Каждый субъект хозяйствования в Беларуси, будь то крупная компания или индивидуальный предприниматель, так или иначе сталкивается с обработкой персональных данных. Однако далеко не каждый уделяет этому вопросу должное внимание, считая его второстепенным. На практике же несоблюдение требований законодательства в этой сфере может привести к серьезным финансовым и репутационным последствиям.
Что такое персональные данные и кто такой оператор?
Персональные данные – это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Персональные данные не ограничиваются ФИО, паспортными и контактными данными лица – перечень таких сведений не является исчерпывающим и требует внимания в каждом конкретном случае.
Ведя хозяйственную деятельность, юридическое лицо или ИП практически всегда осуществляет обработку персональных данных, то есть является оператором персональных данных. Это происходит при найме сотрудников, заключении договоров с контрагентами-физлицами, обслуживании клиентов, ведении рассылок и во многих других ситуациях.
Требования законодательства и ответственность.
Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» требует от оператора соблюдения ряда правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного доступа и иных неправомерных действий в отношении персональных данных. Так, согласно статье 17 указанного Закона оператор обязан, в том числе, издать ряд локальных правовых актов в части обработки персональных данных.
За нарушение требований обработки персональных данных бизнес рискует привлечением как к административной ответственности согласно статье 23.4 Кодекса Республики Беларусь об административных правонарушениях в виде штрафа в размере до 200 базовых величин,так и к уголовной ответственности вплоть до лишения свободы на срок до 1 года.
Как привести деятельность в соответствие с законом?
Для приведения деятельности оператора в соответствие с требованиями законодательства требуется не просто формальный подход, а разработка и внедрение целого комплекса внутренних документов и организационных мер. Алгоритм действий, определенный экспертами НЦЗПД, включает следующие ключевые шаги, в рамках которых адвокат может оказать юридическую помощь:
1. Назначение ответственного лица и разработка Положения о внутреннем контроле.
Требуется назначить структурное подразделение или сотрудника, ответственного за контроль за обработкой персональных данных, и утвердить Положение об организации этого контроля. Также обязательно закрепить обязанность по соблюдению законодательства о персональных данных в должностных инструкциях всех сотрудников, работающих с такой информацией.
Неверное определение круга обязанностей и функций ответственного лица может свести на нет всю систему защиты. Адвокат поможет корректно закрепить эти обязанности в должностных инструкциях и локальных актах, чтобы избежать формального подхода, который не спасет от ответственности при проверке.
2. Разработка основного пакета документов, определяющих политику оператора.
- Политика в отношении обработки и защиты персональных данных – это основной, фундаментальный документ оператора.
- Политика применения средств видеонаблюдения – если на Вашей территории ведется видеонаблюдение, этот локальный акт обязателен.
Эти документы должны быть написаны простым и доступным языком, но при этом абсолютно точно соотноситься с Вашими целями и правовыми основаниями обработки. Ошибка в формулировках может сделать документ не соответствующим законодательству.
3. Проведение аудита и разработка реестра процессов обработки персональных данных.
Необходим реальный и тщательный анализ Ваших бизнес-процессов (прием на работу, работа с клиентами, ведение договоров и т.д.) и оформление их в виде систематизированного реестра. Этот реестр должен включать цели обработки, категории данных, правовые основания и сроки хранения, и поможет выявить неправомерную либо избыточную обработку данных.
4. Разработка дополнительных документов.
Помимо основных политик, требуется наличие целого ряда других документов, в том числе локальных актов:
- Порядок доступа работников к персональным данным. Регламентирует, кто и к каким данным имеет доступ.
- Перечень информационных ресурсов (систем), содержащих персональные данные. В него входят не только базы данных, но и корпоративная почта, системы бухучета, сайт, системы контроля доступа и т.д.
- Перечень уполномоченных лиц, обрабатывающих данные по Вашему поручению, договоры или соглашения с ними.
- Формы согласий субъектов на обработку персональных данных. Для разных целей обработки формы должны быть разными.
- Порядок удаления и уничтожения персональных данных с утвержденной формой акта.
Каждый из этих документов требует юридической точности и взаимосвязи со всей «экосистемой» обработки персональных данных внутри организации.
Заключение
Приведение деятельности в соответствие с законодательством о персональных данных – это сложный, многоэтапный процесс, требующий глубоких юридических знаний и понимания бизнес-процессов. Попытка справиться с помощью шаблонов документов в открытом доступе чревата ошибками, которые могут обернуться крупными штрафами.
Адвокат окажет полный комплект юридической помощи: от анализа Вашей деятельности до разработки всего пакета «под ключ». Это не только сэкономит Ваше время, но и даст вам уверенность в том, что Ваш бизнес надежно защищен от претензий контролирующих органов и судебных исков.
Не ждите, пока проблему обнаружат за Вас – обеспечьте правовую безопасность Вашего бизнеса уже сегодня. Обращайтесь за консультацией к адвокату Жабровской Наталье Анатольевне.