Актуальные вопросы защиты персональных данных

С 15.11.2021 г. действуют основные положения Закона Республики Беларусь от 07.05.2021 г. №99-З "О защите персональных данных" (далее - Закон о защите персональных данных), в котором под "персональными данными" понимается любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.   Можно привести следующий примерный перечень данных о физическом лице, которые относятся к персональным:   ·   идентификационный номер; ·   Ф.И.О.; ·   пол; ·   число, месяц, год рождения; ·   место рождения; ·   семейное положение; ·   цифровой фотопортрет; ·   данные о гражданстве (подданстве); ·   данные о регистрации по месту жительства и (или) месту пребывания; ·   данные о родителях, семейном положении, супруге, детях; ·   личная подпись; ·   данные об образовании; ·   данные об исполнении воинской обязанности; ·   номер банковского счета; ·   номер телефона, адрес электронной почты; ·   аккаунты в службах обмена сообщениями; ·   IP адрес; ·   информация из файлов «cookies»; ·   информация о браузере; ·   используемая операционная система; ·   время доступа на сайт, тип используемого устройства, логин и пароль; ·   заказы и заявки, оставленные на сайтах и т.п.   Организация, индивидуальный предприниматель либо физическое лицо, самостоятельно или совместно с иными лицами организующие и (или) осуществляющие обработку персональных данных является оператором персональных данных.   Ø    Хотелось бы обратить внимание на то, что в каждой организации имеется информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано, поэтому такая организация автоматически приобретает статус оператора персональных данных, что влечет за собой необходимость соблюдения требований Закона о защите персональных данных.   Следует также отметить, что при передаче части своих функций на аутсорсинг другой организации (ведение бухгалтерского учета, системное администрирование сети, транспортные услуги, IT-поддержка и т.п.) организация-исполнитель выступает уполномоченным лицом оператора, что также предполагает у него наличие обязанностей, установленных Законом о защите персональных данных.   Основные обязанности оператора заключаются в следующем:   1.разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных; 2.получать согласие субъекта персональных данных на обработку персональных данных, за исключением случаев, предусмотренных законом; 3.обеспечивать защиту персональных данных в процессе их обработки; 4.предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных законом; 5.вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными; 6.прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных законом; 7.осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных; 8.выполнять иные обязанности, предусмотренные законом.   Примерный перечень случаев обработки персональных данных в организации выглядит следующим образом (в каждой организации он индивидуален):   1) Заключение гражданско-правовых договоров (с физическими лицами и юридическими лицами в лице должностных лиц); 2) Взаимоотношения с участниками хозяйственного общества (ведение списка аффилированных лиц, созыв и проведение общих собраний участников и т.п.) 3) Рассмотрение резюме (анкет) соискателей на вакантные должности в целях  заключения трудового договора; 4) Оформление (прием) на работу; 5) Трудовые отношения (формирование, ведение  и хранение личных дел работников, ведение трудовых книжек, ведение учета фактически отработанного времени, командирование, выплата заработной платы и т.п.); 6) Выдача доверенностей; 7) Рассмотрение обращений граждан и юридических лиц; 8) Осуществление административных процедур; 9)  Применение системы видеонаблюдения в интересах обеспечения общественного порядка; 10) Ведение телефонного справочника, корпоративной сети, системы учета документооборота и т.п. 11) Ведение сайта организации либо аккаунтов в социальных сетях.

 

Основные действия оператора персональных данных (уполномоченных лиц оператора):   1. Назначить структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных (ПД), определить его должностные обязанности. 2. Выявить и зафиксировать бизнес-процессы организации, в которых используются ПД, и проанализировать их на предмет соответствия требованиям законодательства о ПД. 3. Издать документы, определяющие политику в отношении обработки ПД, и обеспечить неограниченный доступ к данной политике, в т.ч. с использованием глобальной компьютерной сети Интернет. 4. Разработать необходимые локальные правовые акты, например: – перечень лиц, имеющих доступ к ПД; – перечень собственных информационных ресурсов, содержащих ПД; – перечень уполномоченных лиц, если обработка ПД осуществляется такими лицами; – порядок удаления ПД и др. 5. Внести изменения в должностные обязанности лиц, обрабатывающих ПД. 6. Ознакомить работников и иных лиц, непосредственно осуществляющих обработку ПД, с положениями законодательства о ПД. 7. Организовать обучение лиц, непосредственно осуществляющих обработку ПД, и лиц, ответственных за осуществление внутреннего контроля за обработкой ПД. 8. Реализовать организационные и технические меры по обеспечению реализации прав субъектов ПД. 9. Осуществить техническую и криптографическую защиту ПД в соответствии с классификацией информационных ресурсов (систем), содержащих ПД.   Ø    За нарушение законодательства о защите персональных данных установлена административная, уголовная, дисциплинарная и гражданско-правовая ответственность.


Блог Бучик Ольга Владимировна