В ноябре 2021 года в Беларуси вступил в силу Закона «О защите персональных данных» (далее -ПД), значительно повлиявший на регулирование отношений по обработке ПД в e-commerce, IT-секторе и в трудовых отношениях.
ТОП 5 нововведений для бизнеса от GRATA International Belarus:
1. Каждая компания должна обеспечить защиту персональных данных. Новый закон взял за основу схожий GDPR подход к определению персональных данных – персональные данные эта любая информация, которая идентифицирует или может идентифицировать физическое лицо (например, не только ФИО, но и email, номер телефона, cookies, IP-адреса и иные идентификаторы).
В этой связи привычные для IT-сектора обрабатываемые данные об устройствах пользователей (локация, IDFA, Google Advertising ID) можно отнести к иным идентификаторам.
2. Выражение согласия на обработку персональных данных возможно путем проставления субъектам персональных данных соответствующей отметки на интернет-ресурсе. Автоматическое проставление «галочки» на таком ресурсе будет влечь нарушение законодательства, так как субъект не выразил свою волю свободно.
3. При указании на обработку персональных данных в документах следует внимательно относиться к тому, какие действия предполагается совершать по отношению к персональным данным. Например, если не предполагается их распространение, следует указать на это («будет осуществляться обработка персональных данных, за исключением распространения»).
4. Пользователи получают возможность на отзыв согласия, у них будет право на получение информации об обработке данных, право на внесение изменений в персональные данные, право на получение информации о предоставлении данных третьим лицам, право требовать удаления данных или прекращения их обработки.
5. Закон вводит понятия «оператора» и «уполномоченного лица», которые несколько схожи с концепцией data controller и data processor в GDPR. Так, оператор самостоятельно организует или осуществляет обработку персональных данных, а уполномоченное лицо обрабатывает их от имени или в интересах оператора, например, на основании договора с ним.
Важно! В договоре между оператором и уполномоченной третьей стороной должны быть указаны:
- цели обработки персональных данных;
- перечень действий, которые уполномоченное лицо будет совершать с персональными данными;
- обязательства по соблюдению конфиденциальности;
- меры по обеспечению защиты персональных данных.
Рекомендации:
В первую очередь руководителям компаний необходимо провести внутреннюю ревизию процессов обработки ПД: какие данные собираются, для каких целей, где и сколько хранятся, кому передаются, кто имеет доступ к персональным данным?
После чего начинается отдельный блок работ по обеспечению соответствия процессов обработки новым требованиям законодательства: согласие, договор, цель, политика, сроки обработки и хранения ПД.
Необходима консультация? Остались вопросы? Обращайтесь к нашим белорусским коллегам: minsk@gratanet.com
