15 ноября 2021 года вступает в силу Закон «О защите персональных данных». Данный закон затронет подавляющее большинство компаний и ИП, работающих в Беларуси, так как почти все компании имеют дело с обработкой персональных данных (далее – данные).
В новом законе реализуются многие подходы, уже действующие в других странах.
Принятие нового закона требует от бизнеса определенных действий для соответствия. В настоящей статье будет освещен такой алгоритм действий компаний и ИП.
Следует отметить, что закон затрагивает только компании, работающие в Беларуси.
Определить, какие данные собираются и как
Определение вида данных, которые поступают в организацию, важно для дальнейшего регулирования их обработки.
Собираться могут: личные данные, телефон, email, аккаунты в соцсетях, данные банковской карты, ip-адрес и др.
Важно помнить, что данные могут собираться автоматически (ip-адрес, файлы cookies) или предоставляться самими пользователями (заполнение различных форм, например). Перечень способов сбора данных поможет лучше организовать контроль за их распространением.
Определить, для чего используются данные в компании
Деятельность компании следует проанализировать с точки зрения использования любых данных. Качественный анализ поможет не допустить нарушений.
Следует выяснить, где хранятся данные, для чего используются. Например, ФИО и email покупателя используются в CRM, для направления договора и счетов, рекламных материалов и т.д.
Рекомендуем также обратить внимание на использование данных через электронную почту на иностранных серверах (это почти все почтовые сервисы), в аккаунтах в соцсетях, переписке в мессенджерах.
Результат в дальнейшем следует перенести в локальный правовой акт по обработке персональных данных.
Определить круг лиц, кому нужен доступ к данным
Это те работники, которым доступ к данным нужен для выполнения своих обязанностей: менеджеры по продажам, бухгалтеры, аналитики и проч. В дальнейшем именно их работу следует организовать для соблюдения нового закона.
Для указанных лиц следует установить порядок доступа к данным, например, аналитики имеют доступ только к ограниченному перечню данных и т.д.
Также этих специалистов нужно будет направить на обучение по вопросам защиты данных.
Определить отдел или лицо, которое будет контролировать обработку данных
Ответственный будет следить за исполнением законодательства и локальных актов по персональным данным, вносить предложения для совершенствования обработки данных в компании.
Ответственные лица также должны будут не реже раза в пять лет проходить обучение по вопросам защиты данных.
Если ответственным будет назначен конкретный работник, то следует внести изменения в его должностную инструкцию.
Утвердить локальные акты по защите данных
Закон требует от операторов утвердить политику в области обработки персональных данных. Также рекомендуется принять локальный правовой акт, например, Положение об обработке персональных данных. В данном документе следует отразить, какие данные собираются, где хранятся, кто имеет к ним доступ, какие меры принимаются для защиты и т.д.
Политику в области обработки данных следует разместить публично (в сети интернет).
Ознакомить всех работников
Закон требует от нанимателя ознакомить работников с политикой в области обработки персональных данных, а также с законодательством в этой сфере. Также следует ознакомить работников с тем, что нарушения порядка обработки данных является основанием для увольнения (п. 10 ч. 1 ст. 47 Трудового кодекса).
Получить согласие на обработку данных
Обработка данных допускается или с согласия, или без него. Случаи обработки без согласия определены в законе. К ним относятся: прием на работу и осуществление трудовой деятельности, исполнение договора, предыдущее распространение данных (до получения заявления о прекращении обработки или их удалении) и иные случаи из ст. 6 Закона.
Согласие может быть в разных формах. Допускается получение согласия на сайте.
До получения согласия нужно представить следующую информацию:
- название компании
- цели сбора и работы с данными
- перечень данных, которые пользователь передает
- срок
- информация о третьих лицах, которые работают с данными
- перечень действий с полученной информацией
- общее описание работы с данными;
- другая информация.
Также надо простым и ясным языком разъяснить пользователю его права.
Защищать персональные данные
Компании должны в установленном порядке защищать данные. При этом виды и уровень защиты зависят о того, как собираются и хранятся данные. Конкретные требования изложены в приказе ОАЦ.
Подготовиться к взаимодействию с пользователем по вопросам данных
С 15 ноября 2021 года пользователи и клиенты получат право отзывать свое согласие на обработку данных, получать информацию о работе с данными, требовать их изменения, требовать информацию о передаче данных. Также есть право отказаться от обработки данных.
Рекомендуем заранее прописать алгоритм действий в этих случаях.
Отслеживать изменения в деятельности компании
Новый направления и продукты в бизнесе могут потребовать использование персональных данных новыми способами. При этом следует заранее получить обновленное согласие пользователя на такую обработку, т.к. ранее согласие выдавалось только на определенные цели.
Полагаем что ответственным следует регулярно анализировать деятельности компании с точки зрения своих новых обязанностей.
Направить списки до 15 декабря
Согласно Указу № 422 от 28 октября 2021 г. до 15 декабря нужно представить в Национальный центр защиты персональных данных информацию о количестве ответственных лиц и специалистов, которые работают с данными и которым необходимо пройти обучение в Центре. Категории лиц, которые будут проходить обучение в Центре определит ОАЦ. Остальные должны раз в пять лет проходить обучение в учреждениях образования, на курсах либо в организации.
В последующие годы такая информация должна предоставляться до 15 ноября.
Ответственность
За несоблюдение мер по защите персональных данных предусмотрена административная и уголовная ответственность. Также работник может быть уволен за нарушение порядка обработки персональных данных.
Мы оказываем помощь как по отдельным вопросам, в т.ч. анализ документов, консультирование, разработка договоров, оформление прав на объекты интеллектуальной собственности, установление режима коммерческой тайны, NDA, так и комплексное сопровождение.
Стоимость услуги в «ЮС ИнвестЪ» | |
Услуги для IT-сектора | От 200 BYN |
С полным объемом оказываемых услуг Вы можете ознакомиться по ссылке: https://usiminsk.by/yuridicheskie-uslugi-dlya-it/
Данная статья написана на основании нормативных правовых актов по состоянию на 10.11.2021.
Остались вопросы?
Оставьте свой номер и наш юрист свяжется с Вами в ближайшее время