1. Соберите информацию обо всех персональных данных, которые обрабатывает ваша компания
Персональные данные обрабатываются повсюду, и чтобы правильно определить основание для их обработки, а также соблюсти принципы их обработки, изложенные в ст. 4 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон), необходимо точно знать, какие данные вы обрабатываете и как.
Справочно.
Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных (ст. 1 Закона).
Систематизировать информацию вам поможет реестр обработок персональных данных — таблица, в которой перечислены все обработки. Для каждой обработки указываются (как минимум) ее цель, перечень обрабатываемых данных, перечень субъектов данных, срок обработки, правовое основание.
Справочно.
Одной цели соответствует одна обработка, и наоборот.
Хотя Закон не обязывает компании вести такой реестр, эта таблица позволит вам быстро ориентироваться во всех процессах, связанных с персональными данными.
2. Определите правовое основание для каждой обработки
Хотя Закон в качестве основного правового основания для обработки персональных данных определяет согласие субъекта, не стоит использовать согласие «на всякий случай» для всех обработок. Коварность согласия в том, что оно должно быть добровольным, а значит субъект данных имеет право отозвать его в любое время без проволочек. Представьте, что ваша компания берет согласие на обработку данных работника для ведения его личного дела и выплаты ему зарплаты (номер банковского счета — это тоже персональные данные). Если работник отзывает согласие, обрабатывать его данные для ведения личного дела и выплаты зарплаты компания уже не сможет. Что же делать? Не вести личное дело? Не перечислять зарплату на банковский счет, а спешно устанавливать кассу? Требовать у работника согласие (которое должно быть сугубо добровольным)? Патовая ситуация.
Рекомендация.
Следует быть особенно внимательным, обрабатывая данные работников на основании согласия. Согласие должно быть свободным, то есть добровольным. Однако реальность отношений между нанимателем и работником такова, что работник является подчиненным лицом, а наниматель имеет властные полномочия, в том числе те, о которых не написано в ТК, да и говорить не принято (например, вынудить работника уволиться по собственному желанию или по соглашению сторон). Соответственно, согласие, данное под давлением, будет являться недействительным.
Чтобы не попасть в нее, правильно выбирайте правовое основание (ст. 6 Закона включает множество вариантов).
3. Составьте форму согласия и информационное сообщение
До получения согласия субъекта персональных данных оператор предоставляет ему сведения об обработках, осуществляемых на основе согласия. Обязательный перечень сведений предусмотрен в п. 5 ст. 5 Закона. Если вы испрашиваете согласие на несколько обработок, рекомендуем предоставлять эти сведения отдельно для каждой обработки (то есть указывать перечень обрабатываемых данных, срок обработки, перечень действий с персональными данными отдельно для каждой цели). При этом вся информация может быть собрана в одном документе и разделена на главы (разделы) по целям обработки.
Рекомендация.
Обработки могут меняться со временем. Например, в определенный момент компания поймет, что для достижения соответствующей цели ей нужно больше данных, и внесет изменения в реестр обработок, а также в информационное сообщение. Если предыдущая форма информационного сообщения будет безвозвратно удалена, сложно будет сказать, согласие на что именно давал субъект. Изменяя обработки, основанные на согласии, сохраняйте предыдущие версии информационного сообщения с указанием периода их действия.
Почему важно разделять сведения, относящиеся к разным обработкам? Согласно пп. 1 и 5 ст. 4 Закона обрабатываемые данные должны быть соразмерны целям обработки, а также не должны быть излишними. Как иначе компания покажет, что она соблюдает эти принципы, если не предоставит информацию отдельно по каждой цели? Кроме того, раздельное представление информации позволит соблюсти принцип прозрачности обработки (п. 6 ст. 4 Закона).
4. Назначьте ответственное лицо (департамент)
В соответствии с абз. 3 ч. 1 п. 3 ст. 17 Закона организация обязана назначить структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных. Наверняка у многих организаций возникнет соблазн назначить таким ответственным лицом именно юриста. Однако важно помнить, что юрист отлично разберется в Законе, но может не знать, какие именно данные обрабатывает ваш отдел кадров, маркетинговый отдел и т.д. Например, сайт вашей организации использует трекеры Google Аналитики, тем самым собирая персональные данные с посетителей сайта. Будет ли ваш юрист знать о таких нюансах? Другой пример — рассылка клиентам подарков на праздники (милые сувениры помогают укрепить лояльность бренду). Это самостоятельная обработка персональных данных, которую также должен учесть юрист. А он точно в курсе подобных мероприятий?
Вы можете создать отдельное подразделение или штатную единицу специалиста по защите персональных данных, а можете все-таки возложить эти обязанности на юриста. Однако в обоих случаях стоит также возложить на руководителей иных структурных подразделений обязанность заблаговременно сообщать ответственному лицу или подразделению обо всех изменениях в обработке персональных данных (о появлении новых обработок, прекращении или изменении старых).
5. Определите правовые, организационные и технические меры защиты персональных данных
Эта обязанность оператора предусмотрена ст. 17 Закона. Важно помнить, что меры защиты персональных данных — это не только и не столько использование шифрования и паролей. К таким мерам можно отнести и контроль доступа в различные помещения организации, и установление правил обращения работников с компьютерной техникой. Например, при работе из дома работник обязан блокировать устройства всякий раз, когда он покидает рабочее место — ведь члены семьи могут получить незаконный доступ к персональным данным. Кроме того, следует разработать правила сообщения ответственному лицу о нарушениях систем защиты данных, поскольку компания должна вовремя уведомить о них уполномоченный орган (об этом далее). К таким нарушениям относятся, например, взлом базы данных клиентов компании или даже утеря работником служебного ноутбука (мало ли кто получит доступ к данным, которые там хранятся).
