1. Настоящие Рекомендации подготовлены на основании абзаца восьмого пункта 3 статьи 18 Закона Республики Беларусь от 7 мая 2021 г. ”О защите персональных данных“ (далее – Закон) в целях формирования единообразных подходов к структуре и форме документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных (далее – Политика).
2. Для целей настоящих Рекомендаций применяются термины в значениях, определенных в Законе.
3. Разработка Политики предусмотрена абзацем третьим пункта 3 статьи 17 Закона в качестве обязательной меры для юридических лиц Республики Беларусь, иных организаций, индивидуальных предпринимателей, которые являются операторами или уполномоченными лицами, и направлена на обеспечение прозрачного характера обработки персональных данных (пункт 6 статьи 4 Закона).
Политика должна позволять субъектам персональных данных понимать, кем, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражать имеющиеся у субъектов персональных данных права в контексте этой обработки и механизм их реализации.
Подготавливается либо одна общая Политика в виде отдельного (самостоятельного) документа, либо несколько документов, определяющих с учетом специфики (особенностей) деятельности оператора (уполномоченного лица) порядок обработки персональных данных в определенных сферах или в связи с определенными бизнес-процессами.
4. Политика должна быть написана простым, ясным и доступным языком и отражать особенности обработки персональных данных у конкретного оператора (уполномоченного лица).
Следует избегать абстрактных или неоднозначных формулировок, не позволяющих субъекту персональных данных понять суть и параметры обработки персональных данных, в частности таких слов, как ”может“, ”вероятно“, ”некоторый“, ”часто“, ”возможно“, ”в зависимости от ситуации“.
В целях обеспечения максимальной доступности для восприятия в Политике следует избегать излишнего цитирования актов законодательства, использования большого числа специальных терминов, подробного описания технических аспектов обработки персональных данных.
В случае значительного объема излагаемого материала и при наличии технической возможности целесообразно использовать многоуровневый подход (раскрытие раздела (рубрики) информации при нажатии на него), что позволит субъекту персональных данных перейти к определенному разделу Политики, к которому он хочет получить доступ, вместо того чтобы просматривать большие объемы текста в поисках интересующих его сведений. При необходимости для большей наглядности и доступности содержащейся в Политике информации, в том числе для облегчения понимания информации определенными категориями лиц (дети, пожилые люди и т.п.), могут использоваться табличные или графические (инфографики, схемы и т.п.) варианты ее представления.
5. Оператор (уполномоченное лицо) обязан обеспечить неограниченный доступ к Политике.
При наличии у оператора (уполномоченного лица) сайта Политика должна размещаться на таком сайте, как правило, на странице не ниже второго уровня, а также дополнительно может размещаться на иных интернет-ресурсах или распространяться другими способами. При отсутствии у оператора (уполномоченного лица) сайта обеспечение неограниченного доступа к Политике осуществляется посредством ее размещения на информационных стендах или иными способами.
Политика должна поддерживаться в актуальном состоянии. В случае если в содержание Политики вносятся существенные изменения, включая изменение оператора, целей обработки, сроков хранения, порядка реализации прав субъектов данных, условий трансграничной передачи, они должны доводиться до сведения субъектов персональных данных заблаговременно, до вступления в силу таких изменений.
6. В Политику рекомендуется включать следующую информацию:
- общие положения;
- цели и правовые основания обработки персональных данных;
- категории субъектов персональных данных, чьи данные подвергаются обработке, а также перечень обрабатываемых персональных данных;
- порядок и условия обработки персональных данных, в том числе срок хранения персональных данных;
- права субъектов персональных данных;
- трансграничная передача персональных данных.
7. В общих положениях рекомендуется отразить наименование оператора (уполномоченного лица), основные понятия, отражающие специфику обработки у него персональных данных (при их наличии), сферы (бизнес-процессы), на которые распространяется действие Политики (например, обработка персональных данных пользователей сайта, приложения, обработка персональных данных лиц, претендующих на трудоустройство).
8. Цели и правовые основания обработки персональных данных должны быть конкретными, законными и формулироваться до начала обработки персональных данных.
Цели обработки персональных данных могут основываться на требованиях законодательства, положениях договоров, вытекать из осуществляемой оператором (уполномоченным лицом) деятельности, требоваться для совершенствования бизнес-процессов и т.п.
Не допускается указание абстрактных или общих целей, которые не определяют пределов обработки и не позволяют субъекту персональных данных понять, для чего будут обрабатываться его персональные данные.
В частности, не соответствуют критерию конкретности следующие формулировки:
- ”для совершенствования деятельности организации“;
- ”для разработки новых услуг“;
- ”в исследовательских целях“ (за исключением случаев, когда речь идет об обработке обезличенных персональных данных);
- ”для обеспечения реализации Устава“;
- ”для обеспечения соблюдения законодательства“ (в отношении обработки персональных данных, связанных с реализацией задач и функций оператора);
- ”для формирования справочных материалов для внутреннего информационного обеспечения деятельности“;
- ”для достижения общественно значимых целей“.
