Требования к бизнесу по вопросам защиты персональных данных​: кейсы и советы — статья для MyFin

Публикации, 01 марта 2024
pexels thisisengineering 3861969 (1)

На ведущем финансовом портале Беларуси MYFIN вышла статья старшего юриста, эксперта по вопросам защиты данных Матвея Городника: «Требования к бизнесу по вопросам защиты персональных данных​: кейсы и советы». Материал представляет собой краткое резюме требований в области защиты данных для бизнеса с учетом сложившейся практики с момента действия закона. Ниже публикуем текст статьи:

Уже более двух лет действует Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон). Указанный акт совместно с рядом иных правовых документов сформировал в Беларуси систему защиты персональных данных. С этого времени белорусский бизнес обязан соблюдать комплекс мер (организационные, правовые и технические) по защите данных своих клиентов, сотрудников и некоторых других физических лиц. Немаловажной стала также регламентация прав и свобод граждан при обработке их персональных данных. О том, как работать с персональными данными, оставаясь в правовом поле, рассказал старший юрист Art Legal, эксперт по вопросам защиты данных Матвей Городник.

Центральную роль в системе защиты персональных данных стал занимать специальный уполномоченный орган по защите прав субъектов персональных данных – Национальный центр защиты персональных данных Республики Беларусь (далее – НЦЗПД). НЦЗПД рассматривает жалобы физических лиц по вопросам обработки персональных данных, дает разъяснения по вопросам применения законодательства о персональных данных, в т.ч. издает важные с точки зрения правоприменительной практики рекомендации, например, рекомендации по обработке персональных данных в связи с трудовой (служебной) деятельностью.

Кроме того, важная сфера деятельности НЦЗПД заключается и в контроле за обработкой персональных данных бизнесом. Контроль происходит в форме плановых и внеплановых проверок, по итогам которых возможно не только взыскание административного штрафа, но и приостановление (прекращение) обработки персональных данных в информационном ресурсе (системе).

Возможны и камеральные проверки НЦЗПД по месту своего нахождения, по результатам которых могут быть направлены рекомендации об устранении выявленных нарушений законодательства.

В этой статье рассмотрим основные требования к бизнесу по вопросу защиты персональных данных, типичные нарушения в данной области с учетом сложившейся практики, а также наши рекомендации по минимизации связанных с этим рисков.

Основные требования к бизнесу по обеспечению защиты персональных данных

Меры по обеспечению защиты персональных данных, которые обязаны принимать операторы и уполномоченные лица, зафиксированы в ст. 17 Закона.

Применительно к настоящей статье оператор – это бизнес, который организует и (или) осуществляет обработку персональных данных, а уполномоченное лицо – бизнес, который осуществляет обработку персональных данных от имени оператора или в его интересах.

Например, компания ведет базу данных клиентов и делает по ней рекламные рассылки. В этом случае компания и организует, и сама осуществляет обработку персональных данных. При этом если данные хранятся на арендованном у хостинг-провайдера сервере, хостинг-провайдер является по отношению к компании уполномоченным лицом, т.к. осуществляет обработку указанных данных в виде хранения.

Основное правило заключается в том, что бизнес сам определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных. Тем не менее Закон закрепляет обязательный «минимум» таких мер:

  • назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (не касается ИП);
  • издание документов, определяющих политику в отношении обработки персональных данных (при этом необходимо обеспечить неограниченный доступ, в том числе с использованием сети Интернет, к таким документам до начала обработки);
  • ознакомление работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
  • установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
  • осуществление технической и криптографической защиты персональных данных в порядке, установленном ОАЦ при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

Кроме Закона, обязательные меры закрепляет также Указ Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных». К примеру, в нем закреплена необходимость установления и поддержания в актуальном состоянии (не касается ИП):

  • перечня информационных ресурсов (систем), содержащих персональные данные;
  • категорий персональных данных, подлежащих включению в такие ресурсы (системы);
  • перечня уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами;
  • срока хранения обрабатываемых персональных данных.

Также в данном указе установлена обязанность некоторых категорий операторов, например, обрабатывающих персональные данные более 100 тысяч физических лиц, вносить в государственный информационный ресурс «Реестр операторов персональных данных» сведения об информационных ресурсах (системах), содержащих персональные данные, а также обеспечивать их актуализацию.

Важно отметить, что обработка персональных данных по общему правилу осуществляется с согласия субъекта персональных данных (ч. 1 п. 3 ст. 4 Закона). Подробнее об общих требованиях к обработке персональных данных, согласии субъекта персональных данных и обработке без такого согласия – см. стст. 4–6 Закона.

Наконец, ряд обязанностей бизнеса в процессе обработки персональных данных закреплен в ст. 16 Закона. К примеру, необходимо прекращать обработку персональных данных (в т.ч. обеспечить их удаление или блокирование) при отсутствии оснований для обработки персональных данных, по общему правилу вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, и некоторые другие обязанности.

Распространенные нарушения в области защиты персональных данных

Сразу следует отметить, что в случае выявления по результатам плановой или внеплановой проверки нарушений законодательства о персональных данных НЦЗПД выносит письменное требование (предписание) об устранении выявленных нарушений и (или) приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе) с указанием конкретных действий, которые должны быть приостановлены (прекращены), и устанавливает срок такого устранения и (или) приостановления (прекращения), не превышающий шести месяцев.

