Ведение бизнеса учитывает информацию о клиентах. Компании хранят, обрабатывают, предоставляют защиту персональным сведениям работников, партнеров, других лиц. Утечка или потеря персональных сведений может нанести серьезный ущерб как финансово, так, репутационно. Защита таких сведений обязательна. В условиях цифровизации экономики, увеличения удаленной идентификации требования к безопасному обращению, хранению, защите персональных сведений становятся все более строгими.
В Республике Беларусь был принят Закон № 99-З «О защите персональных данных», опубликованный 14 мая 2021 года, вступивший в силу 15 ноября 2021 года. Закон о защите личной информации устанавливает правила обработки, защиты персональных сведений. Он работает с любыми системами, если сведения подлежат доступу на основе картотеки, списка, базы информации.
До введения закона нормы, касающиеся защиты персональных данных, были разбросаны по законодательным актам. Это были нормы о защите личной информации. Это создавало трудности интерпретации. Принятие единого законопроекта стало шагом к упорядочению, стандартизации правил. Это важное событие укрепило правовые основы защиты граждан в Беларуси, создало более ясные границы для работы, защиты персональных сведений.
Рассмотрим нюансы закона о защите персональных данных.
Что такое персональные данные
Персональные сведения — это любая информация о человеке. Эти сведения можно разбить на две категории: общие, специальные.
К общим персональным сведениям относятся ФИО, номер телефона, дата рождения и т д. Эта информация используется, чтобы установить личность, требует строгой защиты.
К специальным персональным данным относят медицинскую, религиозную, политическую информацию. Также к таким данным входит информация об используемых IP-адресах, cookie-данные.
По следующим признакам можно понять является ли информация персональной:
- Идентификация конкретного лица. Фамилия, имя, отчество (ФИО), паспортные данные, если они принадлежат живому человеку, считаются персональными данными.
- Связь с конкретным лицом. Например, если вы владеете автомобилем определенной марки, модели, то информация о вас как о владельце этого автомобиля считается персональными данными. В то же время данные о модели машины, которая еще не продана, не являются персональными.
- Возможность выделения человека из группы. Если данные, такие как адрес проживания или место работы, позволяют установить личность человека, они считаются персональными. Если такие сведения записаны на бумаге, не дают возможности определить, о ком идет речь, то они не подходят под определение персональных данных.
С учетом стремительного развития технологий, к вопросам защиты персональных данных стали относиться также онлайн-идентификаторы (IP-адреса, файлы cookie), потому что они могут помочь в идентификации личности, а значит также подпадают под защиту закона о персональных данных.
Виды сведений о персоне
Есть четыре категории персональных сведений: общие, специальные, биометрические, иные.
- Общая информация — это информация об имени, дате, месте рождения, месте работы, контактах человека. С одной стороны, они требуют защиты, а с другой они легко доступны: например, их можно найти онлайн.
- Специальные — это данные о расе, политических, религиозных взглядах, вопросах здоровья, взаимоотношениях с законом. Такие аспекты жизни человека уже не найти в интернете.
- Биометрические. Эта категория охватывает физиологические, биологические данные. Например, это могут быть отпечатки пальцев. Если же фотография используется лишь для дополнения личного дела, такие данные не являются биометрическими.
- Иные данные. Часто их относят к другим категориям, но могут, выделять. Например, иногда в них включают сведения о социальном положении человека.
Специальные данные относятся к личной идентичности человека и, как правило, требуют большего внимания к сохранению данных. Иная информация представляет собой более обобщенные сведения, могут меняться во времени.
Требования при обработке, сборе, защите
В Беларуси регулирование сбора, обработки, защиты сведений требует соблюдения ряда важных принципов:
- Определение целей обработки, защиты. Прежде всего, необходимо ясно указать, для чего будут собираться, обрабатываться персональные данные. Например, это может быть трудоустройство, рассылка рекламы, т. д.
- Объем персональных сведений. Важно определить объем, который соответствует заявленным целям. При выполнении договора поставки не нужно запрашивать адрес электронной почты, если достаточно указать имя, фамилию, адрес доставки, контактный телефон. Если же электронная почта требуется для маркетинга, следует обозначить это как отдельную цель.
