15 ноября 2021 года вступил в силу Закон Республики Беларусь от 7 мая 2021 года № 99-З «О защите персональных данных» (далее – Закон).
Закон является первым нормативным правовым актом Республики Беларусь, комплексно регулирующим вопросы работы с персональными данными и их защиты.
К персональным данным отнесена любая информация об идентифицированном физическом лице или физическом лице, которое может быть идентифицировано (абз. 9 ст. 1 Закона). Физическое лицо может быть идентифицировано, когда оно может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности (абз. 17 ст. 1 Закона).
Таким образом, определение термина «персональные данные» не определяет однозначно перечень сведений, которые можно относить к таким данным, а позволяет расширенно и подходить к толкованию персональных данных.
Обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных (абз. 6 ст. 1 Закона).
Оператором персональных данных является государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель самостоятельно или совместно с иными из этих лиц организующие и (или) осуществляющие обработку персональных данных (абз. 8 ст. 1 Закона).
Следовательно, каждое юридическое лицо является оператором обработки персональных данных, поскольку обрабатывает персональные данные своих работников, учредителей (участников), а также клиентов-физических лиц либо должностных лиц клиентов-юридических лиц.
Законом установлены для операторов обработки персональных данных обязанности по назначению лица, осуществляющего внутренний контроль за обработкой персональных данных, а также подготовке и опубликованию на сайте документов, определяющих политику оператора по защите персональных данных (ст. 17 Закона).
В Законе закреплена рискоориентированная модель работы операторов. Это означает, что каждый оператор самостоятельно, с учетом специфики своей работы, определяет перечень документов по защите персональных данных.
Исходя из разъяснений Национального центра защиты персональных данных Республики Беларусь, полагаем, что алгоритм действий оператора – юридического лица по защите персональных данных должен быть следующим.
1. Определить следующие категории лиц у оператора:
1.1. лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных (одно должностное лицо либо созданное структурное подразделение, если обрабатывается большой объем персональных данных);
1.2. лицо, обеспечивающее техническую защиту персональных данных;
1.3. состав должностей и (или) профессий работников, непосредственно осуществляющих обработку персональных данных.
2. Провести анализ поступающих к оператору данных физических лиц на предмет состава и объема поступающих данных, целей получения таких данных, относятся ли данные к персональным и необходимо ли получать согласие физического лица (субъекта) на обработку выявленных персональных данных.
3. Подготовить локальные правовые акты оператора по защите персональных данных.
Работа по подготовке локальных правовых актов по защите персональных данных должна осуществляться при непосредственном взаимодействии с лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных на основании проведенного анализа персональных данных (пункт 2 настоящего алгоритма).
Перечень локальных правовых актов оператора – юридического лица по защите персональных данных:
3.1. Политика оператора в отношении обработки персональных данных.
Обязательным приложением к политике должен выступать Перечень обрабатываемых персональных данных (цель обработки, субъект персональных данных, обрабатываемые персональные данные, правовое основание, срок хранения).
Данный Перечень является одним из ключевых документов по защите персональных данных у оператора. Он составляется исходя из специфики работы конкретного оператора.
3.2. Положение о порядке обработки и защиты персональных данных.
Приложением к вышеуказанному Положению выступает перечень лиц, непосредственно обрабатывающих персональные данные, в котором должны быть отражены виды персональных данных и какие работники имеют к ним доступ.
3.3. Положение о порядке допуска работников и иных лиц к обработке персональных данных.
3.4. Положение о порядке осуществления внутреннего контроля в сфере обработки персональных данных.
3.5. Положение о порядке реализации прав субъектов персональных данных с приложениями форм заявлений и уведомлений.
3.6. Положение о порядке удаления (уничтожения) персональных данных.
4. Ввести в действие вышеуказанные локальные правовые акты и ознакомить с ними работников оператора.
4.1. Издать приказ об утверждении локальных правовых актов и ознакомить с ними работников, которые осуществляют обработку персональных данных.
4.2. Внести изменения в трудовые договоры (контракты) либо должностные инструкции работников, осуществляющих внутренний контроль, защиту персональных данных и непосредственно обрабатывающих персональные данные.
5. Определить перечень уполномоченных лиц и внести изменения (дополнения) в договоры с уполномоченными лицами по защите персональных данных.
Если какие-либо организации либо индивидуальные предприниматели имеют доступ к персональным данным, обрабатываемых оператором, то они признаются уполномоченными лицами.
Например, уполномоченными лицами могут выступать аудиторы, налоговые консультанты (имеют доступ к бухгалтерской информации, где хранятся персональные данные работников), юристы (если им передаются персональные данные) и другие.
Если у оператора имеются уполномоченные лица, то необходимо внести изменения (дополнения) в договоры с целью установления обязательных условий по защите персональных данных.
6. Дальнейшая работа у оператора с персональными данными.
6.1. Поддержание в актуальном состоянии локальных правовых актов по защите персональных данных, в том числе Перечня обрабатываемых персональных данных.
6.2. Ознакомление новых работников с локальными правовыми актами по защите персональных данных.
6.3. Осуществление внутреннего контроля за защитой персональных данных.
6.4. Проведение обучения работников по защите персональных данных.
6.5. Ответы на обращения субъектов персональных данных по реализации их прав.
Закон устанавливает для оператора – юридического лица ряд дополнительных обязанностей по защите персональных данных, в том числе по подготовке и введению в действие локальных правовых актов. Однако, данные локальные акты не просто должны быть у оператора, они должны реально работать и обеспечивать защиту персональных данных физических лиц.
Теребей Алеся Петровна, адвокат юридической
консультации Барановичского района и г. Барановичи
