Как законно работать с персональными данными: обзор изменений за 2022 год и чек-лист

В связи с принятием Закона Республики Беларусь «О защите персональных данных» от 7 мая 2021 г. № 99-З, который вступил в силу 15 ноября 2021 г. (далее – Закон), каждая организация начала проведение комплексной работы по изменению процессов обработки персональных данных с целью их приведения в соответствие с Законом. 

При этом, с момента принятия Закона и его вступления в силу, в законодательстве о защите персональных данных уже произошли определенные изменения. Так, Национальным центром защиты персональных данных (далее – НЦЗПД) подготовлены рекомендации и методические материалы, уточняющие и дополняющие положения Закона. Были внесены изменения в ряд актов законодательства. 

Важно следить за вносимыми дополнениями и изменениями, поскольку документы, подготовленные сразу после принятия Закона, могут быть уже неактуальны, и требовать дополнения или изменениям. 

В связи с этим юристы REVERA law group подготовили для вас обзор ключевых изменений, которые были приняты в 2022 году. А также мы обновили чек-лист по приведению в соответствие с Законом процессов обработки персональных данных в компании. 

1. НЦЗПД принял ряд методологических документов и рекомендаций

  1. Рекомендации по обработке персональных данных в связи с трудовой (служебной) деятельностью. В частности, в рекомендациях содержатся разъяснения по обработке персональных данных соискателей на трудоустройство, работников при оформлении трудовых (служебных) отношений, в процессе трудовой деятельности, близких родственников (членов семьи) работника, а также при предоставлении персональных данных работников (в т.ч. уволенных) третьим лицам.

    В 2022 году данные рекомендации уточнялись положениями об обработке персональных данных при реализации положений коллективного договора, а также при использовании системы видеонаблюдения.

    Более подробно о положениях рекомендаций вы можете почитать в подготовленном юристами команды REVERA обзоре по ссылке
     
  2. Рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных, в которых проводится разграничение между оператором и уполномоченным лицом. Правильное определение статуса организации при обработке персональных данных принципиально важно: от этого зависит правовое положение, характер обязанностей и степень ответственности, требования к наличию правовых оснований для обработки персональных данных субъектов персональных данных.

    Рекомендации определяют ключевые признаки оператора, уполномоченного лица, совместного оператора (сооператора), а также уточняют правовую основу отношений между оператором и уполномоченным лицом (в т.ч. определяют стандартные положения для включения в договор между оператором и уполномоченным лицом о поручении обработки персональных данных), их обязанности, а также ответственность за несоблюдение законодательства.

    Более подробно об основных тезисах рекомендаций вы можете прочитать в подготовленном юристами команды REVERA обзоре по ссылке.

2. Были внесены изменения в нормативные акты

  1. В целях согласования положений актов, регламентирующих отношения в сфере защиты персональных данных, внесены изменения в ряд законов. Изменения в основном носят «технический» характер. В частности, был установлен единый подход к определению «персональных данных» и форме получения согласия на обработку персональных данных.

    Подробно с обзором изменений, подготовленных юристами команды REVERA, можно ознакомить по ссылке
     
  2. Внесены изменения в постановление Министерства юстиции Республики Беларусь от 24 мая 2012 г. №140 «О перечне типовых документов». Изменения коснулись сроков хранения документов, а, соответственно, и сроков хранения персональных данных, содержащихся в таких документах. 
     
  3. Был издан приказ Директора НЦЗПД № 114, который дополнил список случаев, когда разрешена трансграничная передача данных. В частности, в перечень стран с надлежащим уровнем защиты помимо стран, ратифицировавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятую в г. Страсбурге 28 января 1981 г., включены также государства, являющиеся членами Евразийского экономического союза.  Кроме того, добавились новые основания, при которых разрешена трансграничная передача без необходимости получать дополнительное согласие.

3. НЦЗПД запустил курсы повышения квалификации по вопросам защиты персональных данных.

Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных» (далее – Указ), а также Приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12 октября 2021 г. «Об обучении по вопросам защиты персональных данных» (далее – Приказ) установлена обязанность операторов организовать повышение квалификации по вопросам защиты персональных данных следующих работников: 

  • лиц, ответственных за осуществление внутреннего контроля;
  • лиц, непосредственно осуществляющих обработку персональных данных. 

