15 ноября вступает в силу закон о защите персональных данных. Документ вводит ряд новых обязанностей для операторов персональных данных. Требования закона должны быть выполнены до времени вступления его в законную силу. Как подготовиться к этой дате, в ходе вебинара компании Active cloud рассказали ведущий юрисконсульт, сертифицированный специалист в области GDPR (сертификат GDPR DPP) Инга Ходорович, ведущий архитектор по информационной безопасности Антон Грецкий и специалист по работе с клиентами Татьяна Савицкая.
Что такое персональные данные? Закон вводит новое определение этого понятия, фактически, это любая информация, которая позволяет идентифицировать физическое лицо. Эта информация делится на 2 группы: в первую включена информация, которая может идентифицировать лицо сразу (паспортные данные, фамилия, имя, отчество физлица), во вторую - любая другая информация, которая позволяет идентифицировать человека потом, косвенно.
Относится ли к персональным данным адрес электронной почты физлица, ведь некоторые из них фактически могут содержать фамилию? Емэйл может относиться к такой информации, но с полной уверенностью это сказать нельзя, все зависит от правоприменительной практики, которая будет в Беларуси.
Чьи персональные данные обрабатывает компания
Компания обрабатывает персональные данные, принадлежащие трем группам лиц:
- работники и кандидаты на работу;
- самая большая группа персональных данных - клиенты компании. В эту категорию также попадают представители юридических лиц, потому что юрлица также являются клиентами компании;
- все остальные лица – партнеры, контрагенты, поставщики.
Основные субъекты закона о защите персональных данных
Основными субъектами закона о защите персональных данных являются:
- физлицо, в отношение которого осуществляется обработка персональных данных;
- оператор, это лицо, которая организует или осуществляет обработку персональных данных;
- уполномоченное лицо, это тот, кто обрабатывает персональные данные от имени и по поручению оператора.
Уполномоченным лицом в рамках норм белорусского законодательства будут являться сервисы, которые собирают и обрабатывают данные пользователей.
Например, интернет-магазин для того, чтобы понять, какую информацию собирают посетители сайта, подключил Google Analitics. Интернет-магазин в этом случае будет оператором персональных данных, он их собирает, а Google Analitics – уполномоченным лицом. Закон говорит, что между оператором и уполномоченным лицом должен быть заключен договор, им может быть договор оферты.
Но согласно белорусскому законодательству, в договоре должен быть определенный набор информации – цели обработки, меры для защиты персональных данных, меры по технической и криптографической защите информации. На сегодняшний день не понятно, нужно ли будет обязывать подобные сторонние сервисы защищать персональные данные белорусских пользователей.
Основания для обработки персональных данных
По общему правилу, обработка персональных данных осуществляется с согласия субъекта персональных данных, она не требуется в ряде исключений и в случаях, если обработка необходима для оформления трудовых отношений и исполнения договоров, выполнения обязанностей и полномочий.
Когда на работу устраивается лицо, согласно Трудовому кодексу, наниматель обязан запросить ряд данных – паспортные данные, трудовая книжка, свидетельство об образовании. Для обработки таких персональных данных не требуется согласие работника. Когда в процессе трудовой деятельности, например, болезнь работника, у нанимателя возникает обязанность хранить листки нетрудоспособности с данными о здоровье, относящимися к персональным данным, ему не нужно запрашивать согласие работника на эти действия. Однако если в процессе трудовой деятельности наниматель проводит анкетирование работников, размещает их фото в соцсетях, в таком случае это относится к действиям, не предусмотренным законодательством, следовательно, необходимо брать согласие работника на обработку его персональных данных.
Рис.: исключения в требованиях согласия на обработку данных, Active cloud
В законе указано, что согласие физлица на обработку данных должно быть свободным, однозначным, целевым и информированным. У субъекта должна быть возможность отказаться от дачи согласия, и этот отказ не должен влиять на заключение договора с юрлицом. В форме на согласие не должно быть скрытых подтекстов.
В части информированности физлица для получения согласия оператор обязан предоставить клиенту определенную информацию.
Рис.: чек-лист – информация для клиента для получения согласия на работу с персональными данными
Согласие на обработку персональных данных от клиента можно получить и в электронной форме: SMS, электронная почта, проставление отметок.
У оператора есть обязанность доказывания получения согласия субъекта на обработку персональных данных.
Рис.: формы получения согласия на работу с персональными данными
Руководство компании обязано обучить работников с правилами работы с персональными данными и ознакомить сотрудников с локальными данными, разработать политику работы с персональными данными, она должна быть общедоступна. Оно также должно установить порядок доступа к персональным данным, осуществить техническую и криптозащиту в порядке, определенном Оперативно-аналитическим центром при президенте (приказ №66).
Данные клиентов компании необходимо хранить в защищенной инфраструктуре, она должна быть аттестованная. Нельзя хранить данные в открытом доступе, к которому можно подключиться по открытым каналам. Если речь о бесплатных сервисах (например Dropbox), там хранить персональные данные клиентов нельзя.
Честен ли несовершеннолетний
Пока не сложилась правоприменительная практика, экспертам сложно ответить на вопрос, как получить согласие несовершеннолетних на обработку их персональных данных.
Закон устанавливает, что если субъект недееспособен, ограниченно дееспособен или не достиг 16 лет, то согласие на обработку дает один из его законных представителей. Если это делается офлайн, можно запросить паспорт или связаться с родителями, онлайн могут возникнуть проблемы. В Европе в этих случаях некоторые операторы запрашивают дату рождения, это является обязательным полем при заполнении соответствующей анкеты, если его оставить пустым, то дальше регистрация не идет. Некоторые призывают действовать добросовестно, и если данные о возрасте получены, то оператор уведомлен, что согласие дает представитель несовершеннолетнего. В Беларуси подобной практики нет, нужно ждать разъяснений уполномоченного органа.
Ритейл интересует вопрос, необходимо ли получать согласие клиента интернет-магазина, если он заключает с клиентом договор о розничной купле-продаже.
Получение согласия в этом случае не требуется, когда данные собираются для целей заключаемого договора. Несмотря на отсутствие согласия, собирать данные необходимо для исполнения договора. Если при заключении договора компания-продавец хотела бы договориться о рассылке, на это необходимо получать отдельное согласие. Отказ от рассылки не должен влиять на основной договор о покупке товара, поскольку согласие, согласно закону, должно быть свободным, ничем не обусловленным.
Может ли компания выполнять требования закона о защите персональных данных собственными силами или выгоднее дать выполнение этой задачи на аутсорс? По мнению экспертов, все зависит от того, есть ли в компании необходимые для этого технические средства и компетенция. Если техсредств нет, их нужно покупать, в этом случае правильным решением будет отдать этот вопрос на аутсорс, поскольку покупка может обойтись в сумму до 500 тыс долл. Если необходимое оборудование имеется, но нет компетенции, нужно оценить, сколько денег компания готова вложить в найм необходимых сотрудников. Тенденция последнего времени – рынок все больше переходит на аутсорс: в данном случае не нужно покупать и администрировать оборудование, искать людей, большое количество финансовых, организационных и технических вопросов передается на сторону.