Рубрики
Инструменты поиска
Сообщество
Избранное
Мой профиль
Войти
Материал помещен в архив
Разъяснения об обработке персональных данных при осуществлении деятельности субъектов малого предпринимательства
17.09.2025
Настоящие Разъяснения подготовлены на основании абзаца восьмого пункта 3 статьи 18 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных»
 |
Справочно Согласно части первой статьи 3 Закона Республики Беларусь от 1 июля 2010 г. № 148-З «О поддержке малого и среднего предпринимательства» к субъектам малого предпринимательства относятся: физические лица, осуществляющие индивидуальную предпринимательскую деятельность; малые организации - зарегистрированные в Республике Беларусь коммерческие организации со средней численностью работников за календарный год до 100 человек включительно. Формы индивидуальной предпринимательской деятельности определены в подпунктах 1-3 части первой пункта 1 статьи 22 Гражданского кодекса Республики Беларусь (далее - ГК), согласно которым гражданин вправе без образования юридического лица осуществлять индивидуальную предпринимательскую деятельность с момента: 1) государственной регистрации в качестве индивидуального предпринимателя; 2) уведомления налогового органа в соответствии с налоговым законодательством о применении особых режимов налогообложения для осуществления: самостоятельной профессиональной деятельности, при осуществлении которой гражданин не имеет нанимателя и не привлекает иных физических лиц по трудовым и (или) гражданско-правовым договорам; ремесленной деятельности в порядке и на условиях, определенных Президентом Республики Беларусь; 3) принятия решения районного исполнительного комитета об осуществлении гражданином деятельности по оказанию услуг в сфере агроэкотуризма в порядке и на условиях, определенных Президентом Республики Беларусь. |
Выстраивание субъектами малого предпринимательства надлежащей работы с персональными данными и принятие мер по их защите, обеспечение прав субъектов персональных данных (граждан) являются действенным инструментом повышения эффективности и конкурентоспособности бизнеса, формирования доверительного отношения граждан к качеству оказываемых услуг и выполняемых работ, снижения трудовых, материальных и технических затрат, а также минимизации рисков утечки персональных данных и, как следствие, финансовых и репутационных потерь (штрафы, приостановление деятельности, судебные иски со стороны пострадавших лиц, в том числе о возмещении материального и морального вреда, прямые убытки из-за оттока клиентов, потеря доверия со стороны клиентов, контрагентов, отзыв контрактов, потери рынка сбыта в связи с ухудшением репутации субъекта малого предпринимательства).
В свою очередь, затраты на устранение наступивших негативных последствий зачастую могут значительно превышать как временные, так и финансовые расходы субъекта малого предпринимательства на организацию и проведение превентивных мероприятий по защите информации.
Ниже приведены основные аспекты, которые необходимо учитывать при осуществлении деятельности, сопровождающейся обработкой персональных данных.
Национальным центром защиты персональных данных (далее - Центр) также разработан чек-лист по организации работы субъектов малого предпринимательства с персональными данными (приложение к настоящим Разъяснениям).
1. Понятие персональных данных
В силу абзаца девятого статьи 1 Закона персональными данными признается любая информация, относящаяся к идентифицированному физическому лицу (то есть гражданину) или лицу, которое может быть идентифицировано.
|
|
Справочно Например, к персональным данным можно отнести следующую информацию: фамилия, имя, отчество, место жительства, дата рождения, идентификационный номер, серия и номер паспорта; номер телефона физического лица, адрес его электронной почты, данные о его местоположении; IP-адрес компьютера, история поиска в браузере, история покупок; занимаемая должность, размер заработной платы работника, служебная характеристика; информация о болезнях, визитах к врачу; принадлежность имущества; данные аккаунтов в социальных сетях; информация об участии в программах лояльности, акциях и т. д.; номер банковского счета (банковской карты) и иные реквизиты, информация о платежах; фотографии, видео- и аудиозаписи, содержащие изображение или голос, и т. п. |
С учетом этого можно выделить два вида информации, которая может признаваться персональными данными:
информация, относящаяся к идентифицированному лицу;
информация, относящая к лицу, которое может быть идентифицировано.
Идентифицированным является лицо, личность которого уже известна, которое однозначно выделено среди иных лиц (оно известно, на него можно конкретно указать, установить контакт с данным лицом и т. п.).
Как правило, информация, относящаяся к идентифицированному лицу, это указание фамилии, собственного имени, отчества (если таковое имеется) лица в совокупности с другими данными, которые однозначно выделяют его среди иных лиц.
 |
Пример Если организация обрабатывает фамилию, имя гражданина, адрес его места жительства, эти персональные данные позволяют напрямую идентифицировать это лицо. |
Физическим лицом, которое может быть идентифицировано, признается лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности (абзац семнадцатый статьи 1 Закона).
В свою очередь, физическое лицо, которое может быть прямо определено, - это лицо, личность которого можно установить на основании имеющейся информации без использования дополнительных сведений (например, директор по маркетингу ОАО «Х» и др.).
Физическое лицо, которое может быть косвенно определено, - это лицо, личность которого нельзя установить на основании имеющейся информации, но это можно сделать путем объединения такой информации с иными располагаемыми сведениями или сведениями, которые могут быть получены из других источников.
|
|
Примеры а) Используя информацию о питомцах (кличка, история болезни), можно определить его владельца (при помощи личного кабинета гражданина, регистрационной карточки, фотографии или видео и т. д.). б) На основании информации, содержащейся в маркетинговой базе данных о местоположении, возрасте, потребительском поведении, можно установить конкретное физическое лицо (гражданина) даже при отсутствии информации о его имени, отчестве и фамилии. |
В работе с персональными данными необходимо также учитывать такие категории персональных данных, как:
общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов (т. е. кодексов, законов, декретов и указов Президента Республики Беларусь) (абзац седьмой статьи 1 Закона).
