Защита персональных данных

Персональные данные – любые сведения о человеке, позволяющие его идентифицировать. Компании и индивидуальные предприниматели (и даже граждане без статуса ИП), которые работают с персональными данными клиентов и других лиц, должны обеспечивать установленные меры защиты персональных данных.

В Беларуси ключевым документом в данной сфере является Закон “О защите персональных данных”, который действует с ноября 2021 года. Он устанавливает порядок хранения, использования, удаления данных. Правила защиты персональных данных касаются абсолютно всех сфер деятельности: e-commerce, ритейл, услуги, медицина, производство и проч.

Ключевые пункты при разработке документов:

1. выделить все бизнес-процессы, которые касаются персданных
2. четко знать движение ПД внутри компании
3. отследить передаваемые данные и цели передачи
4. не обрабатывать данных больше, чем нужно
5. установить объем доступа к персональным данным отделов и специалистов
6. знать информацию о применяемом ПО (разработчик, расположение серверов и проч.)
7. своевременно вносить изменения в документы при изменении бизнес-процессов

Как часто нужно обновлять документы по персданным

Законодательство не устанавливает периодичности изменения документов. Однако ответственный должен периодически проводить мониторинг внутри компании и вносить предложения по изменениям в документы. Также следует дополнить документы при открытии нового направления бизнеса, переходе на другие программные продукты, смене подрядчиков по обслуживаю сайта, изменению структуры организации и проч.

Обязательна ли политика в области обработки cookie для каждого сайта?

Да, политика в области обработки cookie должна размещаться на каждом сайте организации, потому что на сайтах могут быть подключены разные cookie-файлы.

Наиболее частые нарушения бизнеса в сфере защиты ПД:

1. отсутствуют меры по защите ПД (нет ключевых документов, свободный доступ к данным извне)
2. передача информации в небезопасные юрисдикции в нарушение Закона (использование сервисов Google, Telegram, Viber)
3. сбор всей возможной информации о гражданине
4. отсутствие оснований обработки

Нужно дополнительное согласие на обработку при заключении договора?

В этом нет необходимости (абз. 15 ст. 6 Закона). Однако важно помнить, что такое исключение распространяется только на сторону договора (гражданина), но не на других лиц (работники, партнеры и проч.).

Что делать при утечке персональных данных?

1. Установить, была ли нарушена система защиты (несанкционированное копирование данных сотрудником, внешнее воздействие и проч.)
2. Следует оценить последствия: попали ли данные к другим лицами, произошло ли изменение, блокировка или удаление данных
3. Если по первым двум пунктам ответы утвердительные – следует направить уведомление в НЦЗПД. Срок направления – незамедлительно, но не позднее 3 рабочих дней (приказ НЦЗПД от 15 ноября 2021 г. № 13)

Наиболее частный вопрос на практике, можно ли передать функции ответственного за внутренний контроль на аутсорс

К сожалению, нет. Закон предписывает назначить ответственным либо подразделение компании, либо конкретного специалиста компании.

Чем мы можем помочь:

1. подробно изучим движение персональных данных в компании
2. покажем ключевые риски компании в сфере работы с персданными в Беларуси
3. предоставим рекомендации по изменению внутренних процессов при работе с персданными
4. разработаем полный пакет документов индивидуально для Вашего бизнеса и с учетом актуальных рекомендаций НЦЗПД
5. проведем звонок или встречу с работниками компании для разъяснения новых правил
6. поддерживаем компанию на протяжении 1 года после разработки документов при общении с НЦЗПД