CEO Meetup: Защита персональных данных с точки зрения ИТ-компании
15 ноября вступили в силу основные положения закона о защите персональных данных. На встрече 30 ноября мы обсудили с юристом компании Legaltax Егором Кравченко, как эти нововведения коснутся ИТ отрасли, как компаниям грамотно выстроить свою работу с персональными данными и не попасть под административную или уголовную ответственность.
В нормативных актах персональные данные определяются как любая информация, относящаяся к идентифицированному физическому лицу или лицу, которое может быть идентифицировано. Речь идет как о прямых данных — фамилия, имя, адрес, номер паспорта, так и косвенных — IP адрес, cookies, геолокация и другие.
С чего начать
По мнению Егора Кравченко, начинать работу в компании необходимо с внутреннего аудита персональных данных — это поможет грамотно выстроить процессы.
Данные анализируются по критериям:
- какие данные собираются и обрабатываются — по потокам, источникам, по целям, сколько хранятся и зачем;
- где и как хранятся персональные данные — где находятся сервера, привлекаются ли подрядчики для хранения;
- куда и кому передаются, кто имеет доступ к обрабатываемым данным, привлекаются ли третьи лица, например, платежные сервисы, провайдеры услуг и т.д.
Базовые требования к обработке персональных данных:
У компании должно быть основание для обработки. На первый план выходит согласие субъекта на обработку персональных данных. Конкретные случаи, когда согласие физического лица не требуется, указаны в статьях 6 и 8 (п. 2) Закона. Однако, если речь идет о работе с данными кандидатов в резюме, Егор Кравченко рекомендует получать согласие, хотя это и связано косвенно с трудовыми отношениями. Без согласия допускается обработка данных, которые субъект сам сделал общедоступными. Важно понимать, одни и те же персональные данные могут обрабатываться на разных основаниях.
Заранее заявленные цели обработки. Цели обязательно указываются в согласии, которое берется у физического лица, и прописываются во внутренних документах компании.
Минимизация данных. Объем обрабатываемых персональных данных зависит от целей, и организация не должна собирать больше данных, чем необходимо для достижения этой цели. Например, если необходимо сделать рассылку, то достаточно получить согласие на обработку e-mail адреса. Необоснованный сбор может расцениваться как нарушение базовых правил работы с ПД.
Ограниченность срока хранения. Данные должны храниться только до достижения цели их обработки. Если период хранения данных не закреплен в законодательстве, то сроки хранения компания определяет самостоятельно.
Чтобы соблюсти права субъектов персональных данных, нужно:
Получить информированное добровольное согласие. Человек должен знать цель сбора персональных данных, механизм обработки, сроки хранения, какие у него есть права и другое. Согласие можно получать как в письменном, так и в электронном виде.
Обучить ответственных сотрудников работе с персональными данными. Такое обучение компания может проводить как самостоятельно, так и в образовательных учреждениях. Исключение — компании, которые работают с большим массивом данных (более 10.000 физических лиц + сотрудники). Их ответственные должны проходить обучение в надзорном органе.
Если к обработке данных привлекаются третьи лица или осуществляется трансграничная передача, в договоре с подрядчиком обязательно указать:
- цели обработки персональных данных;
- действия, совершаемые с персональными данными;
- обязательство о конфиденциальности;
- меры по защите персональных данных (ст. 17 Закона).
Кто будет осуществлять контроль?
Некоторые нормы закона о защите персональных данных конкретизировал указ №422. В частности, определил деятельность надзорного органа — Национального центра защиты персональных данных.
Так, плановые/внеплановые проверки надзорный орган будет проводить на основании предписания до 20 (30) рабочих дней. Основание для внеплановой проверки — жалобы граждан на нарушения в работе с их персональными данными или неправомерное использование данных. Частота проведения плановых проверок: не чаще 1 раза в 2 года. Предполагается также проведение камеральных проверок и возможность заказа аудита компании.
Что нужно сделать в первую очередь: пошаговая инструкция
По мнению спикера, чтобы ИТ компании безболезненно адаптироваться к новому законодательству необходимо:
- Опубликовать на сайте Политику защиты персональных данных.
- Назначить приказом ответственное лицо/подразделение в компании.
- Разработать должностную инструкцию для ответственного за работу с персональными данными.
- Разработать формы согласия субъекта персональных данных и ознакомления его с правами.
На встрече Егор Кравченко подробно разобрал кейсы: как быть с видеонаблюдением арендодателя, нужно ли вносить изменения в должностные инструкции всех работников, которые имеют доступ к персональным данным, считается ли трансграничной передачей хранение персональных данных на сервисах (google, jira и т.д.) и другие.
Другие публикации по теме:
- Как проверить право подписи заказчика
- Что такое Non-Compete Agreement (NCA)?
- Беларусь как центр разработки — взгляд из Европы. Вопросы авторского права при разработке программного обеспечения
Присоединяйтесь к Belarus IT Companies Club, где мы объединяем экспортные ИТ компании Беларуси для сотрудничества, обмена опытом и важной информацией:
- закрытое сообщество из 200+ владельцев и руководителей
- обмен лидами и бенчем в Bench_Exchange
- консультации для ваших бухгалтеров и юристов
- регулярные встречи и отраслевые исследования