Защита персональных данных — Беляевы и партнеры

Защита персональных данных

15 ноября 2021 года в силу вступили нормы Закона Республики Беларусь «О защите персональных данных» (далее – Закон).

В новой редакции Закона персональные данные – это любая информация, позволяющая идентифицировать физическое лицо. 

Если отойти от дословного цитирования Закона, то под оператором понимается лицо, которое персональные данные обрабатывает (собирает, хранит, использует, удаляет и т.д.), а под уполномоченным лицом – лицо, обрабатывающее эти данные в интересах оператора или от имени оператора. Даже если Вы не используете в своем бизнесе CRM системы, не применяете системы лояльности, не обрабатываете заявки через сайт или соцсети – Вы все равно подпадаете под действие нового Закона потому, что, как минимум, собираете информацию о своих сотрудниках.

Теперь, чтобы отдать ведение кадрового учета или бухгалтерию на аутсорсинг, или выдать доверенность, Вам необходимо получить согласие работников. Государственные органы заранее озаботились вопросом защиты персональных данных. Например, Национальный центр интеллектуальной собственности с лета 2021 года стал запрашивать согласие на обработку персональных данных в случае, если заявка подается на физическое лицо. Кроме нового Закона в Беларуси теперь появился и новый орган, который будет специализироваться в вопросах защиты персональных данных – Национальный центр защиты персональных данных (далее – НЦЗПД). 28 октября 2021 г. был подписан Указ №422 «О мерах по совершенствованию защиты персональных данных», предусматривающий создание НЦЗПД. НЦЗПД будет осуществлять контроль за соблюдением Закона всеми лицами, участвующими в процессе обработки персональных данных, а также будет рассматривать поступающие жалобы от субъектов персональных данных.

Предполагается, что контрольная функция будет выражена в возможности проведения НЦЗПД плановых, внеплановых и камеральных проверок. Плановые проверки оператора (уполномоченного лица) могут проводиться не чаще чем один раз в 2 года, уведомление о таких проверках будет направляться соответствующему проверяемому лицу не поздней чем за 10 (десять) рабочих дней до даты ее проведения. Основанием для внеплановой проверки может стать поступление жалобы или информации о нарушении законодательства от субъекта персональных данных. Камеральные проверки будут проводиться без уведомления оператора или уполномоченного лица.

Для отчетности перед НЦЗПД операторам (уполномоченным лицам) необходимо предоставить информацию о количестве лиц, ответственных за внутренний контроль порядка обработки персональных данных, а также информацию о количестве лиц, непосредственно осуществляющих обработку персональных данных. К слову, данные лица раз в 5 лет будут обязаны проходить обучение в НЦЗПД по вопросам защиты персональных данных.

Административная ответственность за нарушение законодательства о защите персональных данных может наступить за умышленные незаконные сбор, обработку, хранение или предоставление персональных данных; нарушение прав физических лиц, связанных с обработкой персональных данных; умышленное незаконное распространение персональных данных; несоблюдение мер обеспечения защиты персональных данных. Максимальный размер штрафа достигает 200 базовых величин за данные правонарушения.
Есть и уголовная ответственность по статьям 203-1 «Незаконные действия в отношении информации о частной жизни и персональных данных» и 203-2 «Несоблюдение мер обеспечения защиты персональных данных» Уголовного кодекса Республики Беларусь.

 Но, если Вы не успели заранее подготовиться, не переживайте. Оператору (уполномоченному лицу) необходимо разработать следующие документы:

1. политику обработки персональных данных (она должна включать информацию о том, кто, где, какие данные, на какой срок и для чего собирает);
2. форму согласия, предоставляемого физическим лицом для обработки персональных данных.
А также другие документы, в зависимости от специфики деятельности, наличия сайта, приложения и способа получения и обработки персональных данных.

До 15 декабря 2021 года (до 15 ноября каждого последующего года) необходимо предоставить в НЦЗПД всю информацию о лицах, которые осуществляют непосредственный контроль и обработку персональных данных. Раз в 5 лет организовать прохождение обучения лицами, указанными выше.

В целях заботы о Вас, а также в связи с изменением законодательства представляем Вашему вниманию краткий чек-лист изменений в сфере защиты персональных данных:

Что нужно сделать для соблюдения законодательства в сфере защиты персональных данных:

1. Определить:
  • Цели обработки персональных данных;
  • Объем обработки персональных данных;
  • Надлежащее правовое основание для обработки (получение согласия на обработку);
  • Сроки хранения персональных данных.
2. Установить:
  • Перечень лиц, имеющих доступ к персональным данным;
  • Порядок доступа к персональным данным;
  • Перечень уполномоченных лиц, которым передаются персональные данные (при их наличии).
3. Разработать и поддерживать в актуальном состоянии:
  • Пакет документов внутренней политики компании по обработке персональных данных;
  • Перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых является компания;
  • Категории персональных данных, подлежащих включению в такие ресурсы (системы);
  • Перечень уполномоченных лиц (в случае, если обработка персональных данных осуществляется такими лицами);
  • Срок хранения персональных данных.
4. Назначить лицо, ответственное за обработку персональных данных в компании.
Ознакомить работников с ЛПА компании и законодательством в сфере защиты персональных данных, провести инструктаж по работе с персональными данными.
Не реже одного раза в 5 лет необходимо организовывать обучение ответственного лица (лиц), а также работников, которыми осуществляется обработка персональных данных.

5. Принимать реальные меры по технической, а также криптографической защите информационных систем.

6. Предоставить в НЦЗПД информацию о:
  • количестве лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных,
  • количестве лиц, непосредственно осуществляющих обработку персональных данных.
В свою очередь, «Беляевы и партнеры» готовы предоставить комплексную консультацию по вопросам соответствия законодательству в сфере персональных данных, а также подготовить необходимый пакет документов, подходящий конкретно под Ваш бизнес, модель работы и обработки персональных данных.
По всем возникшим вопросам, пожалуйста, свяжитесь с нами любым удобным для Вас способом.

Заявка на консультацию

Оставьте контактные данные и мы свяжемся с Вами в течение 5 минут