Обязательные меры по защите персональных данных в РБ

Какие обязательные меры защиты персональных данных установлены в Республике Беларусь?

Обработка персональных данных в Республике Беларусь с 15 ноября 2021 года регулируется Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон). Несмотря на сравнительно недавнее принятие, этот Закон стал важным нормативным ориентиром для всех организаций, работающих с персональными данными. Сфера действия охватывает как крупный бизнес, так и индивидуальных предпринимателей, образовательные и медицинские учреждения, IT-компании, госорганы и НКО. Однако практика показывает: большинство нарушений происходит из-за непонимания того, какие именно меры нужно принять для соблюдения Закона.

Что такое «персональные данные»? Согласно статьи 1 Закона № 99-З, персональные данные — это любая информация, относящаяся к идентифицированному физическому лицу либо к физическому лицу, которое может быть идентифицировано. Это определение охватывает широкий спектр сведений: от паспортных данных и телефонов до e-mail, IP-адресов и даже видео с камер наблюдения, если лицо на них распознаваемо.

Но как обеспечить реальную защиту таких данных, не ограничившись декларативной политикой на сайте?

Какие действия образуют обработку персональных данных?

Многие организации ошибочно полагают, что не обрабатывают персональные данные, если не ведут базы клиентов или не используют CRM-системы. Однако Закон трактует обработку чрезвычайно широко. В соответствии с абзацем 6 статьи 1 Закона, обработка — это любое действие или совокупность действий, совершаемых с персональными данными. Включая:

• сбор,
• систематизацию,
• хранение,
• изменение,
• использование,
• распространение,
• обезличивание,
• уничтожение.

Например, видеонаблюдение в офисе, получение резюме по e-mail, передача контактных данных подрядчику — всё это действия, образующие обработку персональных данных.

Значит ли это, что каждый бизнес обязан предпринимать какие-то специальные меры? Да. И далее — каковы они.

Что требует Закон от организаций?

Основные обязанности оператора изложены в статьях 5, 6, 8, 9, 10 и 16 Закона № 99-З. Однако наиболее обобщающие и операционные меры защиты сформулированы в статье 17. Эта статья указывает, что оператор обязан принимать правовые, организационные и технические меры, необходимые и достаточные для обеспечения выполнения требований по защите персональных данных.

Именно здесь кроется главный вызов для практики. Закон не содержит закрытого перечня таких мер. Он лишь говорит об их необходимости и возлагает на оператора бремя их подбора и реализации. А значит, каждый субъект должен самостоятельно оценить риски и внедрить систему защиты, соответствующую масштабу и специфике своей деятельности.

Почему важен риск-ориентированный подход?

Законодатель не приводит исчерпывающий список обязательных мероприятий, что делает крайне важным так называемый риск-ориентированный подход. Это означает, что каждая организация должна ответить на вопросы:

• какие персональные данные она обрабатывает (общедоступные, специальные, биометрические);
• в каких объемах и для каких целей;
• какова вероятность их утраты, несанкционированного доступа, изменения или уничтожения;
• кто имеет доступ к этим данным (внутренние сотрудники, внешние подрядчики);
• как осуществляется передача данных — по сети, на бумаге, через носители.

Ответы на эти вопросы позволяют выстроить индивидуальную систему защиты, включающую:

• разграничение прав доступа,
• аудит действий сотрудников,
• антивирусную защиту,
• шифрование каналов связи и многое другое.

Какова роль согласия субъекта персональных данных?

Одним из центральных элементов в правовом механизме защиты является получение информированного и добровольного согласия субъекта персональных данных на их обработку. Согласно статье 4 Закона, обработка допустима только при наличии правовых оснований, одним из которых является согласие субъекта. Исключения — установленные законом случаи (например, налоговый учет, ведение статистики).

Важно помнить, что согласие:

• должно быть конкретным, однозначным и информированным;
• может быть выражено в письменной форме, в том числе электронно (например, галочкой при регистрации);
• может быть отозвано субъектом в любое время (статья 5 Закона).

Реализация этих требований на практике требует тщательной настройки всех форм, договоров, заявлений и веб-интерфейсов.

Что такое оператор и уполномоченное лицо?

Согласно статьи 1 Закона, оператор — это юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных. Это может быть, как работодатель, так и подрядчик, получивший доступ к базе данных клиента.

Уполномоченное лицо — это тот, кто осуществляет обработку данных по поручению оператора. Например, бухгалтерская компания, которая обрабатывает зарплатную ведомость клиента. Между ними обязательно должно быть заключено соглашение об обработке персональных данных (ст. 7 Закона), в котором фиксируются цели, объем и меры защиты.

Какую ответственность несёт организация?

Нарушение требований закона влечет административную ответственность по статье 23.7 КоАП Республики Беларусь. Штраф для юридических лиц может достигать до 200 базовых величин. Кроме того, при нарушении прав субъекта возможны иски о компенсации морального вреда.

Особо стоит отметить, что контроль за соблюдением закона осуществляет уполномоченный орган по защите прав субъектов персональных данных, созданный на основании статьи 18 Закона. Это специализированный госорган (НЦЗПД), обладающий правом проводить проверки, выдавать предписания и даже приостанавливать обработку.

Как защититься от претензий? Практическая рекомендация

Изучение практики показывает: наиболее частыми проблемами становятся неправильно оформленные формы согласия, утечка данных через email-сервисы и халатность персонала.

Практический совет: проведите внутренний аудит обработки персональных данных, используя чек-лист соответствия статье 17 Закона. Он должен включать: перечень обрабатываемых ПД, основания, согласия, договоры с подрядчиками, меры защиты и документы.

Что показывает практика? Один важный прецедент

В одном из дел, рассмотренных судом общей юрисдикции Минска, установлено: работодатель передал медицинские данные сотрудника третьим лицам без согласия. Несмотря на то, что информация была запрошена другим работодателем по ошибке, суд признал это нарушением и обязал компенсировать моральный вред. Основание — отсутствие правового основания для обработки и передачи данных.

Это подтверждает важность внимательного подхода к каждой операции с персональными данными — даже если она кажется незначительной.

Какие выводы можно сделать?

Законодательство Республики Беларусь предъявляет высокие требования к организациям, работающим с персональными данными. Это требует комплексного подхода к правовой, организационной и технической защите. Каждая организация обязана сформировать систему обработки и защиты персональных данных с учетом специфики своей деятельности.

Без квалифицированной юридической поддержки реализовать это корректно и безопасно — задача, сопряжённая с рисками. Наша юридическая компания «Экономические споры» предлагает глубокую экспертизу в сфере защиты персональных данных. Мы помогаем организациям на всех этапах — от аудита до построения всей системы документации, обучения персонала и сопровождения проверок.

Наша команда включает опытных юристов со стажем 15–25 лет, с многолетним судебным опытом. Мы имеем офисы в Минске и Гродно, активно работаем с международными клиентами, говорим на английском и польском языках, и имеем партнёрские связи в более чем 40 странах.

Если ваша организация хочет обезопасить себя от претензий, обеспечить соответствие Закону и сформировать устойчивую систему защиты данных — оставьте заявку на консультацию через наш сайт. Мы гарантируем профессиональный подход и результат, проверенный более чем 1500 успешными кейсами.