- Примерами целей обработки, соответствующих критерию конкретности, являются:
- ”обработка информации (резюме) кандидата на трудоустройство“;
- ”обработка персональных данных в процессе трудовой деятельности“;
- ”обеспечение пропускного режима“;
- ”заключение, исполнение, изменение и расторжение определенного договора“;
- ”идентификация зарегистрированного Пользователя“ (на конкретном ресурсе);
- ”направление субъекту персональных данных уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанных с продукцией (работами, услугами)“;
- ”осуществление административных процедур“;
- ”рассмотрение обращений“;
- ”ведение бухгалтерского и налогового учета“;
- ”реализация действующих систем единовременных и накопительных скидок и бонусов на оказываемые услуги, акций и программ лояльности“ и т.п.
Данные формулировки могут уточняться с учетом специфики деятельности оператора (уполномоченного лица).
Применительно к каждой цели обработки персональных данных подлежит указанию правовое основание обработки персональных данных. Правовые основания обработки персональных данных указаны в пункте 3 статьи 4, статьях 6 и 8 Закона.
В случае если обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами, в качестве правового основания подлежат указанию абзац двадцатый статьи 6 либо абзац шестнадцатый пункта 2 статьи 8 Закона, а также конкретный законодательный акт (его структурный элемент), предусматривающий соответствующую обязанность (полномочие).
9. Категории субъектов персональных данных, чьи данные подвергаются обработке, а также перечень обрабатываемых персональных данных подлежат указанию применительно к каждой цели обработки персональных данных.
В качестве категорий субъектов персональных данных в Политике могут быть, в частности, указаны:
- работники, в том числе уволенные, а также их родственники;
- посетители;
- кандидаты на трудоустройство;
- покупатели (заказчики);
- пациенты;
- абитуриенты;
- студенты;
- граждане, подавшие (подающие) обращения;
- граждане, обратившиеся (обращающиеся) за осуществлением административной процедуры;
- пользователи интернет-сайта (мобильного приложения) оператора и иные конкретные категории субъектов персональных данных.
Перечень обрабатываемых персональных данных может отражаться в Политике путем их перечисления, отсылки к акту законодательства, перечисляющему персональные данные или устанавливающему соответствующую форму, а также посредством закрепления критериев, очерчивающих объем обрабатываемых данных, и т.п.
10. При определении порядка обработки персональных данных указываются перечень осуществляемых оператором (уполномоченным лицом) действий с персональными данными, источник получения персональных данных.
В случае если оператор поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), в Политике рекомендуется указывать:
- наименование и местонахождение уполномоченного лица (уполномоченных лиц) или категории уполномоченных лиц;
- основания обработки персональных данных (наличие договора, акта законодательства либо решения государственного органа);
- перечень персональных данных, обработка которых поручена уполномоченному лицу (уполномоченным лицам);
- перечень действий с персональными данными, осуществляемых уполномоченным лицом (уполномоченными лицами).
Кроме того, в Политике могут указываться принимаемые правовые, организационные и технические меры по обеспечению защиты персональных данных.
Отдельно указываются сроки хранения персональных данных (дата или период времени) либо критерии, используемые для определения таких сроков. При этом хранение персональных данных может осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
11. Права субъектов персональных данных закреплены в главе 3 Закона.
При перечислении прав субъектов персональных данных в Политике описывается конкретный механизм подачи соответствующих заявлений и порядок их рассмотрения. Указываются также данные лица (структурного подразделения) оператора, ответственного за осуществление внутреннего контроля за обработкой персональных данных, к которому можно обратиться за содействием в реализации прав субъекта персональных данных.
Согласно статье 14 Закона заявления подаются субъектом персональных данных в письменной форме или в виде электронного документа. Это предполагает выбор конкретного способа подачи заявления субъектом персональных данных и, соответственно, обязанность оператора обеспечить возможность подачи такого заявления любым из указанных способов.
Заявления о реализации прав, подаваемые посредством информационного ресурса (системы) без соблюдения требований статьи 14 Закона, могут рассматриваться оператором. При этом предоставление такой возможности для подачи заявлений не является обязательным для оператора.
12. При намерении осуществлять трансграничную передачу персональныхданных в Политике отражаются применительно к каждой цели передачи персональных данных:
- субъекты (категории субъектов) в иностранных государствах, которым персональные данные могут быть переданы, с указанием возможного способа связи с ними;
- страны, на территории которых находятся такие субъекты (категории субъектов);
- основания для трансграничной передачи.
В качестве оснований для трансграничной передачи персональных данных могут быть указаны:
- основания, предусмотренные пунктом 3 статьи 4, статьей 6, пунктом 2 статьи 8 Закона (в случае передачи персональных данных в иностранные государства, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных);
- основания, предусмотренные пунктом 1 статьи 9 Закона (в случае передачи персональных данных в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных).
Кроме того, в Политике указывается, отнесены ли страны, куда планируется осуществлять трансграничную передачу персональных данных, к государствам, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных.
Перечень стран, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определен приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14.
Материал опубликован на официальном сайте Национального центра защиты персональных данных Республики Беларусь https://cpd.by/
Дата доступа: 05.01.2023.