, на практике часто указываются ФИО, дата рождения, идентификационный номер, номер паспорта, место регистрации и т.д. Однако такой объем данных является избыточным, идентифицировать физическое лицо можно по ФИО, дате рождения и, например, по номеру паспорта.

основания обработки персональных данных, т.е. есть ли законное основание для обработки или необходимо получать согласие субъекта на обработку

Так, согласие субъекта на обработку не требуется, например, при оформлении трудовых отношений, в процессе трудовой деятельности субъекта в случаях, предусмотренных законодательством, а также при получении персональных данных оператором на основании договора, заключенного с субъектом, в целях совершения действий, установленных этим договором, и иные.


Шаг 3. Определить лиц оператора, которые осуществляют обработку персональных данных и, соответственно, которым необходим доступ к персональным данным


►  В данном случае речь идет о работниках компании, иных физических лицах, непосредственно осуществляющих обработку персональных данных (например, привлеченных на основании договора подряда). Так, в случае, если главный бухгалтер заполняет и подает ежеквартальный отчет ПУ-3 – главный бухгалтер будет являться лицом, осуществляющим обработку персональных данных (в части данных работников, вносимых в отчет ПУ-3).


Шаг 4. Установить:


►  где фактически хранятся документы, содержащие персональные данные

►  в каких информационных системах (ресурсах) обрабатываются данные

►  кто является собственником (владельцем) таких информационных систем (ресурсов).

Все вышеуказанные действия являются основой для разработки политик оператора в области защиты персональных данных, отражающих и регулирующих все бизнес-процессы оператора, а также для определения необходимых технических и организационных мер. В следующих статьях мы рассмотрим вопрос разработки политик компании в отношении обработки персональных данных.


[1] Официальный сайт Национального центра защиты персональных данных Республики Беларусь: https://cpd.by/o-centre/otchety-o-dejatelnosti/

Авторы:
  • Дмитрий Зикрацкий
    Руководитель юридической практики
  • Юлия Лопан
    Ведущий специалист
    Юридические услуги
Свяжитесь с нами

Узнайте подробнее о наших услугах, отправив запрос на тендер по электронной почте.
На нашем сайте используются файлы cookies, которые делают его более удобным для каждого пользователя. Посещая страницы сайта, вы соглашаетесь с использованием файлов cookies.
Принять