Соответственно, распространением персональных данных признаются действия, направленные на ознакомление с персональными данными неопределенного круга лиц (абзац одиннадцатый статьи 1 Закона).
|
|
Пример Общедоступными персональными данными являются: персональные данные, размещенные в открытом аккаунте в социальной сети; персональные данные, содержащиеся в резюме кандидата на трудоустройство, размещенном на сайте для поиска работы; сведения о руководителе и его заместителях на интернет-сайте организации в глобальной компьютерной сети Интернет (далее - сайт). |
При этом обращаем внимание, что не являются общедоступными персональные данные, предоставляемые субъектом оператору посредством заполнения формы обратной связи на сайте оператора. В данном случае факт распространения персональных данных отсутствует, так как субъект персональных данных предоставляет их непосредственно оператору и, соответственно, речь идет об обработке персональных данных, не относящихся к категории общедоступных;
специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
|
|
Пример Специальными персональными данными являются сведения, содержащиеся в больничных листках работников, о членстве в профессиональных союзах, сведения из единого государственного банка данных о правонарушениях. |
В отношении специальных персональных данных Закон устанавливает особый правовой режим, поскольку связанные с ними нарушения потенциально несут повышенный риск для прав и свобод человека.
2. Сфера действия Закона
Исходя из пункта 1 статьи 2 Закона, его действие распространяется на обработку персональных данных, осуществляемую операторами и уполномоченными лицами с использованием средств автоматизации (т. е. осуществляемую в электронной форме) и без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
Абзацем вторым пункта 2 статьи 2 Закона предусмотрено, что его действие не распространяется на отношения, касающиеся случаев обработки персональных данных физическими лицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью.
Указанные отношения регулируются законодательством об информации, информатизации и защите информации.
Согласно абзацу шестому статьи 1 Закона обработка персональных данных представляет собой любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Например, обработка персональных данных имеет место при:
получении организацией персональных данных потребителей при заполнении ими формы обратной связи на сайте;
направлении рекламной рассылки с использованием абонентского номера, адреса электронной почты;
съемке блогерами видеороликов на различную тематику с участием случайных граждан и их последующем размещении в социальных сетях;
публикации отзывов потребителей на сайте и (или) социальных сетях;
публикации снимков клиентов в портфолио в социальных сетях (например, в Instagram) и (или) на сайте;
использовании для хранения сведений о клиентах облачных хранилищ (Google Drive, Dropbox и т. п.);
осуществлении онлайн-записи клиентов через сервисы YClients, Telegram-бот, через директ социальной сети (ФИО, номер телефона, услуга, дата и время);
оформлении доставки клиентам; пересылке клиентами платежных реквизитов, паспортных данных и других сведений в мессенджерах;
направлении СМС- или Viber-напоминания об услуге (номер телефона, услуга, дата и время);
хранении договоров с клиентами; осуществлении аналитики онлайн-активности клиентов (история посещения сайтов, поисковых запросов, файлы cookie) и т. д.
|
|
Пример Индивидуальный предприниматель, осуществляющий деятельность по оказанию психологической помощи посредством индивидуальных консультаций, осуществляет обработку (сбор, использование, хранение) следующих персональных данных клиентов: фамилия, имя, отчество, номер телефона, адрес электронной почты и др. Кроме того, при оказании данного вида услуг возможна обработка специальных персональных данных (например, сведений, касающихся здоровья лица, обратившегося за получением психологической помощи). В случае если услуга оказывается с использованием видеоконференцсвязи, обрабатываются также такие персональные данные как видеоизображение лица и его голос. |
Обработкой с использованием средств автоматизации признаются любые действия с персональными данными, осуществляемые в электронной форме.
|
|
Пример Ведение маркетинговой базы данных, которая представляет собой хранящийся в электронном виде структурированный набор данных о потребителях и используемый для анализа и принятия маркетинговых решений на основании информации о них (возраст, предпочтения потребителей и др.). |
В предпринимательской деятельности организации, индивидуальные предприниматели и иные субъекты активно используют в качестве взаимодействия с потребителями такие инструменты, как сайт, социальные сети. При осуществлении деятельности посредством сайта, социальной сети операторы могут обрабатывать адрес места жительства (в случае предоставления оператору данных об адресе доставки), номер телефона, адрес электронной почты, историю заказов, информацию об участии в программах лояльности и акциях, поисковых запросах, файлы cookie и другие сведения о субъектах персональных данных. Такая обработка также является обработкой с использованием средств автоматизации и должна соответствовать требованиям Закона.
Закон распространяется также на обработку персональных данных, осуществляемую без использования средств автоматизации, если при этом персональные данные систематизированы и обеспечивается их поиск и (или) доступ к ним по определенным критериям.
|
|
Пример а) При ведении журналов регистрации инструктажей по охране труда по формам, установленным постановлением Министерства труда и социальной защиты Республики Беларусь от 28 ноября 2008 г. № 175 «О порядке обучения, стажировки, инструктажа и проверки знаний по вопросам охраны труда», в указанные журналы вносятся в том числе сведения о работниках (фамилия, инициалы лица, прошедшего инструктаж по охране труда, его должность (профессия) и др.). Систематизация записей в этих журналах осуществляется в соответствии с порядковым номером и датой проведения инструктажа по охране труда. б) При ведении организациями, индивидуальными предпринимателями книги замечаний и предложений по форме, утвержденной постановлением Совета Министров Республики Беларусь от 16 марта 2005 г. № 285 «О некоторых вопросах организации работы с книгой замечаний и предложений», в ней отражаются следующие сведения о гражданине: фамилия, собственное имя, отчество (если таковое имеется), адрес места жительства (места пребывания), контактный телефон, суть замечания или предложения. При этом систематизация записей осуществляется в соответствии с порядковым номером замечания и (или) предложения и датой его внесения. |
3. Понятие оператора и уполномоченного лица
Исходя из определения терминов «оператор» и «уполномоченное лицо», содержащихся в абзацах восьмом и шестнадцатом статьи 1 Закона, в качестве оператора или уполномоченного лица может выступать как организация (юридическое лицо), так и физическое лицо, осуществляющее обработку персональных данных, связанную с индивидуальной предпринимательской деятельностью.
