Общая информация

Что такое Персональные данные?
У организаций частной формы собственности основные вопросы это: надо ли выполнять и применять нормы Закона в своей деятельности, если надо, что при этом делать? Какие документы для этого необходимы? И что будет, если нужно, а не делать?
У простых граждан — потребителей товаров и услуг, лиц, работающих у нанимателя: а как мои персональные данные будут использоваться, кому будут доступны и не попадут ли в ненадежные источники?
У исполнительных государственных органов – все те же вопросы, только через призму контроля за исполнением норм законодательства в области обработки персональных данных.
Какие бывают виды персональных данных?
Общие персональные данные
К ним законодательство о персональных данных относит базовые личные данные: ФИО, адрес регистрации, место работы, номера телефонов, e-mail.
Специальные персональные данные
Информация о личности человека: семейное положение, состояние здоровья, расовая и национальная принадлежность, политические, религиозные взгляды, информация о судимостях.Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо получить из официальных источников через запросы (ЗАГС, лечебное учреждение, правоохранительные органы и др.).
Биометрические персональные данные
Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.
Иные персональные данные
В эту категорию относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, зарплата, периоды отпусков, стаж и так далее.
Важная информация
С 15 ноября 2021 г. действуют положения Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», согласно которому под Персональными данными понимается любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Ответственность за несоблюдение законодательства по защите персональных данных:
Прочтите внимательно
Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных влекут наложение штрафа в размере до 50 базовых величин, если данные действия допустило должностное лицо в рамках своей деятельности, то штраф будет в размере до 100 БВ.
Возможные последствия
За несоблюдение мер обеспечения защиты персональных данных физических лиц предусмотрен штраф в размере от 2 до 10 БВ, с индивидуального предпринимателя – от 10 до 25 БВ, а с юридического лица– от 20 до 50БВ.
ТОП-5 нарушений
Самые распространены нарушения в области защиты персональных данных

Национальным центром по защите персональных данных собран топ-5 самых распространенных нарушений в части обработки данных в работе интернет-магазинов.
- Звонки и рассылка клиентам/покупателям с рекламными, акционными предложениями товаров, услуг без согласия на это. Это незаконно.
- Отсутствие свободного характера согласия. При оформлении карт лояльности некоторые торговые сети берут общее согласие на несколько не связанных между собой целей, включая в него направление рекламной рассылки. Такое согласие не является свободным, его получение не соответствует требованиям законодательства о персональных данных.
- Избыточность обработки персональных данных. Отдельные торговые сети для оформления карт лояльности истребуют сведения об идентификационном номере, фактическом месте проживания, поле и образовании физического лица, наличии детей, автомобиля, домашних питомцев. Эти данные являются избыточными по отношению к заявленным целям их обработки. При этом, в согласии не отражаются права граждан, связанные с обработкой персональных данных, механизм их реализации, а также последствия дачи согласия или отказа от его предоставления. Не разъясняется кому и для каких целей эти данные будут передаваться. Более того, у ряда интернет-магазинов и вовсе отсутствует политика обработки персональных данных на сайте.
- Персональные данные собираются операторами из открытых источников, в том числе из взломанных баз данных. При этом такие операторы не могут подтвердить, что эти сведения были распространены самим человеком или с его согласия. Использование такой информации является нарушением.
- Отсутствие необходимых знаний у работников. Многие сотрудники, обрабатывающие персональные данные, не знают законодательства, не ознакомлены с политикой конфиденциальности и иными локальными документами. Специалисты, ответственные за внутренний контроль за обработкой персональных данных, во многих случаях не обучены, не обладают необходимыми знаниями для защиты персональных данных. Работа с такой информацией организована формально и с нарушениями.
Юридические услуги по консультированию и разработке документов по Закону Республики Беларусь «О защите персональных данных»
- Предварительный аудит;
- Согласование объемов исходя из Ваших потребностей;
- Разработка полного комплекта документов по защите персональных данных в организации;
- Обучение персонала;
- Подготовка рекомендаций;
- Чек-листы и алгоритмы действий;
- Консультации и поддержка.
Важные действия
Что необходимо сделать компаниям исходя из норм Закона о защите персональных данных?
- Необходимо внести правки в политику конфиденциальности либо разработать отдельные документы, регламентирующие и разъясняющие порядок обработки персональных данных.
- Необходимо обучить сотрудников правилам обработки персональных данных,
- Определить лиц, ответственных за обработку персональных данных, либо создать отдел, специализирующийся на работе с персональными данными.
- Для онлайн-магазинов необходимо разработать формы электронного получения согласия от субъекта персональных данных. При этом надо знать, что до получения согласия субъекта персональных данных оператор (согласно Закону – это лицо, которое обрабатывает персональные данные) в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязан представить субъекту персональных данных информацию, содержащую:
- наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора, получающего согласие субъекта персональных данных;
- цели обработки персональных данных (обратите внимание, что если в процессе обработки персональных данных цели изменятся или к уже существовавшим добавятся новые — возникает необходимость в повторном получении согласия на новые цели обработки персональных данных);
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- срок, на который дается согласие субъекта персональных данных;
- информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами (обратите внимание, что в случае, когда персональные данные будут обрабатываться и храниться на серверах вне Республики Беларусь либо персональные данные будут переданы иностранным организациям, будут использованы иностранные почтовые сервисы и т.д., такая ситуация, как правило, подпадает под трансграничную передачу данных. На такую передачу данных в некоторых ситуациях необходимо получать письменное согласие);
- перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
- иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
Обратите внимание, что в случае, когда компания планирует пользоваться сторонними сервисами, либо передавать персональные данные для маркетинговых исследований, а также пользоваться услугами других компаний, необходимо заключить договор с такими компаниями (в Законе они определяются как уполномоченные лица) в соответствии с требованиями п. 1 ст. 7 Закона. Важно учесть, что уполномоченное третье лицо не обязано самостоятельно получать согласие субъекта персональных данных, за это отвечает оператор (ст. 7 Закона).
Очень важно — до получения согласия субъекта персональных данных оператор обязан простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть представлена оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной представляемой ему информации (ст. 5 Закона).
Пример
Реальное дело:
Прокуратура Советского района г.Минска при рассмотрении обращения гражданина выявила основания для начала административного процесса по факту нарушения законодательства о защите персональных данных.
В частности, в ходе проверочных мероприятий прокуратура установила, что главный бухгалтер ЗАО «И.» от своего имени направила в учреждение здравоохранения обращение, в котором содержались персональные данные (идентификационный номер паспорта) одной из работниц организации и ее несовершеннолетних детей (имена и даты рождения). При этом документы, подтверждающие полномочия главного бухгалтера на направление такого рода обращений, должностное лицо организации не приобщило. Согласие работницы на обработку ее персональных данных в указанном объеме ЗАО «И.» не получило.
По данному факту прокуратура Советского района г.Минска инициировала начало ведения административного процесса – органам внутренних дел поручено подготовить к рассмотрению дело об административном правонарушении в отношении главного бухгалтера ЗАО «И.» по ч.2 ст.23.7 КоАП.
Мы постарались объяснить основные моменты по персональным данным в Республике Беларусь, но законодательством определены множество юридических нюансов по каждой схеме работы организации.
Мы готовы юридически правильно оформить весь процесс работы вашей компании, который связан с персональными данными, максимально минимизировав риски.