Защита персональных данных стала одной из ключевых тем в современном мире, особенно в условиях быстро развивающегося цифрового пространства. В последние годы вниманию правительств и организаций во всем мире стало все больше уделяться вопросам безопасного обращения с личной информацией. Одним из наиболее значительных шагов в этой области стало принятие Общего регламента по защите данных (GDPR) в Европейском Союзе, который определяет новые стандарты обращения с персональными данными. В Беларуси, находящейся между Востоком и Западом, вопросы реализации защиты личной информации также становятся все более актуальными. В данной статье мы рассмотрим основные аспекты защиты персональных данных, применения GDPR в Беларуси, а также проанализируем существующие законодательства, практические подходы и вызовы, с которыми сталкиваются компании в процессе обеспечения защиты персональных данных.
Защита персональных данных в Беларуси
Персональные данные в Беларуси — это любая информация, которая может быть связана с конкретным лицом и позволяет его идентифицировать. К таким данным относятся: имя, адрес, номер телефона, паспортные данные, информация о месте работы и прочие сведения, по которым можно идентифицировать физическое лицо.
Организации и государственные структуры обязаны обеспечивать защиту персональных данных граждан. Процедура защиты таких данных закреплена в требованиях государства — в Законе с ноября 2021 года.
Обработка персональных данных
К обработке персональных данных данных относятся любые действия с персональными данными, включая сбор, хранение, систематизацию, удаление персональных данных.
Защита персональных данных согласно GDPR
Общий регламент по защите данных (GDPR) определяет правила сбора и хранения личной информации граждан Европейского Союза. Он является обязательным для всех компаний, независимо от их местонахождения — как на территории ЕС, так и за его пределами, если они обрабатывают персональные данные граждан ЕС. Этот регламент вступил в силу в мае 2018 года.
Обработка персональных данных
К обработке персональных данных граждан Европейского Союза согласно GDPR относятся все действия с такими данными, включая их сбор, запись, структурирование, хранение, переработку, использование, передачу, уничтожение и другие операции. Согласно GDPR, к персональным данным относятся все идентификаторы, которые позволяют выявлять физических лиц в сети, такие как IP-адреса и cookies. Компании, которые работают с персональными данными граждан ЕС, должны адаптировать свои бизнес-процессы в соответствии с требованиями GDPR.
Как видим, к определению персональных данных и их обработки применяются одинаковые подходы в GDPR и в белорусском Законе «О защите персональных данных». Чтобы разобраться в таких подходах и принять практические меры для защиты персональных данных в соответствии с требованиями белорусского государства и GDPR, рекомендуем обратиться к опытным экспертам в сфере персональных данных.
Когда компаниям нужно руководствоваться GDPR, а когда — белорусским Законом
Не имеет значения, где расположена компания, обрабатывающая личные данные граждан Европейского Союза. Компании должны соблюдать требования GDPR, если они:
- Расположены на территории Евросоюза или за его пределами, но проводят деятельность, ориентированную на страны ЕС и при этом обрабатывают персональные данные физических лиц.
- Сотрудничают с партнерами из Евросоюза и получают личные данные пользователей.
- Собирают и анализируют информацию с территории Евросоюза и предоставляют товары и услуги его жителям.
- Являются уполномоченными лицами — обрабатывают персональные данные по поручению оператора, подпадающего под действие общего регламента о защите данных.
Требованиями белорусского государства о защите персональных данных должны руководствоваться все компании, которые обрабатывают персональные данные физических лиц на территории Беларуси.
Разобраться в вашей ситуации и применить к ней определенные требования по защите персональных данных можно на консультации у наших опытных специалистов в сфере защиты персональных данных.
Основания для обработки персональных данных в Беларуси
Обработка персональных данных в Беларуси по местным требованиям, как правило, допускается только с согласия самого субъекта (это физическое лицо, персональные данные которого обрабатывают), либо без согласия, если имеются законные основания согласно установленному перечню.
Без согласия субъекта его персональные данные можно обрабатывать в строго определенных случаях, к которым относится:
- Ведение судебных и других государственных процедур.
- Оформление на работу и в процессе работы.
- Для заключения договора с субъектом персональных данных его персональные данные можно обрабатывать в целях исполнения этого договора.
- Когда субъект персональных данных сам передал их оператору. Оператор — это компания или физическое лицо, которое обрабатывает персональные данные.
- Когда в обязанности оператора, определенные государством, входит обработка персональных данных.
Основания для обработки персональных данных по GDPR
Существует два типа оснований для обработки персональных данных граждан Евросоюза. Одно из них — это согласие гражданина, а другое — основание, когда получение согласия не является обязательным согласно GDPR. Согласие гражданина Евросоюза на обработку персональных данных не требуется, если персональные данные используются только для заключения договора с физическим лицом.
