Специальные категории данных охватывают более чувствительную информацию, такую как медицинские записи, политические взгляды, религиозные убеждения, IP-адреса и файлы cookie.

Чтобы определить, являются ли данные персональными, спросите себя:

Идентифицируют ли они конкретного человека?

Имеют ли прямую связь с кем-то, например, с владельцем автомобиля?

Или позволяют выделить кого-то из толпы, как, например, домашний адрес или место работы?

С развитием технологий даже такие онлайн-маркеры, как IP-адреса и cookies, считаются персональными данными, поскольку могут использоваться для установления вашей личности. Поэтому современные законы о конфиденциальности распространяются и на них.

Кто защищает персональные данные в Республике Беларусь

К операторам персональных данных в Республике Беларусь относятся белорусские организации и индивидуальные предприниматели. Операторы обязаны организовать защиту персональных данных.

Операторы — это компании и лица, которые ведут бизнес и при этом обрабатывают персональные данные физических лиц сами или совместно с другими операторами. К обработке персональных данных относится любое действие с ними: сбор, систематизация, хранение, изменение, обезличивание, распространение, удаление персональных данных и др.

Споры в сфере персональных данных могут возникать между физическим лицом и оператором или между оператором и НЦЗПД.

Споры между физическим лицом и оператором

Такие споры чаще всего связаны с излишними персональными данными, которые оператор запрашивает у физического лица. Такие данные объективно не нужны для тех целей, для которых оператор собирает персональные данные. К примеру, для доставки товаров из интернет-магазина объективно не нужны данные об идентификационном номере физического лица или о его месте работы. Физическое лицо может пожаловаться на излишнюю обработку персональных данных самому оператору и потребовать удалить лишние персональные данные или направить жалобу в НЦЗПД. В последнем случае к оператору может прийти проверка и возможны штрафы.

Важно проверить и скорректировать, если нужно, перечень персональных данных и цели их обработки, которые компании прописывают в форме согласия на обработку персональных данных.

Споры между НЦЗПД и операторами

Такие споры могут возникнуть по итогам проверки требований к защите персональных данных в компании. Чаще всего споры связаны с утечкой персональных данных, их незащищенностью, распространением без согласия физических лиц.

Передача персональных данных третьим лицам допускается, но только в соответствии со строгими юридическими нормами. Обычно это касается передачи информации сотрудникам, таким как бухгалтеры или маркетологи, либо подрядчикам, работающим по договорам, содержащим чёткие условия защиты данных.

В любом случае, при обработке или передаче данных должен заключаться официальный договор. В нём необходимо указать, какие данные используются, с какой целью и какие конкретные меры предпринимает каждая сторона. Договор также должен предусматривать меры по обеспечению конфиденциальности и защите данных от несанкционированного доступа, чтобы все стороны соблюдали высокий уровень безопасности.

Правовые основания обработки

Обработка персональных данных возможна только при наличии законных оснований. Белорусское законодательство подробно определяет такие основания. В финансовой сфере обработка, как правило, основывается на одном из четырёх факторов: согласии субъекта; необходимости исполнения договора с этим лицом (например, при открытии банковского счёта); исполнении обязанностей, установленных законом; либо требованиях, связанных с национальной безопасностью, антикоррупционными и антиотмывочными мерами.

В центре этого процесса находятся два основных документа. Внутреннее положение об обработке персональных данных регулирует внутренние процессы, а Политика конфиденциальности, размещённая на сайте или в приложении, информирует клиентов и пользователей. В политике указывается, кто собирает и использует данные, какие данные обрабатываются, с какой целью и какие права есть у субъектов данных — а также, как ими воспользоваться.

Если обработка осуществляется на основании согласия, организация обязана заранее предоставить отдельную и чёткую информацию об этом. Просто сослаться на политику конфиденциальности недостаточно — человек должен получить конкретные сведения,  

Хранение персональных данных и ведение учета

Одним из главных правил обработки персональных данных является ограничение сроков хранения. Персональные данные должны храниться только столько, сколько необходимо для достижения цели их сбора. В Беларуси сроки хранения часто устанавливаются законом — например, постановлением Минюста о сроках хранения финансовых документов. Если закон не устанавливает конкретного срока, компания должна определить его самостоятельно.

Если же нарушение не привело к незаконной передаче, изменению, блокировке или удалению персональных данных, делающих невозможным доступ к ним, уведомление в НЦЗПД не требуется. Такой подход позволяет сосредоточить надзорные усилия на действительно значимых инцидентах.

Право на забвение

Согласно статье 28 Конституции Республики Беларусь, каждый имеет право на защиту от незаконного вмешательства в личную жизнь, в том числе в тайну переписки, телефонных разговоров и иных коммуникаций. В условиях стремительного развития технологий это право распространяется и на персональные данные, защищая их от несанкционированного использования в коммерческих или государственных целях.

Новая законодательная инициатива усиливает эту защиту, вводя полноценное «право быть забытым». Это означает, что человек может требовать удаления или исправления своих данных из баз, получать информацию об их использовании и возражать против определённых видов обработки. Это важный шаг к настоящему контролю над цифровым следом человека.

Персональные данные детей, родственников и умерших лиц

По мере того как автоматизированные технологии обработки данных проникают во все сферы жизни, конфиденциальность детей сталкивается с новыми рисками.

Законодательство Беларуси устанавливает чёткие принципы по сбору, обработке и защите персональных данных.
В первую очередь необходимо определить цель обработки данных — будь то приём сотрудников, рассылка маркетинговых материалов или администрирование договоров. Это позволяет собирать данные только по законным и чётко обозначенным основаниям.
Следующим шагом является объём собираемых данных. Он должен строго соответствовать заявленной цели. Например, при доставке товара нет необходимости запрашивать электронную почту, если достаточно имени, телефона и адреса. Если же e-mail требуется для маркетинга, эта цель должна быть обозначена отдельно.
Также обязательным является получение согласия, если только закон прямо не разрешает обработку без него. Согласие должно быть ясным, конкретным и понятным — этого нельзя добиться, разместив на сайте расплывчатую фразу вроде «продолжая пользоваться сайтом, вы принимаете нашу политику». Лучше использовать галочку или иное подтверждение того, что пользователь прочитал и согласен с Политикой конфиденциальности.
Перед тем как дать согласие, человек должен быть проинформирован о вашей деятельности, какие данные вы собираете, с какой целью, как долго вы их храните и какие меры принимаете для их защиты. Всё это должно быть изложено в понятной и заранее доступной Политике конфиденциальности или Политике обработки персональных данных.