CEO Meetup: Защита персональных данных с точки зрения ИТ компании

CEO Meetup: Защита персональных данных с точки зрения ИТ компании

CEO Meetup: Защита персональных данных с точки зрения ИТ компании

15 ноября вступили в силу основные положения закона о защите персональных данных. На встрече 30 ноября мы обсудили с юристом компании Legaltax Егором Кравченко, как эти нововведения коснутся ИТ отрасли, как компаниям грамотно выстроить свою работу с персональными данными и не попасть под административную или уголовную ответственность.

В нормативных актах персональные данные определяются как любая информация, относящаяся к идентифицированному физическому лицу или лицу, которое может быть идентифицировано. Речь идет как о прямых данных — фамилия, имя, адрес, номер паспорта, так и косвенных — IP адрес, cookies, геолокация и другие.

С чего начать

По мнению Егора Кравченко, начинать работу в компании необходимо с внутреннего аудита персональных данных — это поможет грамотно выстроить процессы.

Данные анализируются по критериям:

  • какие данные собираются и обрабатываются — по потокам, источникам, по целям, сколько хранятся и зачем;
  • где и как хранятся персональные данные — где находятся сервера, привлекаются ли подрядчики для хранения;
  • куда и кому передаются, кто имеет доступ к обрабатываемым данным, привлекаются ли третьи лица, например, платежные сервисы, провайдеры услуг и т.д.

Презентация спикера:

Эта информация доступна только для действующих членов Клуба.

Пожалуйста, авторизируйтесь.

Базовые требования к обработке персональных данных:

У компании должно быть основание для обработки. На первый план выходит согласие субъекта на обработку персональных данных. Конкретные случаи, когда согласие физического лица не требуется, указаны в статьях 6 и 8 (п. 2) Закона. Однако, если речь идет о работе с данными кандидатов в резюме, Егор Кравченко рекомендует получать согласие, хотя это и связано косвенно с трудовыми отношениями. Без согласия допускается обработка данных, которые субъект сам сделал общедоступными. Важно понимать, одни и те же персональные данные могут обрабатываться на разных основаниях.

Заранее заявленные цели обработки. Цели обязательно указываются в согласии, которое берется у физического лица, и прописываются во внутренних документах компании.

Минимизация данных. Объем обрабатываемых персональных данных зависит от целей, и организация не должна собирать больше данных, чем необходимо для достижения этой цели. Например, если необходимо сделать рассылку, то достаточно получить согласие на обработку e-mail адреса. Необоснованный сбор может расцениваться как нарушение базовых правил работы с ПД.

Ограниченность срока хранения. Данные должны храниться только до достижения цели их обработки. Если период хранения данных не закреплен в законодательстве, то сроки хранения компания определяет самостоятельно.

Чтобы соблюсти права субъектов персональных данных, нужно:

Получить информированное добровольное согласие. Человек должен знать цель сбора персональных данных, механизм обработки, сроки хранения, какие у него есть права и другое. Согласие можно получать как в письменном, так и в электронном виде.

Обучить ответственных сотрудников работе с персональными данными. Такое обучение компания может проводить как самостоятельно, так и в образовательных учреждениях. Исключение — компании, которые работают с большим массивом данных (более 10.000 физических лиц + сотрудники). Их ответственные должны проходить обучение в надзорном органе.

Если к обработке данных привлекаются третьи лица или осуществляется трансграничная передача, в договоре с подрядчиком обязательно указать:

  • цели обработки персональных данных;
  • действия, совершаемые с персональными данными;
  • обязательство о конфиденциальности;
  • меры по защите персональных данных (ст. 17 Закона).

Кто будет осуществлять контроль?

Некоторые нормы закона о защите персональных данных конкретизировал указ №422. В частности, определил деятельность надзорного органа — Национального центра защиты персональных данных.

Так, плановые/внеплановые проверки надзорный орган будет проводить на основании предписания до 20 (30) рабочих дней. Основание для внеплановой проверки — жалобы граждан на нарушения в работе с их персональными данными или неправомерное использование данных. Частота проведения плановых проверок: не чаще 1 раза в 2 года. Предполагается также проведение камеральных проверок и возможность заказа аудита компании.

Что нужно сделать в первую очередь: пошаговая инструкция

По мнению спикера, чтобы ИТ компании безболезненно адаптироваться к новому законодательству необходимо:

  • Опубликовать на сайте Политику защиты персональных данных.
  • Назначить приказом ответственное лицо/подразделение в компании.
  • Разработать должностную инструкцию для ответственного за работу с персональными данными.
  • Разработать формы согласия субъекта персональных данных и ознакомления его с правами.

На встрече Егор Кравченко подробно разобрал кейсы: как быть с видеонаблюдением арендодателя, нужно ли вносить изменения в должностные инструкции всех работников, которые имеют доступ к персональным данным, считается ли трансграничной передачей хранение персональных данных на сервисах (google, jira и т.д.) и другие.

Кроме того, компания Legaltax предоставила шаблоны стандартного пакета документов, необходимых организациям, которые собирают, хранят и обрабатывают личные данные пользователей (доступны зарегистрированным членам Клуба):

  1. Должностная инструкция ответственного за контроль персональных данных
  2. Форма согласия на обработку персональных данных
  3. Форма разъяснения последствий дачи согласия или отказа на обработку персональных данных
  4. Приказ о назначении ответственного за контроль обработки персональных данных
  5. Политика компании в отношении обработки персональных данных

Видеозапись встречи:

По техническим причинам опубликована запись 85% встречи. Благодарим за понимание.

Эта информация доступна только для действующих членов Клуба.

Пожалуйста, авторизируйтесь.

План встречи:

02.35 — ответственность за нарушение закона о защите персональных данных
07.30 — базовые требования к обработке персональных данных
11.50 — требования к получению согласия на обработку персональных данных
16.20 — обработка персональных данных без согласия
24.40 — обработка специальных персональных данных
29.00 — права субъектов данных
34.00 — обработка персональных данных третьими лицами
42.19 — какие меры нужно предпринять, чтобы соответствовать законодательству
45.40 — обучение работников
51.46 — дополнительные обязанности по Указу №422
56.42 — проверки
01.05.22 — вопросы и кейсы


Присоединяйтесь к Belarus IT Companies Clubгде мы объединяем экспортные ИТ компании Беларуси для сотрудничества, обмена опытом и важной информацией:

  • закрытое сообщество из 120+ владельцев и руководителей
  • обмен лидами и бенчем в Bench_Exchange
  • консультации для ваших бухгалтеров и юристов
  • регулярные встречи и отраслевые исследования