Юрий Медведев, DPO, советник по защите персональных данных ООО “БиЭлБи Юридические услуги”
Илья Латышев, юрист, зам. директора, партнер ООО “БиЭлБи Юридические услуги”
Закон Республики Беларусь «О защите персональных данных» (далее — Закон) действует с 2021 года. В этом году ему исполняется ровно пять лет. Казалось бы, времени на адаптацию было предостаточно, но многие представители малого и среднего бизнеса до сих пор живут по принципу: «Пока проверка не пришла, зачем вообще эти документы разрабатывать?».
Однако практика показывает, что игнорирование этого вопроса обходится дорого. В этой статье мы разобрали, зачем бизнесу нужны документы по персданным, какие именно бумаги должны быть в каждой компании, а также ответили на самые острые практические вопросы.
Если вам нужны консультации по защите персональных данных или помощь в разработке документов по защите персональных данных, пишите — поможем.
Зачем бизнесу документы по защите персональных данных?
Давайте начнем с основы основ. Статья 17 Закона так и называется — «Обязательные меры по защите персональных данных». В ней прописано, что одной из правовых и организационных мер является издание оператором (а это любая компания на рынке) документов, описывающих политику работы с персональными данными. В пункте 3.5 Указа Президента Республики Беларусь № 422 от 28.10.2021 “О мерах по совершенствованию защиты персональных данных” (далее — Указ 422) установлен перечень иных документов по защите персональных данных, которые обязательно должны быть в организации. То есть иметь эти документы — прямая обязанность по законодательству.
Что будет, если документов по защите персональных данных нет?
- Штрафы. Статья 23.7 КоАП предусматривает административную ответственность за несоблюдение мер по защите персональных данных. Штраф на юридическое лицо может достигать 50 базовых величин (например, за валяющиеся на столе кадровика больничные листы). За незаконный сбор или обработку данных без оснований штраф также составит до 50 базовых. А за умышленную утечку базы данных (например, слив базы на сторонние площадки) штраф доходит до 200 базовых величин. Для физических лиц за умышленные действия предусмотрена и уголовная ответственность.
- Проверки НЦЗПД. Отсутствие документов рано или поздно привлечет внимание регулятора. Можно попасть под камеральную или внеплановую проверку. В ежегодных отчетах регулятора отсутствие базового комплекта документов фигурирует как одно из самых типичных нарушений. При проверках после утечек отсутствие документов всегда фиксируется как нарушение.
- Жалобы клиентов. Население становится грамотнее. Если человек не может найти на вашем сайте банальную политику и понять, как обрабатываются его данные (нарушение принципа прозрачности из статьи 4 Закона), он имеет полное право пожаловаться в Центр. А жалоба — это повод для внеплановой проверки.
Мастхэв для юридических лиц: базовый пакет документов по защите персональных данных
Законодательство построено на риск-ориентированном подходе. Это значит, что конкретный список документов зависит от размера бизнеса и объема обрабатываемых данных. Однако за 5 лет сформировался минимальный базовый перечень, который должен быть у каждого юрлица. В реальной жизни пакеты, которые мы собираем для клиентов, содержат порядка 15-20 документов, но вот абсолютный минимум:
- Политики обработки персональных данных. Законодатель требует, чтобы политик было несколько, для соблюдения принципа прозрачности. Должны быть отдельные документы: общая политика, политика обработки данных персонала, политика использования файлов cookie (если есть сайт), политика для розничных клиентов (физлиц) и политика для представителей контрагентов.
- Перечень информационных систем. Это требование пункта 3.5 Указа № 422. Документ, описывающий всё ваше ПО (серверное ПО, 1С, CRM), где хранятся персданные работников, клиентов или контрагентов.
- Реестр уполномоченных лиц. Уполномоченные лица — это подрядчики (бухгалтерия на аутсорсе, типография, печатающая визитки с ФИО ваших сотрудников, маркетологи), которые обрабатывают данные по вашему поручению. За их утечки ответственность в первую очередь несете вы, поэтому вести их учет обязательно.
- Порядок доступа к персональным данным. Локальный акт, разграничивающий доступ сотрудников к системам. Маркетолог должен иметь доступ только к CRM, а не к 1С с зарплатами. Главбух, напротив, имеет доступ почти ко всему. За нарушение порядка доступа также предусмотрена ответственность.
- Внутреннее положение об обработке персональных данных. Документ, детально прописывающий для персонала процессы работы с данными.
- Положение об осуществлении внутреннего контроля. В компании должен быть назначен DPO (Data Protection Officer или по-нашему лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных) — лицо, ответственное за внутренний контроль. Данное положение регламентирует его полномочия, порядок проведения проверок и устранения нарушений. Проверяющие из НЦЗПД первым делом спросят акты этих проверок.