|
|
Справочно Законом от 22 апреля 2024 г. № 365-З «Об изменении законов по вопросам предпринимательской деятельности» внесены изменения в статьи 1 и 22 ГК по вопросам предпринимательской деятельности. Согласно части второй пункта 1 статьи 1 ГК предпринимательская деятельность - это самостоятельная деятельность юридических и физических лиц, за исключением деятельности, указанной в части третьей данного пункта, осуществляемая ими в гражданском обороте от своего имени, на свой риск и под свою имущественную ответственность и направленная на систематическое получение прибыли от пользования имуществом, продажи вещей, произведенных, переработанных или приобретенных указанными лицами для продажи, а также от выполнения работ или оказания услуг, если эти работы или услуги предназначаются для реализации другим лицам и не используются для собственного потребления. |
Обработка персональных данных сопровождает деятельность любой организации, независимо от численности ее работников и вида осуществляемой деятельности. Соответственно, любая организация, от небольшого стартапа до крупного предприятия, должна соблюдать требования Закона. При этом не имеет значения наличие либо отсутствие коммерческой выгоды от обработки персональных данных, а также объем обрабатываемых персональных данных.
Вместе с тем отнесение юридического лица к числу малых организаций (со средней численностью работников за календарный год до 100 человек включительно) может предопределять наличие особенностей, связанных с организацией процесса обработки персональных данных, например, касающихся способа назначения лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, и др.
На физическое лицо действие Закона распространяется в случае, когда такое лицо осуществляет обработку персональных данных в связи со своей индивидуальной предпринимательской деятельностью. При этом неважно, зарегистрировано ли лицо в качестве индивидуального предпринимателя или осуществляет индивидуальную предпринимательскую деятельность в иных формах (в качестве лица, осуществляющего самостоятельную профессиональную деятельность (далее - самозанятый), деятельность по оказанию услуг в сфере агроэкотуризма (далее - субъект агроэкотуризма), ремесленную деятельность (далее - ремесленник)).
Таким образом, если физическое лицо обрабатывает персональные данные в рамках осуществления индивидуальной предпринимательской деятельности в качестве индивидуального предпринимателя, самозанятого, субъекта агроэкотуризма или ремесленника, оно также обязано соблюдать требования Закона.
Следует отметить, что одно и то же лицо может являться оператором в одних правоотношениях и уполномоченным лицом в других, в связи с чем вопрос об определении правового статуса такого лица подлежит рассмотрению в каждом конкретном случае.
|
|
Справочно В отличие от оператора, уполномоченное лицо не определяет ключевые параметры обработки персональных данных (цели и сроки обработки, объем обрабатываемых данных, круг лиц, которым предоставляются персональные данные), а действует от имени или в интересах оператора в соответствии с его поручениями, как правило, за вознаграждение. |
Распространенной практикой для небольших организаций, индивидуальных предпринимателей является передача части своих функций, связанных с обработкой персональных данных, на аутсорсинг другой организации (индивидуальному предпринимателю) (ведение бухгалтерского учета, системное администрирование локальной сети, транспортные услуги, IT-поддержка и т. п.).
В большинстве таких случаев исполнитель услуг действует в соответствии с инструкциями (поручениями, указаниями и т. п.) заказчика, закрепленными в договоре, от его имени или в его интересах. В подобных ситуациях заказчик выступает оператором, а исполнитель является уполномоченным лицом.
|
|
Примеры а) Организация занимается продажей мебели и ведет базу данных клиентов. В данном случае организация как оператор самостоятельно организует и осуществляет сбор сведений у клиентов (например, при заключении договоров), вносит соответствующие сведения в базу данных, пользуется такой базой, осуществляет при необходимости удаление персональных данных клиентов. При этом организация может хранить базу своих клиентов на сервере, арендованном у хостинг-провайдера, который будет выступать по отношению к ней уполномоченным лицом. б) Организация заключила гражданско-правовой договор с индивидуальным предпринимателем для оказания услуги по подготовке годового балансового отчета. Договором предусмотрено, что работа будет выполняться с использованием информационных ресурсов индивидуального предпринимателя, для чего ему будут предоставлены все необходимые документы. В данном случае индивидуального предпринимателя следует рассматривать в качестве уполномоченного лица, а организацию - в качестве оператора. |
Если организация или индивидуальный предприниматель планируют передать на аутсорсинг часть своих функций, связанных с обработкой персональных данных, то в обязательном порядке в договор с исполнителем необходимо включать положения, предусмотренные пунктом 1 статьи 7 Закона (цели обработки персональных данных; перечень действий, которые будут совершаться с персональными данными уполномоченным лицом; обязанности по соблюдению конфиденциальности персональных данных; меры по обеспечению защиты персональных данных в соответствии со статьей 17 Закона).
