15 ноября 2021 года вступил в силу Закон от 07.05.2021 №99-З «О защите персональных данных». Закон определил понятие персональных данных, способы обработки и хранения персональных данных. Также появилась новая организация, которая занимается проведением проверок, а также дальнейшей разработкой законодательства о персональных данных - национальный центр по защите персональных данных.
Согласно Закону «О защите персональных данных» (далее – Закон), под персональными данными понимается любая информация, которая относится к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано. То есть, к персональным данным можно отнести любую информацию о человеке. До принятия Закона было три категории информации, которая относилась к персональным данным: основные данные, дополнительные данные, иные данные.
После вступления Закона в силу появились особые категории персональных данных: специальные персональные данные и генетические персональные данные. К специальным персональным данным относятся данные о расовой или национальной принадлежности, о политических взглядах, о членстве в профессиональных союзах, о религиозных или других убеждениях, о здоровье или половой жизни, о привлечении к административной или уголовной ответственности, о физиологических и биологических особенностях человека (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое), которые используются для его уникальной идентификации (биометрические персональные данные). К генетическим персональным данным в свою очередь относятся наследуемые либо приобретенные генетические характеристики человека, которые содержат уникальные данные о его физиологии либо здоровье.
Если организация или индивидуальный предприниматель в своей деятельности заполняют анкеты и/или проводят опросы; собирают информацию на сайте компании о пользователях с помощью куки-файлов, производят операции с любыми данными о любом человеке в ходе любой деятельности – необходимо соблюдать условия Закона о персональных данных.
Прежде, чем приступить к обработке персональных данных, необходимо получить согласие человека на обработку его персональных данных. Согласие должно представлять собой свободное, однозначное выражение согласие на обработку персональных данных. Согласие может быть получено в письменной форме, в виде электронного документа или в иной электронной форме. Согласие на обработку персональных данных может быть отозвано. Для этого физическое лицо может написать заявление либо выразить сове несогласие на обработку своих персональных данных в той форме, в которой было получено согласие.
Но, есть случаи, когда получение согласия на обработку персональных данных не требуется. Так, если специальные персональные данные сделаны общедоступными самим человеком (например, размещение личного номера телефона на лобовом стекле машины), если персональные данные собираются при трудоустройстве на работу, если сбор персональных данных направлен на реализацию норм законодательства в области национальной безопасности, борьбы с коррупцией и в других случаях, которые предусмотрены в Законе.
Кроме этого, физическое лицо может получать информацию о предоставлении своих персональных данных третьим лицам бесплатно один раз в календарный год за исключением случаев, которые могут быть предусмотрены в других нормативных правовых актах.Также Закон утверждает такие определения как оператор и уполномоченное лицо. Под оператором понимается лицо, которое организует и/или осуществляет обработку персональных данных, а под уполномоченным лицом – лицо, которое осуществляет обработку персональных данных от имени оператора или в его интересах.
В качестве оператора могут выступать:
- государственный орган;
- юридическое лицо Республики Беларусь;
- иная организация;
- физическое лицо, в том числе индивидуальный предприниматель.
Таким образом, оператором может быть любое лицо, которое осуществляет обработку персональных данных в связи с профессиональной или предпринимательской деятельностью.
С целью соблюдения Закона о защите персональных данных, организациям или ИП, которые являются операторами, надо:
- назначить лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, а также определить перечень лиц, имеющих допуск к обработке персональных данных;
- подготовить сведения обо всех персональных данных физических лиц, обрабатываемых в организации. Определить цель каждой обработки, надлежащее правовое основание для каждой обработки (согласие, трудовые отношения, договор, обработка общедоступных данных, требования законодательства и иное);
- разработать политику организации в отношении обработки персональных данных и сопутствующие документы, необходимые для систематизации процессов;
- разработать формы документов и иные ЛПА, связанные с реализацией требований законодательства в отношении обработки персональных данных;
- ознакомить работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных;
- провести с работниками инструктаж по работе с персональными данными;
- получить согласие субъектов персональных данных на их обработку, за исключением случаев, предусмотренных законодательством;
- обучить ответственных лиц;
- оформить договор поручения на обработку персональных данных с уполномоченными лицами (при необходимости);
- осуществить техническую и криптографическую защиту персональных данных.
Контроль за исполнением Закона о защите персональных данных осуществляет Национальный центр по защите персональных данных.
Национальный центр защиты персональных данных осуществляет следующие функции:
- осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами) и рассматривает жалобы субъектов персональных данных по вопросам обработки персональных данных;
- определяет перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных и выдает разрешения на трансграничную передачу персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, а также определяет порядок выдачи таких разрешений;
- устанавливает классификацию содержащих персональные данные информационных ресурсов (систем) в целях определения предъявляемых к ним требований технической и криптографической защиты персональных данных;
- вносит предложения о совершенствовании законодательства о персональных данных, участвует в подготовке проектов актов законодательства о персональных данных, а также дает разъяснения по вопросам применения законодательства о персональных данных, проводит иную разъяснительную работу о законодательстве о персональных данных;
- участвует в работе международных организаций по вопросам защиты персональных данных и осуществляет сотрудничество с органами (организациями) по защите прав субъектов персональных данных в иностранных государствах;
- обучает, лиц ответственных за обработку и хранение персональных данных; а также реализует образовательные программы дополнительного образования взрослых в соответствии с законодательством об образовании;
- осуществляет иные полномочия, предусмотренные законодательством о персональных данных.
Также надо знать, что в случае нарушения законодательства в области защиты персональных данных, существует административная и уголовная ответственность. В случае, если Вам надо получить помощь в оформлении документов для соблюдения требований Закона о персональных данных, Вы всегда можете обратиться в юридическую фирму «ПроЮристБай». Мы с радостью вам поможем!