CEO Meetup: Защита персональных данных с точки зрения ИТ-компании

15 ноября вступили в силу основные положения закона о защите персональных данных. На встрече 30 ноября мы обсудили с юристом компании Legaltax Егором Кравченко, как эти нововведения коснутся ИТ отрасли, как компаниям грамотно выстроить свою работу с персональными данными и не попасть под административную или уголовную ответственность.

В нормативных актах персональные данные определяются как любая информация, относящаяся к идентифицированному физическому лицу или лицу, которое может быть идентифицировано. Речь идет как о прямых данных — фамилия, имя, адрес, номер паспорта, так и косвенных — IP адрес, cookies, геолокация и другие.

С чего начать

По мнению Егора Кравченко, начинать работу в компании необходимо с внутреннего аудита персональных данных — это поможет грамотно выстроить процессы.

Данные анализируются по критериям:

• какие данные собираются и обрабатываются — по потокам, источникам, по целям, сколько хранятся и зачем;
• где и как хранятся персональные данные — где находятся сервера, привлекаются ли подрядчики для хранения;
• куда и кому передаются, кто имеет доступ к обрабатываемым данным, привлекаются ли третьи лица, например, платежные сервисы, провайдеры услуг и т.д.

Базовые требования к обработке персональных данных:

У компании должно быть основание для обработки. На первый план выходит согласие субъекта на обработку персональных данных. Конкретные случаи, когда согласие физического лица не требуется, указаны в статьях 6 и 8 (п. 2) Закона. Однако, если речь идет о работе с данными кандидатов в резюме, Егор Кравченко рекомендует получать согласие, хотя это и связано косвенно с трудовыми отношениями. Без согласия допускается обработка данных, которые субъект сам сделал общедоступными. Важно понимать, одни и те же персональные данные могут обрабатываться на разных основаниях.

Заранее заявленные цели обработки. Цели обязательно указываются в согласии, которое берется у физического лица, и прописываются во внутренних документах компании.

Минимизация данных. Объем обрабатываемых персональных данных зависит от целей, и организация не должна собирать больше данных, чем необходимо для достижения этой цели. Например, если необходимо сделать рассылку, то достаточно получить согласие на обработку e-mail адреса. Необоснованный сбор может расцениваться как нарушение базовых правил работы с ПД.

Ограниченность срока хранения. Данные должны храниться только до достижения цели их обработки. Если период хранения данных не закреплен в законодательстве, то сроки хранения компания определяет самостоятельно.

Чтобы соблюсти права субъектов персональных данных, нужно:

Получить информированное добровольное согласие. Человек должен знать цель сбора персональных данных, механизм обработки, сроки хранения, какие у него есть права и другое. Согласие можно получать как в письменном, так и в электронном виде.

Обучить ответственных сотрудников работе с персональными данными. Такое обучение компания может проводить как самостоятельно, так и в образовательных учреждениях. Исключение — компании, которые работают с большим массивом данных (более 10.000 физических лиц + сотрудники). Их ответственные должны проходить обучение в надзорном органе.

Если к обработке данных привлекаются третьи лица или осуществляется трансграничная передача, в договоре с подрядчиком обязательно указать:

• цели обработки персональных данных;
• действия, совершаемые с персональными данными;
• обязательство о конфиденциальности;
• меры по защите персональных данных (ст. 17 Закона).

Кто будет осуществлять контроль?

Некоторые нормы закона о защите персональных данных конкретизировал указ №422. В частности, определил деятельность надзорного органа — Национального центра защиты персональных данных.

Так, плановые/внеплановые проверки надзорный орган будет проводить на основании предписания до 20 (30) рабочих дней. Основание для внеплановой проверки — жалобы граждан на нарушения в работе с их персональными данными или неправомерное использование данных. Частота проведения плановых проверок: не чаще 1 раза в 2 года. Предполагается также проведение камеральных проверок и возможность заказа аудита компании.

Что нужно сделать в первую очередь: пошаговая инструкция

По мнению спикера, чтобы ИТ компании безболезненно адаптироваться к новому законодательству необходимо:

• Опубликовать на сайте Политику защиты персональных данных.
• Назначить приказом ответственное лицо/подразделение в компании.
• Разработать должностную инструкцию для ответственного за работу с персональными данными.
• Разработать формы согласия субъекта персональных данных и ознакомления его с правами.

На встрече Егор Кравченко подробно разобрал кейсы: как быть с видеонаблюдением арендодателя, нужно ли вносить изменения в должностные инструкции всех работников, которые имеют доступ к персональным данным, считается ли трансграничной передачей хранение персональных данных на сервисах (google, jira и т.д.) и другие.

Другие публикации по теме:

• Как проверить право подписи заказчика
• Что такое Non-Compete Agreement (NCA)?
• Беларусь как центр разработки — взгляд из Европы. Вопросы авторского права при разработке программного обеспечения

Присоединяйтесь к Belarus IT Companies Club, где мы объединяем экспортные ИТ компании Беларуси для сотрудничества, обмена опытом и важной информацией:

• закрытое сообщество из 200+ владельцев и руководителей
• обмен лидами и бенчем в Bench_Exchange
• консультации для ваших бухгалтеров и юристов
• регулярные встречи и отраслевые исследования