Protection of personal data in the company. Local documents

№ 1, 2024
Author:

101_05_02.jpgПолина Сачаваюрист, руководитель практики «Налоговое право» GRATA International, Belarus


Работа с персональными данными в компании осуществляется ежедневно. Тысячи единиц данных обрабатываются в процессе текущей деятельности.

Трудно поверить?

Видеонаблюдение в офисе, получение данных физических лиц для организации бонусных программ, выпуск карт лояльности, сбор данных о посещении корпоративного сайта для маркетологов, передача данных работников бухгалтерским фирмам на аутсорсе – все это обработка персональных данных.

Уже полтора года белорусский бизнес действует в рамках Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон).

Что ожидает бизнес в 2024 году?

В 2024 году усилится административная ответственность – увеличится размер штрафа.

Количество контрольных мероприятий НЦЗПД возрастет. Нет приоритета у сферы экономики. Нет критериев «величины» компании. Под зоркий взгляд регулятора попадут не только представители среднего и крупного бизнеса.

Требования Закона универсальны. Поэтому уже сегодня надо ответить на несколько вопросов:

А) Есть ли у вас все необходимые документы для работы с персональными данными?

Б) Все ли локальные правовые акты, регулирующие обработку персональных данных, соответствуют действующему законодательству?

Напомним, по состоянию на январь 2024 г. максимальная сумма штрафа для юридического лица составляет 50 базовых величин.

Этап 1. Внутренний аудит

Во избежание привлечения юридического лица к административной ответственности компаниям необходимо провести аудит локальных правовых актов, регулирующих обработку персональных данных, и привести их в соответствие с Законом.

Документ, с которого начинается работа с персональными данными, – это реестр обработки персональных данных (далее – реестр).

Примерная форма реестра представлена на сайте НЦЗПД.

В реестр рекомендуется включить следующие графы:

1. Цель обработки (например, заключение, исполнение, изменение и расторжение договоров поставки, аренды; предоставление добровольного медицинского страхования).

Рекомендация: при формулировании целей необходимо избегать общих формулировок, например: для соблюдения законодательства, устава Общества, для осуществления предпринимательской деятельности, для совершенствования деятельности организации.

2. Лицо (подразделение), ответственное за обработку (например, отдел кадров, бухгалтерия или конкретное лицо и его должность).

3. Категория лиц, чьи персональные данные обрабатываются (например, работники, члены их семей).

4. Категория персональных данных (например, фамилия, имя, отчество, дата рождения, номер паспорта).

5. Правовая основа обработки (конкретный абзац ст. 6 с указанием пункта нормативного правового акта, на основании которого осуществляется обработка, или согласие субъекта персональных данных).

6. Источник получения персональных данных (например, заявление предоставлено субъектом персональных данных в виде документа, адресованного оператору; направлено на адрес электронной почты).

7. Вид обработки (автоматизированная или неавтоматизированная) и наименование информационной системы, в которой хранятся персональные данные (например, «1С: Бухгатерия 7»).

8. Наименование и адрес уполномоченных лиц, перечень осуществляемых ими действий (например, организации, оказывающие кадровые или бухгалтерские услуги).101_05_04.jpg

9. Категория получателей персональных данных (например, организации, осуществляющие повышение квалификации).

10. Срок и место хранения персональных данных (указывается в соответствии с постановлением Министерства юстиции Республики Беларусь от 24 мая 2012 г. № 140 «О перечне типовых документов Национального архивного фонда Республики Беларусь», при отсутствии срока – в иной, установленный по решению нанимателя. Следует избегать формулировок типа «до отзыва согласия»).

После создания реестра важно поддерживать его в актуальном состоянии: при изменении любой графы вносить соответствующие правки. Это можно сделать путем подготовки новой редакции реестра, сохраняя старую редакцию в распечатанном виде.

Второй важный документ – это политика оператора в отношении обработки персональных данных, которая разрабатывается на основании реестра. Здесь также следует обратить внимание на некоторые моменты.

1. Политика – один или несколько документов в зависимости от сферы регулирования (например, трудовые отношения, обработка персональных данных на сайте, в мобильном приложении, работа с файлами cookies и другое), который может быть составлен в том числе в виде таблицы из реестра с дополнением общими положениями (например, реквизиты оператора, термины, сфера деятельности политики), правами субъектов персональных данных с указанием порядка их реализации, реквизитами для направления заявления (следует избегать требований к почтовой корреспонденции, например: направление 1-м классом, заказным с уведомлением и других), трансграничной передачей (при ее наличии) с указанием субъектов и страны местонахождения, основания для такой передачи. Разработка политики в виде отдельных документов упростит ее восприятие и исключит представление чрезмерной информации.