Таким образом, серьезным негативным последствием нарушений выступает не только штраф, но и приостановление (прекращение) обработки данных в соответствующих ресурсах бизнеса (например, интернет-сайт в целом или отдельные его части – личный кабинет, форма заявки и др.).

Несоблюдение мер обеспечения защиты персональных данных

В случае, если бизнес не исполняет (либо исполняет формально) рассмотренные выше требования по обеспечению защиты персональных данных согласно ст. 17 Закона, существует риск привлечения к административной ответственности по ч. 4 ст. 23.7 КоАП (штраф от 2 до 10 базовых величин, на ИП – от 10 до 25 базовых величин, а на юридическое лицо – от 20 до 50 базовых величин).

В качестве примера можно привести не назначение ответственного должностного лица (или формальное возложение соответствующих обязанностей на работника, который не имеет возможности выполнять контрольные функции), не издание политики конфиденциальности и иных необходимых документов (или их формальное копирование из сторонних ресурсов без учета специфики бизнеса) и т.д.

Обработка персональных данных без правовых оснований

Согласно п. 3 ст. 4 Закона обработка персональных данных осуществляется с согласия субъекта персональных данных, если не существует иных правовых оснований для такой обработки.

На практике такое случается, когда, например, компания делает рекламную рассылку по адресам электронной почты или номерам мобильных телефонов, не получив предварительно на это согласие субъекта персональных данных.

В данной ситуации возможно привлечение к административной ответственности по ч. 1 ст. 23.7 КоАП (штраф до 50 базовых величин).

Избыточная обработка персональных данных

Иногда компания запрашивает персональные данные клиентов, не требующиеся для заявленных целей. К примеру, это сбор и хранение копий документов, удостоверяющих личность, для заполнения реквизитов договора.

По общему правилу законодательство не предусматривает работу с копиями паспортов для целей заключения договора. НЦЗПД рассматривает такую обработку персональных данных как избыточную, т.к. ряд сведений в копиях документов, удостоверяющих личность (фото, сведения о браке и др.), не требуется для заключения договора.

В такой ситуации существует риск предъявления требования о прекращении незаконной обработки персональных данных, например, в форме удаления копий данных документов.

Несообщение либо несвоевременное уведомление о нарушениях систем защиты персональных данных

Согласно абз. 8 п. 1 ст. 6 Закона, по общему правилу оператор обязан уведомлять НЦЗПД о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях.

Порядок направления уведомления о нарушении системы защиты персональных данных определен приказом НЦЗПД от 15 ноября 2021 г. № 13. Уведомление необходимо направлять при наличии хотя бы одного из следующих условий:

  • незаконное распространение, предоставление персональных данных;
  • изменение, блокирование либо удаление персональных данных без возможности восстановления доступа к ним.

На практике возникали ситуации, когда после взлома базы данных ответственное в организации лицо несвоевременно сообщало об этом в НЦЗПД, что повлекло за собой привлечение к ответственности по ст. 24.11 КоАП (штраф до 20 базовых величин).

Обратим внимание, что в понятие «нарушение системы защиты персональных данных» входит не только несанкционированный доступ к материалам, содержащим персональные данные, но и такие действия, как, например, потеря носителя информации, содержащего персональные данные, отправка документов, содержащих персональные данные, неверному получателю и др.

Неисполнение требования (предписания) НЦЗПД

Как было отмечено выше, НЦЗПД уполномочен в ходе своей деятельности выносить требования (предписания) об устранении выявленных в ходе проверки нарушений и (или) о приостановлении (прекращении) обработки персональных данных.

При неисполнении, ненадлежащем или несвоевременном исполнении указанных требований (предписаний) должностное лицо организации может быть привлечено к ответственности по ст. 24.1 КоАП (штраф до 20 базовых величин).

Общие рекомендации по минимизации рисков в сфере защиты персональных данных

  1. Определить состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, учитывая при этом обязательный законодательный «минимум». Для этого важно организовать выявление и фиксацию бизнес-процессов, в которых используются персональные данные, а также их анализ на предмет соответствия требованиям законодательства о персональных данных.
  2. Исполнять иные обязанности по защите персональных данных, к примеру, ведение реестра обработки персональных данных, перечня уполномоченных лиц, включение при необходимости в реестр операторов персональных данных и др.
  3. Убедиться в наличии правового основания для обработки персональных данных своих клиентов, сотрудников и других лиц. При отсутствии специальных оснований – убедиться в наличии оформленного в установленном порядке согласия субъекта персональных данных. Если никаких оснований для обработки нет – ее необходимо прекращать (в т.ч. обеспечить удаление или блокирование персональных данных).
  4. Для отслеживания актуальных новостей и практики в сфере защиты персональных данных (в т.ч. издания новых рекомендаций, приказов, планов проверок и др.) – осуществлять мониторинг официальных источников информации НЦЗПД.

 

Источник: Myfin.by

При возникновении дополнительных вопросов или необходимости консультации в области IP и защита данных — напишите (info@artlegal.by) или позвоните нам.