Авторизуйтесь Чтобы скачать свежий номер №34(2728) от 03.05.2024 Смотреть архивы
Смотреть свежий номер №34(2728) от 03.05.2024
Ru
Войти


    Конвертер валют
    Валюта
    USD:
    3.2354
    EUR:
    3.4633
    RUB:
    3.492
    Драгметаллы
    Золото:
    Серебро:
    Платина:
    Палладий:
    Назад
    Проблемы и решения
    23.06.2023 11 мин на чтение мин
    «ЭГ» выпуск №47(2643) от 23.06.2023
    Распечатать с изображениями Распечатать без изображений

    Защита персональных данных: правовой опыт

    Фото: freepik.com

    Белорусские компании обязаны принять достаточные меры по защите персональных данных, однако в законодательстве не определено, что такое «достаточные».

    Как на практике поступают субъекты хозяйствования? Разбираемся далее с экспертом.

    Защита персональных данных – это не просто модное явление, пришедшее в Беларусь из западного мира. Сейчас вокруг этой темы уже выстроено национальное законодательство и те, кто его грубо нарушает, могут быть привлечены к серьезной ответственности.

    Так, за умышленный незаконный сбор, обработку, хранение или предоставление персональных данных может быть наложен штраф в размере до 50 базовых величин (БВ). А за умышленное незаконное распространение персональных данных – до 200 БВ.

    Несоблюдение мер обеспечения защиты персональных данных физических лиц может привести к тому, что юрлицу придется заплатить до 50 БВ. Более того, в этом году уже зафиксирован прецедент, когда сайт компании минимум на полгода приостановил работу после выявленных нарушений в сфере защиты персональных данных.

    Для всех компаний, обрабатывающих заявки клиентов в режиме онлайн, такой поворот событий крайне нежелательный, ведь в этом случае под угрозой существования может оказаться весь бизнес.

    Поэтому, осознавая ответственность, субъекты хозяйствования по собственной инициативе принимают меры по защите персональных данных.

    nshakel.jpg
           Надежда Шакель

    О том, какие меры следует предпринять для неразглашения персональных сведений и как в связи с этим поступают белорусские компании, «ЭГ» попросила рассказать старшего юриста компании «Степановский, Папакуль и партнеры. Юридические услуги» Надежду Шакель.

    – С учетом вашей практики какое в среднем количество документов придется готовить субъектам хозяйствования, чтобы юридически обеспечить защиту персональных данных?

    – Начиная с 2021 г., когда Закон от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон № 99-З) еще не вступил в силу, субъекты хозяйствования уже стали заниматься этой темой. По моим наблюдениям, в среднем каждая компания готовит от 10 до 25–30 документов для принятия достаточных мер по защите персональных данных.

    При этом многое зависит от масштаба и характера бизнеса. За последние два года я поучаствовала более чем в 50 проектах и могу сказать, что ситуация в каждой компании – всегда уникальный кейс, и только после ознакомления с внутренними бизнес-процессами можно примерно оценить тот масштаб мер, которые нужны для защиты персональных данных.

    – Почему бизнесу зачастую приходится готовить большое количество документов по этой теме? Можно ли утвердить один документ на все цели обработки персональных данных?

    – Чем чаще компания соприкасается с персональными данными, тем больше мер по их защите потребуется, и наоборот. Политика обработки персональных сведений может быть одной в организации, где не так много процессов по обработке персданных (например, если отсутствуют наемные работники, сайт с личными кабинетами, не проводятся рассылки).

    И совершенно другая ситуация характерна для компаний, массово обрабатывающих персональные данные, используя для этого личные кабинеты на сайтах, собирающих резюме, загружающих данные в корпоративный портал и в CRM-системы, применяющих систему видеонаблюдения, проводящих маркетинговые акции и т.д.

    Иногда компания обрабатывает персональные сведения людей в многочисленных ситуациях, и поэтому требуется до 15 различных документов, в которых прописывается политика предприятия по обработке персональных данных в отношении различных субъектов.

    – Всегда ли организации нужно разрабатывать и утверждать документы по обработке персональных данных, например, когда услуги оказываются для неограниченного круга лиц?

    – Все субъекты хозяйствования, в т.ч. юридические лица и индивидуальные предприниматели, обязаны принимать меры по защите персональных данных.

    Другое дело в случае оказания услуг на основании публичных договоров: когда не осуществляется сбор личных сведений физлиц, нет необходимости и получать согласие клиентов на обработку персональных данных.

    – В Беларуси проходят как плановые, так и внеплановые проверки по вопросам защиты персональных данных. Какие шаги должны быть выполнены в первую очередь, чтобы не столкнуться с суровыми санкциями?