Рекомендация.
После того, как вы определите правовые, организационные и технические меры защиты персональных данных, ознакомьте с ними работников. От того, насколько правильно они будут обращаться с персональными данными, зависит не только репутация вашей компании, но и вероятность быть привлеченным к ответственности.
6. Заключите договоры с уполномоченными лицами
Вероятно, многие персональные данные вы обрабатываете сами (например, данные ваших работников и клиентов). Но часто к обработке персональных данных привлекается еще кто-то, кто делает это за вас и по вашим указаниям. С позиции Закона этот «кто-то» — уполномоченное лицо, которое обрабатывает данные по вашему поручению на основании договора, акта законодательства либо решения государственного органа. Если уполномоченное лицо обрабатывает данные по вашему поручению на основе именно договора, он должен включать условия из п. 1 ст. 7 Закона.
Нужно отметить, что эти условия могут быть предусмотрены и в основном договоре между вами и контрагентом (например, договором на оказание услуг по доставке товаров потребителям), в том числе в виде приложения.
7. Определите, передаете ли вы данные в другие страны
Трансграничная передача, то есть передача данных на территорию другого государства, может иметь место в самых разных случаях. Вы нанимаете иностранную компанию для оказания услуг, выполнения работ? Значит, персональные данные ваших сотрудников неизбежно будут переданы за границу. Используете иностранный сервис email-рассылки для клиентов? Теперь за границу «отправились» уже данные клиентов. Даже сохранение файлов с персональными данными в хранилищах типа Google Диск — это передача данных за границу (именно там находится компания Google).
Согласно п. 1 ст. 9 Закона трансграничная передача данных в страны, не обеспечивающие адекватный уровень защиты данных, запрещена (за некоторыми исключениями). Перечень стран с надлежащим уровнем защиты определяет уполномоченный орган (п. 2 ст. 9 Закона).
Рекомендация.
Одним из исключений, позволяющих трансграничную передачу в страны с ненадлежащим уровнем защиты данных, является согласие субъекта данных. Важно понимать: это отдельное согласие именно на передачу данных. То есть если вы обрабатываете данные не на основании согласия, а на другом основании, то согласие на трансграничную передачу вам брать все равно придется. До его получения вы должны предоставить субъекту информацию о рисках, возникающих в результате отсутствия в соответствующей стране надлежащего уровня защиты данных (информацию из п. 5 ст. 5 Закона сообщать не нужно).
По состоянию на 14 сентября 2021 г. «уполномоченный орган» еще не создан. Вероятно, ко вступлению Закона в силу (15 ноября) перечень стран не появится. В связи с этим организации необходимо либо опираться на соответствующее исключение при трансграничной передаче, либо отказаться от такой передачи. — Прим. ред.
8. Составьте план технических работ по реализации прав субъектов данных
Это не обязательная, но очень нужная мера, которая позволит вам во многом автоматизировать работу с запросами субъектов данных. Субъекты могут обратиться к вам с запросом на удаление, предоставление, изменение данных, на отзыв согласия, на получение информации о передаче данных третьим лицам. Согласно п. 1 ст. 14 Закона соответствующее заявление подается в письменном виде или в виде электронного документа, а ответ вы должны дать в той же форме (п. 3 ст. 14 Закона). Если ваша компания — небольшой стартап, то справиться можно и «руками». Но что если вы — крупная сеть продовольственных магазинов с программой лояльности, охватывающей десятки тысяч субъектов? Если со вступлением в силу Закона они решат реализовать свои права, на вашу компанию может обрушиться лавина обращений, при этом для ответа на каждое из них Закон дает лишь 15 календарных дней. Соответственно, при обработке данных десятков тысяч субъектов создать автоматизированную систему обработки запросов (например, с возможностью их подачи через сайт компании) — это хороший способ оптимизировать расходы на рутинную работу.
9 (бонус). Следите за публикациями уполномоченного органа
Эта рекомендация скорее актуальна по отношению к периоду после вступления Закона в силу, но о ней тоже стоит упомянуть.
В Беларуси ранее не было детального регулирования обработки персональных данных, то есть единообразная практика по многим вопросам не сложилась. Вполне естественно, что сразу после вступления Закона в силу исполнение его норм разными компаниями может сильно отличаться, и даже среди работников одной организации могут существовать разные взгляды на то, как правильно обрабатывать персональные данные. Безусловно, уполномоченный орган (который должен быть создан к моменту вступления Закона в силу. — Прим. ред.) станет «законодателем мод» в этой области: отслеживайте его решения, изучайте рекомендации и обзоры практики, а также не стесняйтесь обращаться с вопросами.
Чек-лист «Что нужно сделать в сфере персональных данных до 15 ноября»
❒ Соберите информацию обо всех персональных данных, которые обрабатывает ваша компания.
❒ Определите правовое основание для каждой обработки.
❒ Составьте форму согласия и информационное сообщение.
❒ Назначьте ответственное лицо (департамент).
❒ Определите правовые, организационные и технические меры защиты персональных данных.
❒ Заключите договоры с уполномоченными лицами.
❒ Определите, передаете ли вы данные в другие страны.
❒ Составьте план технических работ по реализации прав субъектов данных.
❒ Следите за публикациями уполномоченного органа (после его создания).