Во всех остальных случаях необходимо получить согласие гражданина Евросоюза на каждую операцию с его личными данными. Перед получением согласия, необходимо обеспечить доступ физическим лицам к информации о компании и целях обработки личных данных. Форма получения согласия на сайте может быть выражена, например, знаком в специальной форме на сайте или выбором технических настроек на сайте.
Кто в компании контролирует вопросы защиты персональных данных
Для обеспечения правильного применения GDPR и белорусских требований о защите персональных данных, оператор, владелец данных (например, заказчик программного обеспечения) назначает DPO (Data Protection Officer) — специалиста по защите персональных данных.
Этот профессионал отвечает за работу с запросами физических лиц и взаимодействие с контрольными органами. Согласно белорусским требованиям по защите личных данных, каждая компания, работающая с физическими лицами, обязана иметь специалистов по обработке персональных данных. В отличие от этого, для обработки персональных данных граждан Евросоюза нет столь строгого требования. Согласно GDPR DPO может быть как аутсорсинговым специалистом, так и сотрудником компании. DPO назначаются или нанимаются организациями:
- Обрабатывающими личные данные многочисленных граждан Евросоюза.
- Обрабатывающими большие объемы особых категорий персональных данных.
В белорусских компаниях, которые обрабатывают персональные данные граждан Евросоюза, DPO выполняет не только местные требования о защите персональных данных, но и требования Европейских регламентов.
Подобрать кандидатуру DPO не просто, но мы можем взять на себя такой подбор и обеспечить соответствие кандидата вашим требованиям и требованиям в сфере защиты персональных данных.
Органы-регуляторы в сфере защиты персональных данных
Регулирование защиты персональных данных со стороны государства конечно, отличается в Беларуси и в странах Европейского Союза. Технически европейские регуляторы в сфере защиты персональных данных могут штрафовать белорусские компании, которые нарушают требования GDPR при обработке персональных данных граждан Евросоюза. Также у европейских регуляторов есть другие способы влияния на компании, которые не выполняют требования GDPR.
Орган-регулятор в Беларуси
Государственный орган, который контролирует соблюдение операторами и уполномоченными лицами требований о защите персональных данных — это Национальный центр защиты персональных данных (НЦЗПД). НЦЗПД рассматривает жалобы субъектов в отношении нарушений при обработке их персональных данных.
С 1 января 2024 г. НЦЗПД ведет государственную базу данных ”Реестр операторов персональных данных“. Операторы включают в Реестр сведения об информационных ресурсах (системах), которые обрабатывают большие количества персональных данных, а также о ресурсах, с помощью которых обрабатывают биометрические и (или) генетические персональные данные.
Органы-регуляторы в Европейском союзе
К регуляторам в области персональных данных относятся государственные учреждения, в частности суды, в каждой стране Евросоюза.
Регулятор имеет право:
- Проверять соблюдение правил обработки персональных данных.
- Выдавать предупреждения и предписания для соблюдения GDPR.
- Устанавливать условия для трансграничной передачи персональных данных.
- Запрещать обработку персональных данных и штрафовать за нарушения GDPR.
В рамках Евросоюза контроль за данной областью осуществляет Европейский совет по защите персональных данных.
Как определить достаточность мер по защите персональных данных
Не существует универсального подхода, который бы подходил всем компаниям-операторам в отношении достаточности мер по защите персональных данных.
Каждая компания сталкивается с уникальными рисками, поэтому при проведении внутреннего контроля обработки персональных данных необходимо сопоставить предпринимаемые меры по их защите с рисками, характерными для данной компании. Такой подход называется «риск-ориентированным подходом». В случае обработки персональных данных граждан Европейского Союза белорусской компании нужно учитывать не только местные требования к защите персональных данных, но и риски, связанные с применением GDPR.
В ходе внутреннего контроля DPO может выявить риски, связанные с конкретными бизнес-процессами. Кроме того, риски могут быть обнаружены во время проверок со стороны Национального центра защиты персональных данных или в результате жалоб граждан на обработку их личной информации.
Соответствующие риски выявляет DPO компании. Опираясь на полученные данные, DPO информирует руководство компании о выявленных рисках, связанных с обработкой персональных данных, и предлагает дополнительные меры по снижению этих рисков, дополняя уже существующие способы защиты.
Свяжитесь с нами
Если у Вас возникли вопросы, связанные с защитой персональных данных в Беларуси — мы будем рады Вам помочь! Наш многолетний опыт в сфере корпоративного права поможет Вам в разрешении и урегулировании любых спорных ситуаций.
- +37529142-27-19 (WhatsApp, Viber, Telegram)
- info@ambylegal.by
