Персональные данные: организация работы, документальное оформление и ответственность
Мы беседуем с Людмилой Шерсневой, юристом-лицензиатом, медиатором.
Что обсудили:
- 15 ноября вступил в силу Закон № 99-З, который направлен на обеспечение защиты персональных данных.
- Действия организации для обеспечения защиты персональных данных.
– Что Закон № 99-З относит к персональным данным?
Статьей 1 Закона № 99-З определены виды персональных данных. Это:
– биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.);
– генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
– общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
– специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
Справочно:
субъектом персональных данных является физическое лицо, в отношении которого осуществляется обработка персональных данных.
Оператор – это государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в т.ч. ИП, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных. Иными словами, любая организация является оператором персональных данных.
– Что должна сделать организация для обеспечения защиты персональных данных?
1) установить перечень персональных данных, которые обрабатываются в организации;
2) установить перечень лиц (работников), имеющих право допуска к персональным данным и их обработке, а также лицо (структурное подразделение), ответственное за осуществление внутреннего контроля за обработкой персональных данных;
3) конкретизировать и закрепить обязанности работников в сфере защиты персональных данных в трудовых договорах и (или) контрактах, должностных инструкциях;
4) оформить приказы о назначении ответственных лиц и лиц, допущенных к обработке персональных данных;
5) разработать и утвердить ЛПА по защите персональных данных (политики организации в отношении обработки персональных данных и т.п.), а также формы документов в сфере защиты персональных данных (уведомления, согласия и т.д.);
6) ознакомить работников, имеющих право допуска к персональным данным и к их обработке, с утвержденными ЛПА;
7) обучить работников поручаемой работе;
8) обеспечить условия по защите персональных данных (мест хранения, допуска, техническую и криптографическую защиту персональных данных).
– Какие документы должны быть у субъекта хозяйствования для организации работы с персональными данными?
1) документ, определяющий политику оператора в отношении обработки персональных данных. Этот документ можно так и назвать – «Политика в отношении обработки персональных данных». С данным документом должны быть ознакомлены работники оператора;
2) ЛПА по вопросам обработки персональных данных:
- Положение об обработке персональных данных с формами документов об обеспечении безопасности персональных данных, об установлении порядка доступа к персональным данным и т.д.;
- перечни (персональных данных, которые обрабатываются в организации, должностей и лиц, допущенных к обработке персональных данных, применяемых средств защиты персональных данных и т.д.);
- должностные инструкции;
- приказы (об установлении лица (структурного подразделения), ответственного за осуществление внутреннего контроля за обработкой персональных данных, об утверждении перечней, о создании комиссии по уничтожению персональных данных и т.д.);
3) утвержденные формы документов (уведомление об обработке персональных данных, согласие субъекта персональных данных на обработку этих данных, обязательство о неразглашении персональных данных – для лиц, получивших в установленном порядке доступ к персональным данным, и т.д.);
4) договор между оператором и уполномоченным лицом (если обработка персональных данных ведется по поручению оператора).
– Как субъект персональных данных может выразить согласие на обработку персональных данных? Может ли это согласие быть отозвано?
– в письменной форме;
– в виде электронного документа;
– в иной электронной форме посредством:
- указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
- проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе;
- других способов, позволяющих установить факт получения согласия субъекта персональных данных.
Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие на обработку персональных данных. Отзыв согласия на обработку персональных данных может быть оформлен в виде заявления либо в форме, посредством которой получено его согласие. Заявление должно содержать ФИО, адрес места, жительства (места пребывания), дату рождения субъекта персональных данных, идентификационный номер либо номер документа,
Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Согласие получает оператор. Если оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Уполномоченное лицо несет ответственность перед оператором (ст. 7 Закона № 99-З).
Справочно:
перечень случаев, при которых не требуется согласие субъекта персональных данных на обработку персональных данных (за исключением специальных персональных данных), установлен в ст. 6 Закона № 99-З.
– Чем грозит нарушение законодательства о защите персональных данных?
Нарушение законодательства о защите персональных данных также может влечь уголовную ответственность:
– по ст. 203-1 «Незаконные действия в отношении информации о частной жизни и персональных данных» УК – в виде общественных работ, или штрафа, или ареста, или ограничения свободы, или лишения свободы;
– по ст. 203-2 «Несоблюдение мер обеспечения защиты персональных данных» УК – в виде штрафа, или лишения права занимать определенные должности или заниматься определенной деятельностью, или исправительных работ на срок до 1 года, или ареста, или ограничения свободы на срок до 2 лет, или лишения свободы на срок до 1 года.
Также в случаях нарушения работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных такой работник может быть уволен в соответствии с п. 10 части первой ст. 47 ТК.
Документы:
Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (Закон № 99-З).
Кодекс Республики Беларусь об административных правонарушениях (КоАП).
Редактор рекомендует:
Сейчас читают:
-
124
-
123
-
120
-
119
-
118
-
118