- Формы согласий и Положение об их учете. Не всё можно обрабатывать без согласия (например, рекламные рассылки по физлицам требуют согласия по закону о рекламе). Нужны формы и регламент их учета, контроля и отзыва.
- Формы заявлений субъектов и Положение о работе с ними. По закону у людей есть 4 права: на отзыв согласия, на прекращение обработки, на получение информации об обработке и о предоставлении данных третьим лицам за год. Эти заявления учитываются отдельно от Закона об обращениях граждан.
- Положение о порядке удаления, блокирования и обезличивания данных. Данные должны храниться ровно до тех пор, пока не достигнута цель их обработки. Процесс их «смерти» должен быть регламентирован.
- Реестр обработок персональных данных (ROPA). Инструмент DPO, в котором прописываются все процессы: где данные живут, кем получаются, сколько хранятся и когда удаляются.
Какие документы по защите персональных данных должны быть у ИП?
Индивидуальные предприниматели также обязаны соблюдать закон, но для них есть небольшие послабления. Главное из них: ИП могут не назначать DPO (лицо, ответственное за внутренний контроль). Зачастую ИП не имеет штата, поэтому функции DPO он выполняет для себя сам, и документы, связанные с его полномочиями, разрабатывать не нужно.
В остальном комплект аналогичен юрлицам:
- Политики (общая, для сайта, для розничных клиентов, если работаете с физлицами).
- Перечень информационных систем.
- Реестр уполномоченных лиц (для ИП это суперактуально, так как продажники, бухгалтеры, СММ-щики обычно работают на аутсорсе).
- Регламент или раздел в Политике об удалении, блокировании и обезличивании данных.
- Реестр обработок персданных (желательно вести для внутреннего учета).
Штрафы за отсутствие документов для ИП абсолютно те же (статья 23.7 КоАП).
Самозанятые, ремесленники и агроусадьбы — и их документы по защите персональных данных
Многие ошибочно полагают, что закон касается только крупных компаний. Однако в статье 1 Закона четко сказано: оператором являются в том числе физические лица. Как только ремесленник открывает сайт и начинает собирать данные клиентов для доставки, он становится оператором персональных данных. И для него начинают действовать требования об обязательных мерах.
Что нужно подготовить этой категории:
- Политику обработки данных.
- Перечень информационных систем.
- Реестр уполномоченных лиц (если нанимаете сторонних СММ-щиков или рекламщиков).
Назначать DPO самозанятым и ремесленникам не нужно.
Какие документы по защите персданных должны быть у каждого из субъектов
| Документ | Юрлица | ИП | Самозанятые / ремесленники / агроусадьбы |
|---|---|---|---|
| Общая политика обработки персональных данных | ✅ Обязательно | ✅ Обязательно | ✅ Обязательно |
| Политика обработки данных работников | ✅ Обязательно | ⚠️ Обычно не требуется, если нет работников | ❌ Нет |
| Политика обработки данных клиентов-физлиц | ✅ Если есть физлица-клиенты | ✅ Если есть физлица-клиенты | ✅ Если есть физлица-клиенты |
| Политика обработки данных представителей контрагентов | ✅ Обязательно при работе с юрлицами | ⚠️ Желательно | ❌ Обычно нет |
| Политика использования cookie | ✅ Если есть сайт | ✅ Если есть сайт | ✅ Если есть сайт |
| Перечень информационных систем | ✅ Обязательно | ✅ Обязательно | ✅ Обязательно |
| Реестр уполномоченных лиц | ✅ Обязательно при наличии подрядчиков | ✅ Обычно обязателен | ✅ Если есть подрядчики |
| Порядок доступа к персональным данным | ✅ Обязательно | ⚠️ Желательно | ❌ Обычно нет |
| Внутреннее положение об обработке персональных данных | ✅ Обязательно | ⚠️ Желательно | ❌ Обычно нет |
| Положение об осуществлении внутреннего контроля | ✅ Обязательно | ❌ Не требуется | ❌ Не требуется |
| Назначение DPO (ответственного за внутренний контроль) | ✅ Обязательно | ❌ Не требуется | ❌ Не требуется |
| Формы согласий на обработку персональных данных | ✅ Если используется согласие | ✅ Если используется согласие | ✅ Если используется согласие |
| Положение об учете согласий | ✅ Желательно | ⚠️ Желательно | ❌ Обычно нет |
| Формы заявлений субъектов персональных данных | ✅ Обязательно | ✅ Желательно | ⚠️ Желательно |
| Положение о работе с заявлениями субъектов | ✅ Обязательно | ⚠️ Желательно | ❌ Обычно нет |
| Положение об удалении, блокировании и обезличивании данных | ✅ Обязательно | ✅ Обязательно | ⚠️ Желательно |
| Реестр обработок персональных данных (ROPA) | ✅ Обязательно | ✅ Желательно | ⚠️ Желательно |
| Положение об обучении работников | ✅ Если есть работники | ⚠️ При наличии работников | ❌ Нет |
| Акты внутренних проверок DPO | ✅ Обязательно | ❌ Нет | ❌ Нет |
Острые практические вопросы про защиту персональных данных (Q&A)
❓ Имеет ли право компания пересылать расчётные листки работников банку для начисления зарплаты? Да, имеет. Банк здесь выступает уполномоченным лицом для вашей компании-нанимателя. Он обрабатывает данные не в своем интересе, а в вашем, чтобы выполнить услугу по зарплатному проекту. Наниматель сам определяет форму расчетного листка и то, насколько детализировать выплаты. Отправка этих данных — законная обязанность по трудовому кодексу.