    – Прежде всего, в компании должен быть назначен ответственный, который будет осуществлять контроль за обработкой персональных данных. Если такой ответственный не назначен или он реально не выполняет возложенные на него обязанности, это может повлечь самое жесткое наказание со стороны регулятора.

    Осенью исполнится два года с момента вступления в силу Закона № 99-З. Если за истекшее время субъект хозяйствования не сделал ничего для того, чтобы нормы данного документа исполнить, разумеется, это может обернуться чувствительным наказанием.

    Если речь идет о юрлицах небольшого размера, не обрабатывающих больших объемов персональных данных, то допускается, что именно руководитель субъекта хозяйствования отвечает за обработку персональных данных.

    В остальных случаях ответственным за выполнение этих функций должен быть иной работник, причем не вовлеченный в качестве основной своей работы в процессы, связанные с персональными данными. Важно не допустить конфликта интересов в его деятельности. Может быть назначено и несколько лиц, но тогда важно разграничить полномочия между ними (например, юрист занимается разработкой политики, а системный администратор обеспечивает реализацию мер защиты). 

    – Какое нарушение по обработке персональных данных часто встречается?

    – В ряде случаев поводом для недовольства граждан и последующих разбирательств становятся факты, когда компания запрашивает согласие на обработку избыточных персональных данных.

    Например, предприятие планирует организовать почтовую рассылку, но зачем-то при этом собирает данные о номерах телефонов и паспортные сведения клиентов. Это явное нарушение, так делать нельзя. Объем собираемых личных сведений обязательно должен быть увязан с конкретной целью их получения.

    Также нельзя согласие на обработку персональных данных включать в качестве нормы в договоры на покупку-продажу товаров или услуг. Для получения согласия должен быть отдельный документ, касающийся обработки персональных данных.

    Кстати, необходимо указывать срок, на который организация получает согласие физлиц на обработку персональных данных. После того как этот срок истек и не был продлен, хранить полученные согласия на обработку персданных в бумажной или в электронной форме необходимо еще год.

    – Штрафные санкции за несоблюдение законодательства по защите персональных данных относительно невелики. Стоит ли бизнесу уделять повышенное внимание данной теме?

    – В этом году уже появился пример, когда из-за невыполнения требований законодательства в сфере защиты персональных данных фактически на полгода была приостановлена работа сайта одной компании. Естественно, если электронный ресурс обрабатывает клиентские заявки, прекращение его работы чревато огромными потерями для бизнеса.

    Поэтому, чтобы минимизировать вероятность такого сценария, организациям уже давно пора задуматься о принятии мер по защите персональных данных и соблюдению соответствующего законодательства.

    Мы видим, что регулятор в лице Национального центра защиты персональных данных уже не только разъясняет, но и усиливает контрольную функцию. Поэтому предполагаю, что большинство субъектов хозяйствования по доброй воле примут необходимые меры для защиты личных сведений физлиц.

    – Какие дополнительные меры, помимо обязательных, чаще всего предпринимают организации?

    – Самое главное, чтобы меры по защите персональных данных, закрепленные в документах компании, реально работали и были интегрированы в бизнес-процессы. Для того чтобы это сделать, необходимо организовать в компании внутреннее обучение сотрудников, при этом принимать во внимание то, как реально осуществляются процессы. Нередко в ходе обучения выясняется, что утвержденные политики и иные документы не работают.

    – Как, на ваш взгляд, бизнесу обезопасить себя от «потребительского экстремизма» – ситуаций, когда пользователи злоупотребляют правами и необоснованно жалуются на субъекты хозяйствования?

    – Да, действительно, иногда встречаются необоснованные жалобы граждан в отношении действий субъектов хозяйствования по сбору и обработке персональных данных.

    Что может сделать бизнес, чтобы количество таких жалоб свести к минимуму? В первую очередь необходимо проводить внутреннее обучение лиц, которые взаимодействуют с клиентами и контрагентами.

    Работники компании должны уметь объяснить, что обработка персональных данных осуществляется в соответствии с требованиями законодательства, и подтвердить свои слова документами, утвержденными в компании.

    Статьи по теме:

    Регулятор призывает бизнес защитить персональные данные

    Бизнесу стоит позаботиться о защите персональных данных

    Использование материала без разрешения редакции запрещено. За разрешением обращаться на op@neg.by

    персональные данные Закон № 99-З административная ответственность субъектов хозяйствования проверки
    Автор публикации:
    Дмитрий Заяц Дмитрий
    Заяц
    Распечатать с изображениями Распечатать без изображений
    img
    Разместить рекламу на neg.by
    +

    Мы используем файлы cookie, чтобы улучшить работу и повысить эффективность сайта.

    Продолжая пользование данным сайтом, Вы соглашаетесь с использованием файлов cookie.

    Политика конфиденциальности.