При этом обращаем внимание, что включение указанных положений в договор не освобождает оператора от ответственности за нарушение законодательства о персональных данных уполномоченным лицом (аутсорсинговой компанией). В связи с этим рекомендуется тщательно подходить к выбору уполномоченных лиц и привлекать к обработке персональных данных только тех из них, которые предоставляют достаточные гарантии принятия ими соответствующих правовых, организационных и технических мер для обеспечения обработки персональных данных в соответствии с требованиями Закона.
|
|
Справочно Более подробная информация об особенностях взаимодействия операторов и уполномоченных лиц, в том числе о конкретных положениях, подлежащих включению в Договор в соответствии с пунктом 1 статьи 7 Закона, содержится на сайте Центра. |
3.1. Индивидуальные предприниматели
Частью второй пункта 1 статьи 22 ГК определено, что при осуществлении индивидуальной предпринимательской деятельности в качестве индивидуального предпринимателя гражданин вправе осуществлять виды деятельности по перечню, определяемому Советом Министров Республики Беларусь.
Согласно части второй пункта 1 статьи 22 ГК индивидуальный предприниматель вправе привлекать не более трех физических лиц по трудовым и (или) гражданско-правовым договорам, предметом которых являются выполнение работ, оказание услуг, создание объектов интеллектуальной собственности. При обработке персональных данных этих физических лиц индивидуальный предприниматель является оператором.
Следует отметить, что с точки зрения законодательства о персональных данных не являются самостоятельными операторами или уполномоченными лицами физические лица, привлеченные оператором по трудовым и (или) гражданско-правовым договорам. Оператором в данном случае выступает непосредственно индивидуальный предприниматель, привлекший к работе этих физических лиц.
3.2. Самозанятые
Самозанятые в случае, если при выполнении работ они осуществляют обработку персональных данных с использованием средств автоматизации или без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.), с точки зрения Закона рассматриваются как операторы.
|
|
Примеры а) Репетитор в электронной форме или в бумажном журнале ведет учет своих учеников, их посещаемости, оплаты за обучение, направляет им задания на электронную почту. В данном случае в понимании Закона он является оператором, и на него в силу части первой статьи 2 распространяются требования Закона. б) Самозанятый выполняет по заказам потребителей покраску ограждений и хозяйственных построек. При этом используемые им сведения о заказчиках (имя, адрес) не обрабатываются с использованием средств автоматизации и не группируются по определенным критериям. На такую обработку персональных данных действие Закона не распространяется. в) Фотограф оказывает услуги по видео- и фотосъмке семейных событий. Несмотря на то, что фото- и видеоматериалы используются заказчиками услуг для личных целей, для лица, осуществляющего съемку, такая деятельность является самостоятельной профессиональной (т. е. фотограф имеет статус самозанятого). Следовательно, обработка персональных данных заказчиков фотографом должна осуществляться в соответствии с положениями Закона, а само это лицо в данном случае является оператором и несет обязанности по обеспечению защиты персональных данных, предусмотренные Законом. |
3.3. Блогеры
В настоящее время все большую популярность приобретает блогерская деятельность. Для привлечения целевой аудитории, завоевания ее доверия блогеры используют разные форматы контента: видео, фото, посты и др.
Физические лица, имеющие на различных интернет-платформах собственные блоги, при их монетизации получают доходы: продажа через блог своих услуг, размещение рекламы и др.
Если деятельность блогера направлена на систематическое получение прибыли и признается предпринимательской, это предопределяет необходимость регистрации в качестве индивидуального предпринимателя (часть вторая пункта 1 статьи 1 ГК, пункт 1 статьи 22 ГК).
В зависимости от особенностей деятельности блогеров они также могут осуществлять деятельность в качестве самозанятого (с применением особого налогового режима - уплатой налога на профессиональный доход).
Так, оказание услуг в сети Интернет относится к числу видов деятельности, разрешенных для осуществления в качестве самостоятельной профессиональной деятельности (пункт 16 перечня видов деятельности, разрешенных для осуществления в качестве самостоятельной профессиональной деятельности, содержащегося в приложении 2 к постановлению Совета Министров Республики Беларусь от 28 июня 2024 г. № 457 «О видах индивидуальной предпринимательской деятельности»
Таким образом, если речь идет о так называемом коммерческом блоге, обработка блогерами персональных данных связана с индивидуальной предпринимательской деятельностью, и, соответственно, блогер является оператором.
Распространенной является практика съемки блогерами видеороликов на различную тематику с участием случайных граждан (в том числе прохожих) и их последующего размещения в глобальной компьютерной сети Интернет.
Видеосъемка, хранение, редактирование и распространение блогерами видео в интернете являются видами обработки персональных данных, для которых требуется надлежащее правовое основание.
Если гражданин является основным объектом съемки, то обработка таких персональных данных, как фото- и видеоизображение этого лица (в том числе их распространение в социальных сетях) в рассматриваемом случае должна осуществляться исключительно с его согласия, полученного в соответствии со статьей 5 Закона.
3.4. Ремесленники
Ремесленники при реализации изготовленных ими товаров физическим лицам могут осуществлять обработку персональных данных потребителей, например, при пересылке товаров почтовым отправлением.
Кроме того, согласно пункту 9 Указа Президента Республики Беларусь от 21 августа 2024 г. № 328 «Об осуществлении физическими лицами ремесленной деятельности»
В указанных случаях ремесленники выступают в качестве операторов при обработке персональных данных своих клиентов, учеников, что предопределяет необходимость соблюдения ими требований Закона.
3.5. Субъекты агроэкотуризма
Данные операторы при осуществлении соответствующей деятельности обрабатывают, в частности, персональные данные физических лиц, являющихся потребителями услуг в сфере агроэкотуризма.
