Персональные данные в Беларуси: просто о сложном

Часть вторая – разработка политики оператора в отношении обработки персональных данных

В нашей статье «Часть первая – подготовительные действия» мы рассказали о первых шагах, которые следует предпринять компании, обрабатывающей персональные данные. Результаты такой работы являются основой для разработки обязательных мер по обеспечению защиты персональных данных, предусмотренных законодательством.

Одной из таких обязательных мер является издание документов, определяющих политику оператора (уполномоченного лица)[1] в отношении обработки персональных данных (далее – «Политика оператора»). Законодательство не устанавливает, какие вопросы должны регулироваться Политикой оператора, а равно требований к ее форме и названию (это может быть Положение, Политика, Инструкция и т д.).

Национальный центр защиты персональных данных (далее - «НЦЗПД») разработал рекомендации по составлению Политики оператора. С рекомендациями, а также примерной формой Политики оператора можно ознакомиться на его официальном сайте.

Особенностью законодательства о защите персональных данных является то, что, с одной стороны, компаниям-операторам предоставлена в определенной степени свобода в разработке подходов и мер защиты персональных данных, с другой стороны, для соблюдения требований законодательства недопустимо банально копирование примерной формы Политики оператора без ее адаптации к особенностям каждой компании.

Задача компании при разработке Политики оператора – изучив рекомендации НЦЗПД и примерную форму, разработать свою уникальную политику, соответствующую внутренним бизнес-процессам компании.

Согласно рекомендациям НЦЗПД Политика оператора должна содержать условия обработки персональных данных, о которых информируются субъекты персональных данных. Однако, с практической точки зрения, разрабатывая Политику оператора, мы бы рекомендовали использовать более комплексный подход и урегулировать сразу два блока вопросов (в зависимости от специфики деятельности компании, это можно сделать как в одном документе, так и в отдельных):

1. Условия обработки персональных данных, о которых информируются субъекты персональных данных
2. Порядок обработки персональных данных работниками, уполномоченными лицами оператора. В этом блоке следует сразу прописать порядок доступа к персональным данным, так как установление такого порядка - это еще одна обязательная мера для всех операторов

Итак, шаг 1 – разрабатываем Политику оператора для субъектов персональных данных и учитываем следующее:

1. Структура

В случае большого количества категорий субъектов, персональные данные которых обрабатываются, а также разнообразных бизнес-процессов компании-оператору может быть целесообразно разработать отдельную Политику оператора:

►  для каждой категории субъектов, либо

►  для отдельного правового основания обработки персональных данных (например, объединить в одной политике несколько категорий субъектов, данные которых обрабатываются на основании их согласия).

Такой подход позволит:

А) упростить субъектам персональных данных поиск необходимой информации

Б) не перегружать субъектов персональных данных не относящейся к ним информацией

В) оператору выбрать надлежащий способ размещения политики так, чтобы обеспечить неограниченный доступ к ней согласно требованиям законодательства.

Так, например, могут быть разработаны отдельные Политики оператора в отношении обработки персональных данных работников, покупателей интернет-магазина, пациентов.

И, наоборот, при отсутствии большого количества или разнообразия случаев обработки персональных данных (например, когда бизнес компании не предполагает взаимодействия с физическими лицами – потребителями, пациентами и т.д.) возможна подготовка единой Политики оператора, которая охватывает все категории субъектов персональных данных и все правовые основания обработки их персональных данных.

2. Содержание (согласно рекомендациям НЦЗПД[2])

Политика оператора должна быть написана простым, ясным и доступным языком, следует избегать абстрактных и неоднозначных формулировок.

Тезисно о том, что целесообразно включать в Политику оператора:

► Кем обрабатываются персональные данные, т.е. указание наименования компании-оператора. Если персональные данные обрабатываются уполномоченным лицом, необходимо указать наименование такого уполномоченного лица. В случае трансграничной передачи указывается наименование субъектов в иностранных государствах, которым персональные данные будут или могут быть переданы.

► Категории субъектов персональных данных, чьи данные обрабатываются (например, лицо, принимаемое на работу), а также перечень обрабатываемых данных (например, перечисление конкретных персональных данных, которые содержатся в трудовом договоре, и отсылка на форму личного листка, автобиографию).

