С 15.11.2021 года вступил в силу Закон Республики Беларусь «О защите персональных данных» (далее – Закон).
Что же включает в себя понятие «обработка персональных данных», и кто этим должен заниматься?
Обработка персональных данных — это любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Елена Боржемская
Руководитель ООО «ПравоГранд»
В свете принятия Закон о защите персональных данных, у операторов (лиц, осуществляющих обработку персональных данных) возникает обязанность по принятию ряда мер по обеспечению защиты персональных данных, начиная с разработки перечня документации и заканчивая мерами по технической и криптографической защите информационных систем.
Предлагаем Вам ознакомиться с формой приказа о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных
Кто должен заниматься обработкой персональных данных?
Обработкой данных будут заниматься государственные органы, юридические лица Республики Беларусь либо иные организации, физические лица, в том числе индивидуальные предприниматели самостоятельно или совместно с иными из этих лиц. Называться они будут – операторы персональных данных.
Согласно приказу № 194 «Об обучении по вопросам защиты персональных данных» определяется перечень сотрудников организаций, которые должны пройти обязательное обучение по защите персональных данных. Обучение будет проходить по образовательной программе повышения квалификации руководящих работников и специалистов лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных.
Обязанности оператора персональных данных
Так в соответствии нормами Закона такой оператор обязан принимать меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления данных, а также от иных незаконных действий в их отношении. Он будет определять состав и перечень мер, необходимых для выполнения обязанностей по обеспечению защиты вышеуказанных данных.
Меры по защите персональных данных
Законодательством определены обязательные меры, которые должны быть приняты оператором в целях защиты вышеуказанных данных. Вот некоторые из них:
- назначение структурного подразделения или лица, ответственного за осуществлением контроля за обработкой персональных данных;
- издание документов, определяющих политику в отношении обработки вышеуказанных данных;
- ознакомление работников оператора и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства и политикой оператора в отношении обработки данных. Более того, при необходимости, нужно также провести обучение указанных работников и иных лиц в порядке, установленном законодательством
- установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе;
- осуществление технической и криптографической защиты данных в порядке, установленном законодательством;
- и иные.
Документы по защите персональных данных
Таким образом, основной документ, который должен быть разработан и утвержден – это документ, который будет определять политику в отношении обработки персональных данных: инструкция, положение, правила и т.п.
В него, в частности, нужно включить информацию, содержащую:
- цели обработки персональных данных;
- перечень собираемых данных;
- порядок получения согласия субъекта персональных данных, а также форму его получения;
- порядок сбора данных и работы с ними;
- сроки и порядок хранения персональных данных;
- порядок и случаи предоставления и распространения таких данных;
- меры по защите данных и доступу к ним.
Форма для согласия на обработку персональных данных
Ввиду того, что обработка данных осуществляется с согласия субъекта персональных данных, оператор должен разработать специальную форму для дачи такого согласия. Оно может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.
При даче согласия данный субъект, как правило, указывает свои фамилию, имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае его отсутствия — номер документа, удостоверяющего его личность, за исключением случая, когда цели обработки персональных данных не требуют обработки этой информации.
Доступ к персональным данным
Доступ к персональным данным предоставляют только тем работникам в обязанности которых входит работа с такими данными. Перечень должностей и порядок доступа к вышеуказанным данным можно предусмотреть в соответствующей политике.
Законом не установлен исчерпывающий пакет документов, который закроет все требования, предъявляемые к защите персональных данных, т.к. они зависят от характера и сути их обработки, которую осуществляет оператор.
В связи со вступлением в силу Закона Республики Беларусь от 07.05.2021 «О защите персональных данных» субъекты хозяйствования, должны подготовить и привести в соответствие документы, регулирующие этот вопрос.
Ответственность за нарушение закона
Нарушение законодательства о защите персональных данных является административным правонарушением и согласно ст. 23.7 КоАП в зависимости от состава нарушения влечет наложение штрафа от 4 до 200 базовых величин.