Кроме того, согласно части второй пункта 1 Указа Президента Республики Беларусь от 4 октября 2022 г. № 351 «О развитии агроэкотуризма»
4. Общие требования к обработке персональных данных
Закон закрепляет следующие общие требования к обработке персональных данных, которые обязаны соблюдать все операторы, в том числе субъекты малого предпринимательства:
1. Законность (пункт 1 статьи 4 Закона) - необходимость выполнения оператором (уполномоченным лицом) всех обязанностей, которые на него возлагаются Законом, а также учитывать положения отраслевого законодательства, регулирующего конкретный вид обработки.
|
|
Пример Оператор, являющийся самозанятым, не может ссылаться на наличие у него правовых оснований для обработки персональных данных в соответствии с Законом в рамках осуществления деятельности, которая не входит в перечень видов, разрешенных для осуществления в качестве самозанятого. |
2. Соразмерность и справедливость (пункт 2 статьи 4 Закона) - обработка должна быть соразмерна заявленным целям и обеспечивать на всех этапах обработки справедливое соотношение интересов всех заинтересованных лиц.
Обработку можно признать соразмерной, когда цель обработки «стоит» использованных для ее достижения персональных данных и без их обработки (иными методами) данная цель достигнута не будет или ее достижение будет серьезно затруднено.
|
|
Пример При заключении с организацией гражданско-правового договора на перевозку мебели обработка оператором таких персональных данных, как фамилия, имя, отчество (при его наличии), адрес места жительства, номер телефона гражданина объективно необходима для выполнения обязательств, вытекающих из заключенного договора. |
3. Наличие правового основания (пункт 3 статьи 4 Закона) - обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами.
|
|
Справочно Более подробная информация об основаниях обработки персональных данных изложена в разделе 5 настоящих Разъяснений. |
4. Ограничение цели (пункт 4 статьи 4 Закона) - обработка должна ограничиваться достижением конкретных, заранее заявленных законных целей, не допускается указание абстрактных или общих целей, которые не определяют пределов обработки и не позволяют субъекту персональных данных понять, для чего будут обрабатываться его персональные данные.
|
|
Пример Не соответствуют требованиям Закона такие формулировки целей обработки персональных данных, как «совершенствование деятельности организации», «разработка новых услуг», «реализация устава» и т. п. Соответствует указанному критерию, например, следующая формулировка цели: «публикация фото- и видеоизображения работника, иной информации о нем на сайте (указывается конкретный сайт, где будет размещена информация) в рамках новостного контента». |
5. Запрет избыточности (пункт 5 статьи 4 Закона) - содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки, такая обработка не должна осуществляться «с запасом», «на всякий случай».
|
|
Примеры избыточной обработки персональных данных а) Индивидуальный предприниматель при осуществлении деятельности по прокату свадебной обуви и аксессуаров изготавливает и хранит копию документа, удостоверяющего личность гражданина, обратившегося за данной услугой. б) Наниматель ежедневно проводит освидетельствование на предмет нахождения в состоянии алкогольного опьянения не только работников, выполняющих работы согласно утвержденным перечням работ (профессий рабочих) организации, при выполнении которых требуются предсменный (перед началом работы, смены) медицинский осмотр либо освидетельствование (например, работы по изготовлению и применению пиротехнических изделий), но и других работников, выполняющих работы, не включенные в эти перечни. в) При выдаче доверенности работнику организации на получение товарно-материальных ценностей в ней наряду с фамилией, собственным именем, отчеством, наименованием должности работника указываются данные документа, удостоверяющего личность работника, включая идентификационный номер, и адрес его места жительства. С более подробной информацией относительно объема персональных данных в доверенности можно ознакомиться на сайте Центра. г) Индивидуальный предприниматель при оказании услуг психологической помощи ведет аудио- и видеозапись консультаций. |
6. Прозрачность (пункт 6 статьи 4 Закона) - обеспечение прозрачности обработки персональных данных осуществляется посредством предоставления субъекту персональных данных в случаях, предусмотренных Законом, информации, касающейся обработки его персональных данных.
На реализацию этого требования направлено издание документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных (далее - Политика).
Кроме того, субъект персональных данных наделен рядом прав, обязывающих оператора предоставить ему информацию, касающуюся обработки персональных данных субъекта, а также о предоставлении его персональных данных третьим лицам.
|
|
Справочно Подробная информация о правах субъектов персональных данных содержится в разъяснениях законодательства о персональных данных (о праве субъекта персональных данных получать от оператора информацию о предоставлении своих персональных данных третьим лицам), размещенных на сайте Центра. |
7. Достоверность (пункт 7 статьи 4 Закона) - обеспечивается в том числе предоставлением субъекту персональных данных права на изменение персональных данных и права требовать прекращения их обработки и (или) удаления.
Оператор обязан также осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных по требованию Центра.
8. Ограничение хранения (пункт 8 статьи 4 Закона) - хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта не дольше, чем этого требуют заявленные цели обработки.
Если срок хранения установлен в законодательном акте (акте законодательства, принятом в развитие законодательного акта), персональные данные хранятся в течение этого срока, в ином случае такой срок определяется оператором.
|
|
Пример Оператор может отказать в удовлетворении запроса субъекта персональных данных об уничтожении гражданско-правового договора после его исполнения и об удалении его персональных данных, так как обязан хранить документы в течение установленного законом срока согласно законодательству об архивном деле и делопроизводстве. Сроки хранения договоров и сопутствующих документов определены в постановлении Министерства юстиции Республики Беларусь от 24 мая 2012 г. № 140 «О перечне типовых документов». |
Срок хранения персональных данных определяется оператором и отражается в Политике.
5. Правовые основания обработки персональных данных
В соответствии с частью первой пункта 3 статьи 4 Закона обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами.
Важно отметить, что согласие не является универсальным или обязательным условием для обработки персональных данных.
Случаи, когда для обработки персональных данных получение согласия не требуется, определены в статье 6 Закона, а в отношении специальных персональных данных - в пункте 2 статьи 8 Закона.
