Содержание:
Рассмотрим возможный порядок действий оператора в связи с изменением правового основания обработки персональных данных, в частности когда оператор заменяет согласие иным правовым основанием, предусмотренным ст. 6 или 8 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон).
Шаг 1. Вносим изменения в реестр
НЦЗПД рекомендует вести реестр обработки персональных данных в каждой организации. Контролирующий орган не ограничивает операторов (уполномоченных лиц) в форме ведения реестра, однако важно, чтобы он поддерживался в актуальном состоянии.
Справочно.
Необходимость ведения реестра обусловлена тем, что осуществление оператором (уполномоченным лицом) надлежащего контроля за обработкой персональных данных требует систематизации и учета процессов обработки персональных данных, так как без этого затруднительно обеспечить реализацию положений ст. 4 Закона и прав субъектов персональных данных, например права на получение информации об обработке персональных данных.
С примером реестра обработки персональных данных, представленным на сайте НЦЗПД, можно ознакомиться по короткой ссылке clck.ru/328Zxf.
Порядок внесения изменений в реестр зависит от того, какой порядок ведения реестра установлен в организации.
Справочно.
Способы внесения сведений в реестр предложены НЦЗПД в Положении о реестре обработки персональных данных, составляющем часть пакета оператора, с которым можно ознакомиться по короткой ссылке clck.ru/3282M6.
Например, НЦЗПД предлагает следующие два способа внесения сведений в реестр:
1) структурным подразделением или лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных;
2) руководителями структурных подразделений, ответственными за обработку персональных данных, или уполномоченными ими лицами (ответственными за обработку лицами).
При этом в первом случае изменения вносятся по предложению ответственных за обработку лиц, а во втором — непосредственно такими лицами.
НЦЗПД предлагает в случае изменения рабочих процессов, касающихся обработки персональных данных, вносить соответствующие правки в реестр в течение 10 рабочих дней со дня возникновения, изменения или прекращения этих рабочих процессов.
Шаг 2. Вносим изменения в политику оператора
Необходимость создания политики оператора в отношении обработки персональных данных (далее — политика) установлена п. 3 ст. 17 Закона. При разработке политики, равно как и при внесении в нее изменений, целесообразно руководствоваться Рекомендациями НЦЗПД по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных (далее — Рекомендации НЦЗПД).
Пример записи в политике в части изменения правового основания обработки персональных данных
Согласно п. 5 Рекомендаций НЦЗПД политика должна поддерживаться в актуальном состоянии. Таким образом, в случае изменения рабочих процессов, касающихся обработки персональных данных, в политику, как и в реестр, необходимо внести корректировки.
Полагаем, что в связи с изменением правового основания обработки персональных данных оператору необходимо внести изменения в ту часть политики, где отражаются правовые основания обработки персональных данных, и сделать отметку об обновлении политики с указанием даты такого обновления и той части, в которую были внесены изменения.
Шаг 3. Информируем субъектов персональных данных
Если политика существенно изменяется, в том числе изменяются оператор, цели обработки, сроки хранения персональных данных, порядок реализации прав субъектов персональных данных или условия трансграничной передачи, то такие изменения должны доводиться до сведения субъектов данных заблаговременно, до их вступления в силу (п. 5 Рекомендаций НЦЗПД).
Справочно.
Оператору (уполномоченному лицу) требуется обеспечить неограниченный доступ к политике (п. 5 Рекомендаций НЦЗПД).
По нашему мнению, необходимость информирования субъектов персональных данных возникает и при изменении правового основания обработки, в частности, когда вместо согласия оператор намеревается использовать основание, предусмотренное ст. 6 или 8 Закона.
Прямого указания в законодательстве или Рекомендациях НЦЗПД о необходимости подтверждения факта ознакомления субъекта персональных данных с изменениями в политике нет, поэтому политику с изменениями (в новой редакции) достаточно разместить в общедоступном месте (например, вывесить на стенде, выложить на сайте и т.п.).
Справочно.
Если изменения в политике касаются персональных данных работников и при этом политика оформлена как локальный правовой акт, с учетом п. 10 ч. 1 ст. 55 ТК возникает необходимость ознакомления с ней работников под подпись.
Шаг 4. Организуем хранение согласия
Если согласие заменяется иным правовым основанием, то оператору требуется принять меры по хранению согласия, полученного ранее у субъекта персональных данных и подтверждающего законность обработки персональных данных до изменения правового основания обработки персональных данных.
В законодательстве не содержится требования к сроку хранения согласия. Иными словами, каждый оператор самостоятельно может определить такой срок, оценив срок достижения цели обработки и срок, в течение которого может потребоваться доказывание получения согласия.
Справочно.
Различают срок, на который дано само согласие, и срок хранения согласия. Обращаем внимание, что срок хранения согласия не может быть меньше срока, на который оно дано.
Обращаем внимание, что согласие как документ, содержащий персональные данные, в силу п. 8 ст. 4 Закона подлежит уничтожению по истечении срока его хранения (цели обработки), то есть оператор может обрабатывать ранее полученные согласия только в рамках установленного им срока хранения согласий.
Шаг 5. Отражаем действия в реестре учета согласий
Обязанность доказывания получения согласия возлагается на оператора (п. 7 ст. 5 Закона). Для выполнения обязанности по подтверждению получения согласия, а также соблюдения при этом требований законодательства операторы, в частности, могут вести реестр (журнал, книгу) учета согласий. В таком реестре можно указать, как и когда было дано согласие, какая информация об обработке была предоставлена субъекту данных. Эта информация может потребоваться оператору при доказывании факта получения согласия в случае оспаривания.
Если согласие заменяется иным правовым основанием и при этом оператор ведет учет согласий, то целесообразно отразить факт прекращения обработки персональных данных на основании согласия и дату передачи его на хранение в соответствующем реестре.