Компания ПравоГранд готова оказать комплекс мероприятий по внедрению Закона в вашей организации: проконсультировать по возникшим вопросам, а также помочь разработать пакет документов по работе с персональными данными в соответствие законодательством.
Частые вопросы
Любые данные о физическом лице, с помощью которых его идентифицируют или могут идентифицировать.
Доступ к персональным данным предоставляется работникам оператора, в обязанности которых входит работа с персональными данными. Перечень должностей можно предусмотреть в политике обработки персональных данных либо в приказе руководителя организации.
Операторы письменно до 15 декабря 2021 г., а в последующем — до 15 ноября ежегодно обеспечивают представление Национальный центр защиты персональных данных информацию о количестве лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которым необходимо пройти обучение в данном центре.
Хранить персональные данные необходимо не дольше, чем этого требуют цели, для которых они собраны.
Храниться они могут как на бумажных носителях, так и в электронном виде при условии организации их защиты на должном уровне.
При оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных получать согласие на обработку персональных данных не требуется.
Политика о персональных данные утверждается руководителем организации.
Изменения в должностную инструкцию работника вносятся на основании приказа. С данными изменениями работник должен быть ознакомлен под роспись. Если же наниматель возлагает на работника обязанности, которые не входят в квалификационную характеристику его должности, это будет изменением существенных условий труда и о таких изменениях необходимо уведомить работника в порядке, установленном законодательством.
Трудовой договор может быть изменен только с согласия сторон. В случае изменения законодательства о труде условия трудового договора должны быть приведены в соответствие с законодательством о труде и в данном случае согласие работника не требуется. Изменения в трудовых контрактах вносятся путем издания соответствующего приказа и подписанием дополнительного соглашения сторонами контракта.
Информацию в Национальный центр защиты персональных данных об ответственных лицах необходимо передавать в письменном виде до 15 декабря 2021 г., а в последующем — до 15 ноября ежегодно.
Любые данные о физическом лице, с помощью которых его идентифицируют или могут идентифицировать. Основные – ФИО, дата рождения, место рождения, данные о регистрации и т.п., дополнительные – сведения о родителях, опекунах, попечителях, семейном положении, супруге, детях, о роде занятий и т.п., специальные – о расовой принадлежности, о здоровье, о привлечении к уголовной (административной) ответственности и т.п., иные данные.
Как правило, это копия паспорта, копия трудовой книжки, копии свидетельств о заключении брака, рождении детей, справка о доходах и суммах налога, документы об образовании и иные.
Национальный центр защиты персональных данных о количестве лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которым необходимо пройти обучение в данном центре.
Субъектов персональных данных перед получением их согласия на обработку персональных данных об их правах, порядке, целях и сроках использования их персональных данных и иных условиях в соответствии с законодательством.
Положение об обработке и защите персональных данных необходимо разработать оператору персональных данных.
Субъект персональных данных вправе обжаловать действия (бездействие) и решения оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных (Национальный центр защиты персональных данных) в порядке, установленном законодательством об обращениях граждан и юридических лиц.
Желательно, чтобы это были разные лица.
Законодательством такой срок не определен. Он устанавливается оператором в зависимости от целей, для которых эти данные используются.
Размер заработной платы является персональными данными, если эта информация позволяет идентифицировать физическое лицо — субъекта персональных данных. Эта информация должна относиться именно к лицу, а не просто вот такой-то размер заработной платы и нет привязки к лицу.
Для различных документов сроки хранения различаются:
-
согласия субъектов персональных данных на их обработку нужно хранить 1 год после окончания срока согласия;
-
заявления субъектов персональных данных — 1 год;
-
уведомления о нарушениях систем защиты персональных данных — 3 года.
Национальное законодательство в области защиты информации:
- Закон РБ от 10 ноября 2008 г. № 455-3
- Приказ ОАЦ при Президенте РБ от 20 февраля 2020 г. № 66 (ред. от 12 ноября 2021 г. № 195)
- Закон РБ от 7 мая 2021 г. № 99-3
- Уголовный кодекс РБ. Статья 203-2
- Кодекс РБ об административных правонарушениях. Статья 23.7