Рекомендация: в политике рекомендуем указать, относятся ли страны при трансграничной передаче к территориям, на которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, то есть сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в Страсбурге 28 января 1981 г., а также членами ЕАЭС (РФ, Казахстан, Армения, Кыргызская Республика).

2. Политика должна быть написана простым и доступным языком, понятным человеку без специального образования. В ней следует избегать ненужного цитирования законодательства, излишней информации, которая не относится к компании (например, термин «генетические персональные данные» при отсутствии их обработки в организации); общих формулировок (например, «персональные данные передаются третьим лицам»).

3. Политика должна быть доступна всем лицам, чьи персональные данные обрабатываются. Например, располагаться на сайте не ниже второго уровня, на информационных стендах в компании (при отсутствии сайта). При расположении политики на сайте часть про трудовые отношения рекомендуем исключить.

Этап 2. Разработка новых локальных актов

Рекомендуем дополнительно разработать следующие документы.

1. Положение о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе). Его можно сделать в виде таблицы, на основании которой системный администратор будет предоставлять доступы к тем или иным информационным ресурсам.

В документе необходимо отразить, кому предоставляется доступ, категорию персональных данных, а также то, каким образом предоставляется, изменяется или прекращается доступ, на основании каких организационно-распорядительных документов руководства.

В приложении можно отразить перечень работников, имеющих доступ к персональным данным, с указанием категории персональных данных; цели их обработки; лиц, которые их обрабатывают; категорию пользователя (администратор или пользователь), права доступа в информационном ресурсе (например, добавление, удаление, изменение).

На основании данного документа можно будет установить, к каким информационным ресурсам (системам) каждый работник имеет доступ и как он регулируется в компании. Например, бухгалтерия имеет доступ к 1С:Бухгалтерия 8, а кадровая служба – к 1С:Бухгалтерия 7. Следовательно, предоставление доступа бухгалтерии к 7-й и 8-й версиям – это нарушение требований законодательства. Документ поможет понять, у каких структурных подразделений или отдельных работников есть излишние доступы, которые не нужны им в соответствии с должностными обязанностями. Если же доступы необходимы, то нужно внести изменения в должностные инструкции работников.

2. Перечень информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых он является, а также категорий персональных данных, подлежащих включению в данные ресурсы (системы). В нем следует отразить такие ресурсы, как, например, корпоративная электронная почта, программное обеспечение для ведения бухгалтерского или кадрового учета, системы видеонаблюдения, системы электронного документооборота и иное.

3. Согласие субъектов персональных данных (работников и иных физических лиц). При получении согласия следует помнить, что в отношении каждой цели субъект вправе выразить свое согласие или несогласие, запрещено заранее проставлять «галочки» в графах согласия. Кроме того, запрещено блокировать субъекту право отказаться от обработки персональных данных. В согласии рекомендуем избегать общих формулировок (например, «третьи лица»), чрезмерного представления информации, профессиональной лексики. Факт получения согласия при наличии спора – это предмет доказывания компании.

Важно помнить, что при получении согласия необходимо представить субъекту информацию, перечень которой установлен в законодательстве (п. 5 ст. 5 Закона), в том виде, в каком получается согласие, в виде отдельного документа или всплывающего окна, так как представление полного текста политики не обеспечивает соблюдение принципа информированного выражения воли.

4. Положение о порядке осуществления внутреннего контроля за обработкой персональных данных. Данный документ – это инструкция для структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных. В нем отражаются цели осуществления контроля, формы контроля (проверка и мониторинг) и план их проведения, порядок проведения контроля, сроки и формы оформления результатов.

Иные документы, которые необходимо пересмотреть, – это договоры с уполномоченными лицами (например, на бухгалтерские услуги, кадровый учет, IT-услуги, электронный документооборот) с учетом обязательных требований законодательства, должностные инструкции, трудовые договоры, правила внутреннего трудового распорядка.

Выводы

1. Работа с персональными данными в компании должна проводиться на регулярной основе, отражая все изменения, которые происходят в компании: начиная с изменения поставщиков услуг и заканчивая внесением изменений в должностные инструкции работников.

2. Есть базовый минимум локальных правовых актов, регулирующих обработку персональных данных, который должен быть у всех субъектов хозяйствования. Дополнительные политики, положения, реестры разрабатываются с учетом сложности бизнес-процессов, массива обрабатываемых компанией данных и необходимости урегулировать тот или иной вид обработки.

3. Отсутствие компании в плане проверок НЦЗПД не гарантирует непроведение проверки в отношении компании в текущем календарном году. Например, в 2023 году в план проверок было включено 13 компаний, а контрольных мероприятий было около 200. Поэтому иметь актуальные локальные правовые акты – текущая задача каждой организации.