- Получение согласия. Исключения составляют случаи, прямо указанные в законе касающегося обработки, защиты данных. Согласие может быть получено в письменной форме через соответствующий документ или в электронной — через SMS-уведомление или отметку на сайте. Важно, чтобы формулировки о согласии были простыми и понятными. Например, использование фразы «продолжая оставаться на сайте, вы принимаете нашу политику» не является достаточно ясным. Согласие должно быть однозначным, четким. Идеально поставить отметку в графе, подтверждающей, что пользователь ознакомлен с «Политикой конфиденциальности», согласен с условиями обработки, защиты персональных сведений, изложенных в политике.
Перед согласием, пользователь информируется о деятельности бизнеса и собираемой информации. Также о целях ее обработки, защиты, объемах и сроках хранения. Вся эта информация должна быть в «Политике обработки и защиты» или «Политике конфиденциальности».
Права субъектов хозяйственного права
С принятием нового закона об обработки, защите данных клиенты, пользователи получают важные права, обеспечивающие их информационную безопасность, контроль. Они могут отозвать согласие на обработку, защиту персональных сведений в любой момент, что подтверждает их активное участие в процессе защиты своих персональных сведений. Права на получение персональных сведений о процессе обработки, защиты сведений, включая конкретные цели их использования, позволяют пользователям осознанно управлять публичной информацией о собственной персоне.
Среди ключевых прав также выделяется возможность внесения корректировок, что обеспечивает их актуальность, достоверность. Человек может запросить информацию о том, кому была передана его информация. Кроме того, он может попросить их удалить или обеспечить им большую безопасность.
Организации, задействованные в защите персональных сведений, обязаны строго выполнять указанные требования, предоставляя необходимую информацию в течение 15 дней. Запросы на получение сведений должны удовлетворяться не позже чем через 5 рабочих дней с момента их поступления. Новый закон существенно усиливает позиции субъектов сведений, подчеркивая важность их прав в современном цифровом мире.
Ответственность за нарушение закона о защите персональной информации
За неисполнение норм положения “О защите персональных данных” есть меры ответственности.
Административная ответственность за нарушение закона о защите данных:
- За незаконную работу с информацией может быть назначен штраф.
- За нарушение мер по работе , защите с персональной информацией также может быть назначен штраф, причем для юридических лиц он больше, чем для ИП.
- За несоблюдение требований указа об учете, защите персональных данных пользователей интернет-сервисов предусмотрен штраф от 5 до 15 базовых величин.
Гражданско-правовая ответственность включает обязательство компенсировать имущественный, моральный ущерб, возникающий в результате нарушения прав физического лица, защищенных законом о защите персональных сведений.
В рамках дисциплинарной ответственности нарушение процедур обработки, защиты может стать основанием для увольнения сотрудника (п. 10 ч. 1 ст. 47 ТК РБ).
Уголовная ответственность применяется в случаях, когда нарушение приводит к значительному ущербу.
Передача сведений третьим лицам
Передача сведений третьим лицам допустима в рамках установленных правовых норм о защите. Это может касаться передачи информации сотрудникам (бухгалтеру, маркетологу). Это касается и всех работающих по частным соглашениям, включающих положения о защите.
Обработка и защита требуют заключения договора с вовлеченными сторонами. В соглашении прописывается объем персональных сведений, цели использования. Детализируются действия, которые будут предприняты. Важно указать в договоре, меры, которые обеспечивают конфиденциальность, защиту персональных данных от запрещенного доступа.
Закон о защите персональных данных — важный инструмент в правах граждан на конфиденциальность, защиту их личных персональных сведений. Соответствие закону о защите личной информации способствует доверительным отношениям между организациями и клиентами. В условиях стремительного цифрового развития соблюдение положения об обработке, защиты персональных данных в РБ приоритет для организаций всех форм собственности. Рекомендуем внимательно изучать положения о защите персональных данных, что укрепит репутацию компании.