Таким образом, если обработка персональных данных осуществляется на одном из оснований, перечисленных в статье 6 и (или) пункте 2 статьи 8 Закона, получать согласие субъекта персональных данных на обработку его персональных данных (независимо от цели обработки) не требуется. Такое согласие является избыточной обработкой персональных данных и нарушением Закона, что влечет административную и иную ответственность согласно статье 19 Закона и иным законодательным актам.
5.1. Обработка персональных данных без согласия субъекта персональных данных
5.1.1. Обработка персональных данных в рамках трудовых (служебных) отношений
Получать согласие на обработку персональных данных не требуется, если обработка персональных данных осуществляется при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством (абзац восьмой статьи 6, абзац третий пункта 2 статьи 8 Закона).
Как отмечалось ранее, малые организации, а также физические лица, осуществляющие индивидуальную предпринимательскую деятельность (индивидуальные предприниматели, субъекты агроэкотуризма), выступают в качестве операторов при обработке персональных данных своих работников.
Так, например, при трудоустройстве работник заполняет ряд документов, предусмотренных законодательством. В указанной и иных подобных ситуациях правовым основанием обработки персональных данных работников является абзац восьмой статьи 6 Закона, а в отношении специальных персональных данных - абзац третий пункта 2 статьи 8 Закона.
Вместе с тем наниматель может осуществлять обработку персональных данных лиц как до оформления трудовых (служебных) отношений (при рассмотрении резюме соискателей на трудоустройство), так и после прекращения трудовых (служебных) отношений.
В таких случаях основания, указанные в абзаце восьмом статьи 6 и абзаце третьем пункта 2 статьи 8 Закона, не применяются и используются иные основания для обработки персональных данных в зависимости от конкретных обстоятельств (согласие; обработка персональных данных в целях выполнения обязанностей (полномочий), предусмотренных законодательными актами, и др.).
|
|
Справочно Подробная информация относительно особенностей обработки персональных данных в рамках трудовой (служебной) деятельности содержится на сайте Центра. |
5.1.2. Обработка персональных данных для целей исполнения гражданско-правового договора
Согласно абзацу пятнадцатому статьи 6 Закона получать согласие на обработку персональных данных не требуется, если обработка персональных данных осуществляется в связи с договором, заключенным (заключаемым) с субъектом персональных данных, в целях совершения действий, установленных этим договором.
Таким образом, если целью обработки персональных данных является заключение и (или) исполнение договора, например, в рамках осуществления индивидуальной предпринимательской деятельности, получать согласие субъекта персональных данных не требуется.
|
|
Пример Самозанятый в рамках мероприятий по обучению ораторскому мастерству осуществляет обработку персональных данных граждан (в частности, фамилии, имени, отчества). В данной ситуации целью такой обработки является заключение договора возмездного оказания услуг в рамках осуществления индивидуальной предпринимательской деятельности (самостоятельной профессиональной деятельности), поэтому правовым основанием такой обработки выступает абзац пятнадцатый статьи 6 Закона. |
При этом обработка персональных данных должна быть соразмерна заявленным целям обработки (пункт 2 статьи 4 Закона). Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (пункт 5 статьи 4 Закона).
Законодательством предусматривается необходимость включения в договор подряда с физическим лицом определенных условий (в частности, часть вторая пункта 1 статьи 402, пункт 1 статьи 656, часть первая пункта 1 статьи 662 ГК, подпункт 1.1 пункта 1 Указа Президента Республики Беларусь от 6 июля 2005 г. № 314 «О некоторых мерах по защите прав граждан, выполняющих работу по гражданско-правовым и трудовым договорам»
При определении объема обрабатываемых персональных данных необходимо учитывать цель заключаемого гражданско-правового договора, а также императивные требования законодательства, возлагающие на заказчика обязанности, в рамках выполнения которых правомерно истребование документов, содержащих персональные данные физического лица (страховое свидетельство государственного социального страхования, медицинская справка о состоянии здоровья и др.).
|
|
Пример Требование Указа № 314 о включении в договор подряда обязательства заказчика, предоставляющего работу гражданам по гражданско-правовым договорам, по уплате за них в установленном порядке обязательных страховых взносов на государственное социальное страхование в бюджет государственного внебюджетного фонда социальной защиты населения Республики Беларусь предопределяет необходимость истребовать у физического лица свидетельство государственного социального страхования (абзац третий подпункта 1.1 пункта 1 Указа № 314). |
Обработкой для целей исполнения договора являются, в частности, ситуации информирования (напоминания) граждан о предстоящем визите к специалисту (массажисту, парикмахеру, косметологу и т. п.) для оказания платной услуги независимо от способа такого информирования (смс-сообщение, звонок с помощью бота или иное).
Вместе с тем в случае обработки персональных данных физического лица в целях, которые напрямую не связаны с реализацией положений договора, для ее осуществления требуется иное правовое основание.
|
|
Пример Договор не может выступать правовым основанием обработки персональных данных для целей обработки номера телефона клиента с целью направления ему смс-сообщения для оценки качества оказанной услуги. |
Рассматриваемое основание (абзац пятнадцатый статьи 6 Закона) применяется как в случае обработки персональных данных на основании заключенного договора, так и на стадии его заключения. При этом на возможность применения данного основания не влияет тот факт, что в итоге договор с субъектом персональных данных может быть не заключен.