► Как обрабатываются персональные данные, т.е. какие действия совершаются с персональными данными (например, сбор, хранение, использование, предоставление и т.д.).

► Цель обработки персональных данных (например, для оформления трудовых отношений, для внесения данных в пропускную систему, для направления рассылок рекламного характера и т.п.).

► Правовые основания обработки персональных данных (один из самых важных для оператора аспектов, требующий детального анализа). Правовое основание необходимо прописать в отношении каждой цели обработки персональных данных. Важно правильно определить правовое основание для обработки персональных данных. Ошибкой, как с юридической, так и с практической точек зрения, является указание для всех целей обработки персональных данных такого основания как «согласие субъекта». Согласие субъекта персональных данных является самым НЕнадежным правовым основанием, т.к. субъект персональных данных в любое время вправе отозвать свое согласие. В случае же, если правовое основание для обработки персональных данных предусмотрено законодательством (например, на основании договора, заключенного с субъектом персональных данных, в целях совершения действий, установленных этим договором), то компания обрабатывает персональные данные без согласия субъекта.

► Права субъектов персональных данных, а также способы их реализации. Права субъектов персональных данных перечислены в Главе 3 Закона Республики Беларусь «О защите персональных данных». Однако недостаточно лишь указания на наличие прав, необходимо прописать конкретный механизм их реализации. Например, субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Механизм реализации такого права: указание контактов и способа направления заявление о предоставлении такой информации.

► Сроки хранения персональных данных. Срок хранения персональных данных законодательством не предусмотрен. В данном случае следует руководствоваться установленными сроками хранения документов, в которых указаны персональные данные. Если первая опция не применима, то срок определяется оператором с учетом требования законодательства ограничивать обработку персональных данных достижением заявленных целей обработки.

3. Форма

Политика оператора является локальным правовым актом компании и подлежит утверждению директором компании.

Шаг 2 – разрабатываем локальный правовой акт, определяющий порядок обработки персональных данных работниками, уполномоченными лицами оператора.

Разработка именно такого локального правового акта прямо не предусмотрена законодательством. Однако принятие и фактическое исполнение данного акта вытекает из необходимости соблюдения требований законодательства в части обеспечения оператором защиты персональных данных. В таком локальном правовом акте рекомендуется урегулировать, например, среди прочего:

► порядок доступа к персональным данным (установление такого порядка - это еще одна обязательная мера), а также определение категорий лиц, которые имеют доступ к персональным данным

►  порядок ведения реестра субъектов, персональные данные которых обрабатываются

►  порядок предоставления данных третьим лицам, а также порядок ведения реестра случаев предоставления персональных данных третьим лицам (обращаем внимание, что субъект персональных данных вправе запрашивать у оператора информацию о предоставлении его персональных данных третьим лицам)

►  требования к работе с персональными данными, направленные на предупреждение случайного распространения персональных данных и сохранения конфиденциальности данных (например, требование не оставлять и не хранить на рабочем столе документы, содержащие персональные данные и т.п.)

►  порядок работы с заявлениями субъектов персональных данных

►  порядок действий при выявлении нарушений системы защиты персональных данных (обращаем внимание, оператор обязан уведомить НЦЗПД о таких нарушениях незамедлительно)

►  порядок удаления или блокирования[3] персональных данных (обращаем внимание, что оператор обязан прекратить обработку персональных данных, а также осуществить их удаление и блокирование при отсутствии оснований для обработки персональных данных, предусмотренных законодательством).

Для того, чтобы данный акт являлся обязательным для работников, которые обрабатывают персональные данные, их необходимо ознакомить с актом под подпись.

Еще раз обращаем внимание на то, что, разработка любого из указанных документов должна осуществляться с учетом бизнес-процессов конкретной компании - оператора.

[1] Под оператором в данном случае понимается юридическое лицо Республики Беларусь, иная организация, индивидуальный предприниматель, организующие и (или) осуществляющие обработку персональных данных, а под уполномоченным лицом – лицо, которое в соответствии с законодательством, на основании решения государственного органа либо договора с оператором осуществляет обработку персональных данных от имени оператора или в его интересах

[2] https://cpd.by/rekomendacii-sostavlenie-politiki-obrabotki/

[3] Блокирование персональных данных – прекращение доступа к персональным данным без их удаления