С 30 июня 2021 г. вступил в силу Закон Республики Беларусь от 28.05.2021 № 114-З «Об изменении законов по вопросам трудовых отношений» (далее — Закон № 114-З), которым внесены изменения в ТК и установлена дисциплинарная ответственность за противоправные действия с персональными данными.
В частности, ст. 47 ТК дополнена таким новым основанием увольнения, как нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных*.
* Более подробно об алгоритме увольнения в соответствии с п. 10 ч. 1 ст. 47 ТК см.: Самосейко В. Нарушение работником законодательства о защите персональных данных: алгоритм увольнения // Юрист. — 2021. — № 9.
Определение понятия «персональные данные», а также основополагающие принципы работы с ними определены в Законе Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон № 99-З), который вступает в силу с 15.11.2021.
Справочно.
Согласно ст. 1 Закона № 99-З персональные данные — это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Перечень персональных данных
Перечень информации, которая может быть отнесена к персональной, является открытым. В Законе № 99-З он четко не определен. Поэтому решать, относятся ли те или иные сведения к персональным данным конкретного лица, необходимо индивидуально.
Наниматели (юридические лица Республики Беларусь, индивидуальные предприниматели, самостоятельно или совместно с иными лицами организующие и (или) осуществляющие обработку персональных данных) обрабатывают данные как своих работников, так и других лиц. Когда их фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование становятся персональными, зависит от ситуации.
Приведем примерный перечень информации, которая может быть отнесена к персональным данным:
По общему правилу, установленному ст. 6 и 8 Закона № 99-З, необходим предварительный запрос согласия субъекта персональных данных на обработку его персональных данных. При этом Закон № 99-З содержит и исключения из данного правила.
Справочно.
Субъект персональных данных — физическое лицо, в том числе работник, в отношении которого осуществляется любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных (ст. 1 Закона № 99-З).
Можно выделить как минимум следующие цели использования нанимателем персональных данных работников:
— при оформлении трудовых отношений, а также в процессе трудовой деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
— для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
— в целях назначения и выплаты пенсий, пособий и др.
Кроме того, после заключения трудового договора информация о работнике может использоваться нанимателем для надлежащего исполнения его обязательств, вытекающих не только из трудового, но и из других отраслей законодательства (например, для удержания из зарплаты денежных средств в рамках исполнительного производства).
Согласно ст. 17 Закона № 99-З наниматель обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных:
— от несанкционированного или случайного доступа к ним;
— изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных;
— иных неправомерных действий в отношении персональных данных.
Обязательными мерами по обеспечению защиты персональных данных, в частности, являются:
— назначение нанимателем структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
— издание нанимателем документов, определяющих политику в отношении обработки персональных данных;
— ознакомление работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику нанимателя в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
Справочно.
Обязанности работников в области защиты персональных данных должны быть предусмотрены условиями трудового договора и (или) должностной инструкцией.
— установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе).
Примерный алгоритм действий нанимателя по организации работы с персональными данными приведен ниже.
Примерный алгоритм организации работы с персональными данными
Шаг 1. Установление перечня персональных данных, которые обрабатываются в организации
Для того, чтобы определить ответственных лиц, а также то, в каких случаях нужно запрашивать согласие на обработку персональных данных, вначале следует определить, какие персональные данные обрабатываются этим оператором.
Справочно.
Оператор — государственный орган, юридическое лицо Рес-публики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных.
Для этого собираются сведения о том, какая информация обрабатывается оператором, затем оценивается, относится ли она к персональным данным, а после установленные персональные данные подразделяются по целям их обработки.
Шаг 2. Установление лица (структурного подразделения), ответственного за осуществление внутреннего контроля за обработкой персональных данных, а также перечня лиц, имеющих допуск к обработке персональных данных
Одним из обязательных, минимальных требований оператора в силу ст. 17 Закона № 99-З является назначение ответственных лиц. Так, выделяют лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, и лиц, допущенных к обработке персональных данных.
Шаг 3. Внесение дополнений в трудовые договоры и должностные инструкции лиц, допущенных к обработке персональных данных
Согласно ст. 20 ТК наниматель не вправе требовать от работника выполнения работы, не обусловленной трудовым договором, за исключением случаев, предусмотренных законодательными актами.
Иными словами, дополнительные обязанности в области защиты персональных данных должны быть предусмотрены условиями трудового договора и (или) должностной инструкции.
Шаг 4. Разработка и утверждение локальных правовых актов и иных документов по защите персональных данных
В соответствии со ст. 17 Закона № 99-З оператор должен разработать и утвердить как минимум политику оператора (уполномоченного лица) в отношении обработки персональных данных.
На самом деле перечень значительно шире, и на практике разрабатывают и иные ЛПА.
Шаг 5. Обеспечение условий для физической защиты персональных данных (место хранения, допуск и т.п.) и их обработки
В данном случае оператор должен предпринять технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Шаг 6. Обучение работников, имеющих допуск к обработке персональных данных, согласно законодательству, в том числе ознакомление их с нормативными правовыми и локальными правовыми актами в сфере защиты персональных данных
С учетом ст. 17 Закона № 99-З оператор обязан не только провести ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, но также провести обучение указанных работников и иных лиц в порядке, установленном законодательством.