Обращаем внимание, что договор и согласие выступают самостоятельными правовыми основаниями обработки персональных данных, которые не должны смешиваться и подменять друг друга.
|
|
Примеры а) Между индивидуальным предпринимателем и физическим лицом заключен договор на изготовление надмогильной стелы. В одном из пунктов договора указано, что исполнитель имеет право размещать фото готовых изделий и объектов заказчика в средствах массовой информации, в печатных изданиях, на средствах наружной рекламы, в сети Интернет и в иных, не запрещенных Законом Республики Беларусь от 10 мая 2007 г. № 225-З «О рекламе» местах. Указанное положение договора представляет собой самостоятельную цель обработки персональных данных и не охватывается абзацем пятнадцатым статьи 6 Закона. Соответственно, при наличии объективной потребности в достижении подобных рекламных целей исполнителю следует обращаться к наследникам субъекта персональных данных или иным лицам, перечисленным в пункте 9 статьи 5 Закона, за получением отдельного от условий договора согласия с соблюдением требований, предусмотренных статьями 4 и 5 Закона. б) В публичном договоре на оказание услуг фотографа содержится пункт, предусматривающий право фотографа использовать полученные произведения в своем портфолио, выставках, на сайте, в социальных сетях и рекламе своих услуг на любых носителях. Такое положение влечет самостоятельную цель обработки персональных данных и абзац пятнадцатый статьи 6 Закона не может выступать надлежащим правовым основанием такой обработки. Правовым основанием обработки персональных данных в данном случае выступает согласие. |
Обращаем внимание, что Центром совместно с Министерством внутренних дел, Министерством юстиции и Министерством экономики прорабатывался вопрос правомерности изготовления и последующего хранения организациями и иными субъектами, осуществляющими обработку персональных данных, копий документов, удостоверяющих личность, при обращении к ним по различным вопросам, в том числе при заключении гражданско-правовых договоров.
По результатам выработана согласованная позиция, согласно которой с учетом объема персональных данных, содержащихся в документе, удостоверяющем личность, как правило, изготовление и хранение операторами копии этого документа влекут избыточную обработку персональных данных по отношению к заявленным целям (например, фотоизображения, сведений о гражданстве, сроке действия документа, удостоверяющего личность, дате и месте рождения и т. п.), что нарушает требования статьи 4 Закона.
Учитывая изложенное, изготовление и приобщение к пакету документов копии документа, удостоверяющего личность, могут иметь место только в случае, если это предусмотрено законодательством.
|
|
Справочно Подробная информация по данному вопросу содержится на сайте Центра. |
5.1.3. Обработка персональных данных в целях выполнения обязанностей (полномочий), предусмотренных законодательными актами
Согласно абзацу двадцатому статьи 6, а при обработке специальных персональных данных - абзацу семнадцатому пункта 2 статьи 8 Закона согласие субъекта персональных данных на их обработку не требуется в случаях, когда их обработка является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.
|
|
Пример Частью третьей пункта 9 Положения об осуществлении физическими лицами ремесленной деятельности, утвержденного Указом № 328, определен перечень сведений, подлежащих указанию в договоре об обучении ремесленной деятельности: фамилия, собственное имя, отчество (если таковое имеется), данные документа, удостоверяющего личность (вид документа, серия (при наличии) и номер, наименование либо код государственного органа, выдавшего документ, дата выдачи, регистрация по месту жительства и (или) месту пребывания) каждой из сторон и др. Такая обработка (в силу требований Указа № 328) осуществляется без согласия субъекта персональных данных на основании абзаца двадцатого статьи 6 Закона. |
Рассматриваемое правовое основание применяется и в том случае, если обязанности (полномочия) закреплены в законодательном акте, а порядок их реализации - в принятом в его развитие ином нормативном правовом акте.
|
|
Примеры а) Типовая форма договора на оказание субъектом агроэкотуризма услуг агроэкотуристам установлена постановлением Совета Министров Республики Беларусь от 9 декабря 2022 г. № 860 «О реализации Указа Президента Республики Беларусь от 4 октября 2022 г. № 351». Формой предусмотрено указание следующих сведений о физическом лице - заказчике: фамилия, собственное имя, отчество, а также место жительства. Обработка указанных персональных данных осуществляется оператором - субъектом агроэкотуризма без согласия субъекта персональных данных на основании абзаца двадцатого статьи 6 Закона. б) Согласно Налоговому кодексу Республики Беларусь (далее - НК) индивидуальные предприниматели, независимо от применяемого ими режима налогообложения, составляют первичные учетные документы по правилам, установленным законодательством для индивидуальных предпринимателей, ведущих учет доходов и расходов, если иное не установлено законодательством (пункт 4 статьи 336 НК). Такой порядок установлен Инструкцией о порядке ведения учета доходов и расходов, утвержденной постановлением Министерства по налогам и сборам от 30 января 2019 г. № 5 (далее - Инструкция), которой определены единые подходы в отношении документов, подтверждающих совершение хозяйственных операций, в том числе первичных учетных документов, а также основной перечень таких документов (пункт 1, подпункт 4.1 пункта 4, пункты 6 и 7 Инструкции). Так, согласно пункту 71 Инструкции при приобретении на территории Республики Беларусь товаров, сырья, материалов у физических лиц, не являющихся индивидуальными предпринимателями, за исключением применяющих налог на профессиональный доход, в качестве принимаемого к учету первичного учетного документа плательщиками применяется акт закупки товаров, сырья, материалов по форме согласно приложению 1, если иное не предусмотрено частью второй данного пункта. Обработка персональных данных, содержащихся в этом акте, осуществляется без согласия субъекта на основании абзаца двадцатого статьи 6 Закона. |
Важно также учитывать, что по смыслу Закона обработка персональных данных при заполнении форм договоров и иных документов, установленных законодательством (когда на оператора возложена обязанность их обрабатывать), не является избыточной обработкой и не соответствующей ее цели.
5.2. Обработка персональных данных на основании согласия
Согласие субъекта персональных данных является самостоятельным правовым основанием обработки персональных данных, отражающим принадлежность таких данных конкретному лицу и его возможность распоряжаться ими по своему усмотрению.
Закон определяет критерии, которым должно соответствовать согласие: свободное, однозначное, информированное.