❓ Как организовать обучение работников, обрабатывающих персданные? Это обязательная мера (статья 17 Закона). У вас должно быть внутреннее Положение об обучении персонала. Обучение необходимо проводить регулярно: объяснять, кто такие уполномоченные лица, как учитывать согласия и разъяснять права субъектам. Обучать может ваш DPO (очно или через онлайн-курсы), либо можно отправлять сотрудников на курсы повышения квалификации. Главное: обучение нужно фиксировать тестами. Не сдали — пересдают. Результаты тестирования сохраняются для проверяющих.
❓ Как DPO должен проводить внутренние проверки? Процесс следующий: DPO составляет план проверок (минимум раз в год по всем подразделениям), утверждает его у руководителя. Затем приходит в отдел и задает неудобные вопросы: «На каком основании собираете данные? Почему без согласия? Почему не соблюдаете локальные регламенты?». Задача DPO — найти нарушения раньше, чем это сделает регулятор, и помочь их устранить.
❓ Можно ли хранить копии паспортов и военных билетов в личных делах работников? Нет, это одно из самых типичных нарушений. Хранить эти копии «потому что так удобно бухгалтеру» (например, для сверки с военкоматом) нельзя — это избыточная обработка. У вас есть право попросить работника актуализировать данные, но не хранить саму копию. И никакое письменное согласие работника вас здесь не спасет, так как цель хранения неправомерна. Если прямого указания в законе на хранение копии нет — вы обязаны её удалить.
❓ Клиент удален с сайта, но данные о продажах остались в 1С. Как быть с требованием об удалении? Правило универсальное: удаляться должны все данные, позволяющие идентифицировать человека, из всех систем. Если технически выпилить клиента из 1С невозможно без поломки системы, применяйте временную меру — обезличивание. Но помните, что обезличенные данные можно восстановить, поэтому это всё равно считается обработкой. В конечном итоге систему придется дорабатывать, чтобы данные удалялись полностью. Примечание: В самом Акте об удалении писать ФИО удаленных клиентов не нужно. Достаточно формулировки: «Удалена база клиентов-физлиц за 2022-2026 годы в количестве 100 единиц».
❓ Можно ли хранить персданные просто в таблице Excel? Хватит ли пароля на Windows для защиты? Можно. Excel — это просто прикладная программа, часть вашей информационной системы. Однако к ней применяются требования Приказа ОАЦ № 66 о технической и криптографической защите. Если вы собрали базу из общедоступных источников в интернете, аттестовывать систему не нужно, достаточно базовых мер: антивируса и пароля ограничения доступа. Но если там специальные данные (биометрия, генетика и т.д.), защита должна быть повышенной.
❓ Законно ли, когда медцентр, страховая или банк отказываются заключать договор, пока клиент не подпишет отдельное согласие на обработку персданных? Это неправомерно. Если вы заключаете договор, то именно этот договор и является правовым основанием для обработки данных. Согласие — это самостоятельное основание, оно не должно препятствовать заключению сделки (если только в согласии не оглашена какая-то иная цель, например, рекламная рассылка). При таких отказах смело жалуйтесь руководству компании, а затем — в НЦЗПД.
❓ Зачем нужна Политика обработки данных работников, если все данные обрабатываются на основании трудового договора? Для соблюдения принципа прозрачности (статья 4 Закона). Вы обязаны разъяснить своим работникам в доступной форме, как именно, где и для каких целей обрабатываются их данные.
Подводя итог: разработка документов по защите персональных данных — это не прихоть, а суровая необходимость, причем для всех форм бизнеса. Надеемся, этот разбор поможет вам навести порядок в своих бумагах и избежать неприятных встреч с регулятором.
А если вам нужны консультации по защите персональных данных или помощь в разработке документов по защите персональных данных, пишите — поможем.