Новый Закон о защите персональных данных: как подготовиться?

15 ноября 2021 года вступает в силу закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (Закон). Он пересматривает всю существующую систему обработки персональных данных в Беларуси.

Разберемся, как подготовиться к изменениям в сфере обработки персональных данных. В этом поможет Егор Кравченко, юрист корпоративной практики юридической фирмы Legaltax.

 

Почему это важно?

Напомним, что до принятия Закона о защите ПД все регулирование отношений по обработке ПД носило достаточно эпизодический характер - каких-либо системных требований в сфере обработки персональных данных не было.

С принятием Закона ситуация коренным образом меняется – нововведения затронут в том числе частный сектор, особенно e-commerce и IT.

Чуть ранее была введена административная и уголовная ответственность за нарушения в области использования персональных данных. Помимо ответственности, есть и репутационные риски при несоблюдении законодательных стандартов по обработке персональных данных – крупные контрагенты могут быть вынуждены просто отказаться от сотрудничества (как это было, например, на европейских рынках при введении GDPR).

 

Что меняется c принятием Закона о защите ПД?

Фактически, сфера действия Закона является максимально широкой и охватывает как автоматизированную, так и ручную обработку ПД при определенных условиях.

Закон закрепляет «широкий» (схожий с GDPR) подход к определению персональных данных – их перечень остается открытым и включает любую информацию, которая идентифицирует или может идентифицировать физическое лицо (например, не только ФИО, но и email, номер телефона, cookies, IP-адреса и иные идентификаторы). При этом обработкой ПД считаются фактически любые действия с ними, включая сбор, хранение и передачу.

Помимо прочего, законом закрепляются следующие моменты в отношении обработки персональных данных:

  • Права физических лиц-носителей персональных данных.
  • Принципы и основания для обработки.
  • Обязанности оператора обработки.
  • Требования к трансграничной передаче.
  • Требования к обработке специальных категорий таких данных (например, биометрические/генетические данные, информация о политических взглядах, расовой/национальной принадлежности).
  • Необходимость «документирования» отношений между оператором и уполномоченными лицами.
  • Создание надзорного органа, который будет курировать вопросы защиты персональных данных.

Рассказываем, как адаптировать текущие процессы обработки персональных данных в компании к новому регулированию.

 

 

Рекомендации по подготовке к Закону о защите персональных данных

Шаг 1. Провести анализ текущих процессов обработки.

Вам нужно понимать, каким образом в компании выстроены процессы обработки (какие данные собираются, для каких целей, где и сколько хранятся, кому передаются, кто имеет доступ к персональным данным и др.).

Шаг 2. Обеспечить соответствие процессов обработки базовым требованиям законодательства.

Речь идет о следующих стандартах:

  • Наличие правового основания обработки персональных данных (согласие, договор, иное основание по законодательству и др.). Обрабатывать данные без наличия основания запрещено.
  • Наличие четко заявленной цели для обработки.
  • Минимизация данных: вы должны собирать данные только в том объеме, который реально необходим в соответствии с заявленным ранее целям обработки, и не больше.
  • Соблюдение сроков обработки и хранения персональных данных.

Сам Закон не содержит конкретных сроков – они должны быть соразмерными целям обработки, а в отдельных случаях должны соответствовать прямо установленным законодательством (например, документы по личному составу подлежат хранению 75 лет).

  • Прозрачность процесса обработки.

Шаг 3. Обеспечить возможность надлежащего получения согласия лица-носителя персональных данных.

Получение такого согласия является основным (хотя и не единственным) правовым основанием для обработки. Закон о защите персональных данных упрощает формы получения согласия (в том числе в электронной форме).

Вместе с тем, до получения согласия вы должны обеспечить субъекту персональных данных:

  • предоставление определенной информации об обработке данных (сроки, цели, перечень совершаемых действий, перечень обрабатываемых данных).
  • разъяснение его прав, связанных с обработкой, механизма реализации этих прав, а также последствий дачи или отказа от дачи такого согласия.

Шаг 4. Внедрить меры по обеспечению защиты персональных данных.

Здесь нужно разработать систему мер (в соответствии со статьей 17 Закона о защите персональных данных).

Среди обязательных мер:

  • Назначить ответственное лицо по вопросам внутреннего контроля обработки персональных данных.
  • Разработать политику обработки.
  • Ознакомить работников с законодательством и политикой обработки, обучить их.
  • Внедрить систему тех/криптозащиты данных.

В дальнейшем политику обработки персональных данных (политику конфиденциальности) нужно будет разместить на вашем сайте. При этом конкретный состав и перечень мер будет зависеть от специфики вашей деятельности. И, соответственно, типов данных, которые вы обрабатываете, и быть достаточным для обеспечения защиты персональных данных.

В отношении обучения работников и применения тех/криптозащиты данных – ждем уточнений и разъяснений от гос. органов.

Шаг 5. Индивидуальные меры.

К примеру, если персональные данные хранятся или передаются за границу, то необходимо дополнительно обеспечить соблюдение требований трансграничной передачи (например, получение согласия, разъяснение рисков и др.).

Также в случае привлечения третьих лиц для обработки необходимо заключить договор между вашей компанией и третьим лицом, которое обрабатывает данные в ваших интересах и по вашему поручению. Например, такими третьими лицами могут быть сервисы аналитики и рекламы, провайдеры услуг, получающие доступ к персональным данным и др.

В договоре со сторонним обработчиком должны быть определены (ст. 17 Закона):

  • Цели обработки данных.
  • Действия, совершаемые с ними.
  • Обязательства о конфиденциальности.
  • Меры по защите данных.

Шаг 6. Обеспечивать соответствие процессов обработки в будущем.

После выполнения всех предварительных шагов, после вступления Закона необходимо будет и в дальнейшем соблюдать требования законодательства, в том числе:

  • Прекращать обработку персональных данных при отсутствии (утрате) оснований для обработки.
  • Обеспечивать защиту данных и соблюдение требований к их обработке.
  • Уведомлять надзорный орган о нарушениях системы защиты персональных данных (не позднее 3 рабочих дней).
  • Обеспечивать реализацию прав физических лиц.

 

Применение GDPR/PDPL и иностранного законодательства

К примеру, белорусские компании, которые ориентированы на рынок ЕС/ЕЭЗ (предложение товаров/услуг, мониторинг поведения пользователей в ЕС/ЕЭЗ) или работают с компаниями ЕС/ЕЭЗ (например, в качестве процессоров), должны учитывать, что к ним могут применяться нормы GDPR.

С 1 ноября 2021 года ступает в силу Китайский закон о защите персональных данных (Personal Information Protection Law) – по сути это «китайский GDPR», который будет иметь экстерриториальное действие, а значит компаниям, ориентированным на китайских рынок, надо быть готовыми работать в соответствии с его требованиями. В частности, PIPL может применяться и к белорусским компаниям, которые обрабатывают персональные данных физических лиц, находящихся в КНР, в целях предоставления товаров/услуг или анализа и оценки их действий.

 

Читайте новости первыми в нашем Telegram-канале!

Подписывайтесь на наш канал в Дзен!

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!