В Приказе перечислены случаи, когда лица, ответственные за осуществление внутреннего контроля, обязаны пройти соответствующее обучение по образовательной программе повышения квалификации руководящих работников и специалистов непосредственно в НЦЗПД.

Кроме того, Указом определено, что до 15 декабря каждого года в НЦЗПД требуется направить информацию о лицах, которым необходимо пройти обучение в НЦЗПД в следующем календарном году. 

Более подробно с содержанием курсов повышения квалификации вы можете ознакомиться по ссылке.

4. Введена обязанность оператора предоставлять в НЦЗПД информацию для её внесения в Реестр операторов персональных данных.

Оперативно-аналитическим центром при Президенте Республики Беларусь 1 июня 2022 г. принят приказ № 94 «О государственном информационном ресурсе «Реестр операторов персональных данных», которым определена обязанность операторов вносить в указанный Реестр сведения об информационных ресурсах (системах), посредством которых осуществляется:

  • трансграничная передача специальных персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, предусмотренных Законом;
  • обработка биометрических и (или) генетических персональных данных;
  • обработка персональных данных более 100 тыс. физических лиц;
  • обработка персональных данных более 10 тыс. физических лиц, не достигших возраста 16 лет.
ВАЖНО! Создание указанного Реестра планируется к 2024 году. Соответственно, информация должна быть предоставлена оператором или уполномоченным лицом не позднее 15 января 2024 г., в отношении информационного ресурса (системы), созданного (созданной) после 1 января 2024 г., – в течение десяти рабочих дней после ввода его (ее) в постоянную эксплуатацию.

5. НЦЗПД активно публикует ответы на поступающие от физических и юридических лиц вопросы по защите и обработке персональных данных.

В частности, НЦЗПД дал разъяснения по следующим вопросам: 

  • Распространение Закона на иностранные организации 

Так, требования Закона не распространяются на обработку персональных данных иностранной организацией за пределами Республики Беларусь. Однако действие Закона распространяется на иностранные организации, осуществляющие свою деятельность на территории Республики Беларусь через представительства, в части деятельности такого представительства. 

  • Дача согласия на обработку персональных данных по телефону. 

Согласно разъяснению НЦЗПД, свободное, однозначное, информированное согласие на обработку персональных данных не может быть получено в случае, если клиент остается на линии телефонной связи с оператором. Согласие является однозначным, когда дается путем совершения четкого намеренного действия. Правомерной альтернативой может стать дача согласия путем нажатия определенной кнопки телефона.

  • Правомерность получения копии паспорта. 

НЦЗПД отметил, что предъявить документ, удостоверяющий личность, – это одно, а требовать копию паспорта и хранить её – совсем другое. Так, правомерным будет получение копии паспорта при получении кредита, при оформлении визы и т.д. Недопустимо собирать копию паспорта при трудоустройстве на работу, возврате товара, при оказании/получении услуг. В рамках достижения указанных целей достаточно предъявления документа, удостоверяющего личность.

Ответы НЦЗПД на поступающие вопросы можно найти по ссылке, а также в телеграм-канале НЦЗПД.

Помимо этого, мы стараемся держать вас в курсе всех последних изменений в законодательстве по защите персональных данных. Так, подробные разъяснения, обзоры законодательства по вопросам защиты персональных данных юристов команды REVERA law group оперативно размещаются на сайте, в социальных сетях (телеграм-канал, LinkedIn, Facebook).

Если у вас остались какие-либо вопросы касательно правомерности обработки персональных данных или вам нужна помощь в подготовке документов, необходимых для каждого оператора, команда REVERA law group с учетом своего практического опыта поможет вам в этом!

Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения. 

Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/iiiihaaaa 

Читайте по теме

аналитические материалы

Определение статуса оператора и уполномоченного лица при обработке персональных данных

Определение статуса оператора и уполномоченного лица при обработке персональных данных новости

Изменение законов по вопросам обработки персональных данных

Изменение законов по вопросам обработки персональных данных новости

Рекомендации об обработке персональных данных в связи с трудовой (служебной) деятельностью

Рекомендации об обработке персональных данных в связи с трудовой (служебной) деятельностью