Согласие является свободным, когда субъект самостоятельно, исходя из своего внутреннего убеждения, выражает свою волю в отношении обработки персональных данных.
Согласие не может быть признано свободным, если:
субъект персональных данных дает его под давлением обстоятельств, опасаясь либо предполагая ухудшение своего текущего положения или даже упущения возможности его улучшить;
оно не может быть отозвано без ущерба для субъекта персональных данных;
оно связано с принятием условий договора;
одно согласие получается для достижения нескольких самостоятельных целей (например, для осуществления рекламной рассылки и для передачи данных организациям-партнерам).
|
|
Пример Заказ и доставка товара в интернет-магазине не могут быть реализованы, пока субъект не даст согласие на использование адреса электронной почты для осуществления рекламной рассылки. Отказ субъекта персональных данных от дачи согласия на рекламную рассылку не должен быть препятствием для покупки товара в интернет-магазине и получения услуги по его доставке. |
|
|
Справочно Подробная информация о правовых основаниях при направлении рекламной рассылки с использованием абонентского номера, адреса электронной почты содержится на сайте Центра. |
В случае объективной потребности в получении согласия на достижение нескольких целей оператору следует обращаться к субъекту персональных данных за получением отдельного согласия на каждую из них (принцип «одна цель - одно согласие»). При этом субъект персональных данных вправе давать свое согласие исключительно на те цели, которые посчитает нужными.
Согласие является однозначным, когда дается путем совершения четкого намеренного действия. Факт дачи согласия не должен быть предметом допущений, а должен следовать из конкретных действий субъекта, свидетельствующих об этом. Молчание или бездействие субъекта персональных данных, даже если такое поведение в соответствии с изданными оператором документами, определяющими политику в отношении обработки персональных данных, признается согласием, не удовлетворяет критерию однозначности.
|
|
Пример Не соответствует критерию однозначности, например, следующая модель получения согласия: «Соглашаясь на съемку, Вы также даете согласие на публикацию фотографий в социальных сетях фотографа». |
Чтобы согласие было информированным, оператору необходимо до его получения соблюсти обязанность по предоставлению субъекту персональных данных информации, содержащейся в пункте 5 статьи 5 Закона (о целях обработки, об обрабатываемых данных, операторе и иных лицах, которые будут осуществлять обработку персональных данных, сроке обработки и другой необходимой информации), простым и ясным языком разъяснить гражданину его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия или отказа в даче такого согласия.
|
|
Справочно Требования к форме и содержанию согласия на обработку персональных данных предусмотрены статьей 5 Закона. Для удобства операторов Центром разработана типовая форма согласия на обработку персональных данных. |
6. Частные случаи обработки персональных данных
6.1. Обработка персональных данных при использовании работником личного номера телефона для взаимодействия с клиентами
Для субъектов малого предпринимательства характерными являются ситуации использования работниками личных мобильных телефонов для связи с клиентами (например, курьер в интернет- магазине и т. д.).
В таких случаях на использование личного мобильного телефона работника нанимателю следует получить у него согласие, которое должно соответствовать требованиям статьи 5 Закона.
Для обеспечения свободного характера согласия в ситуации, когда наниматель получил отказ от работника, ему необходимо предусмотреть альтернативный вариант, например, предоставив работнику корпоративный номер мобильного телефона.
6.2. Обработка персональных данных при осуществлении видеонаблюдения
При применении систем видеонаблюдения происходит сбор и фиксация широкого спектра информации. Информация о физическом лице на видеозаписи относится к персональным данным, поскольку позволяет идентифицировать физическое лицо на основе его внешности, голоса или других специфических признаков. Таким образом, осуществление указанных действий является обработкой персональных данных.
Обработка персональных данных с использованием систем видеонаблюдения, равно как и любая другая обработка персональных данных, на которую распространяется Закон, должна осуществляться при наличии надлежащего правового основания. Таким правовым основанием может выступать согласие субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами и допускающих такую обработку без согласия.
|
|
Пример Физическое лицо, предоставляющее квартиру на выходные дни и иные периоды краткосрочного проживания, установило в квартире камеры видеонаблюдения. Осуществление видеонаблюдения за лицами, пребывающими (проживающими) в этой квартире, может осуществляться только с согласия этих лиц, которое должно быть получено в соответствии с требованиями статьи 5 Закона. |
|
|
Справочно С более подробной информацией о видеонаблюдении в многоквартирных жилых домах можно ознакомиться на сайте Центра. |
6.3. Трансграничная передача персональных данных
Согласно абзацу четырнадцатому статьи 1 Закона трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства.
Например, трансграничная передача персональных данных имеет место при:
хранении сведений о клиентах на серверах, размещенных за пределами Республики Беларусь (Google Drive, Dropbox, iCloud, Яндекс Диск и др.);
передаче персональных данных партнеру, находящемуся в иностранном государстве;
использовании для передачи персональных данных иностранных мессенджеров и электронной почты вне белорусской доменной зоны (Viber, Telegram, WhatsApp, Gmail и др.);
публикации фотоизображений и иных персональных данных клиентов на сайте и в социальных сетях (Instagram, TikTok и др.);
предоставлении услуги бронирования отелей, других мест проживания и посещения для своих клиентов на время их пребывания в иностранном государстве;
предоставлении сведений о работниках по запросу иностранной организации;
использовании CRM (за исключением случаев использования субъектами малого предпринимательства коробочной версии, которая представляет собой локальную установку системы на сервере оператора);
предоставлении персональных данных гражданина для оказания медицинской помощи за рубежом;
осуществлении онлайн-записи через сервисы YClient, Telegram-бот и т. п., через директ социальной сети.
В деятельности субъектов малого предпринимательства распространено, в частности, использование сервисов Google (например, Google Таблицы и Google Формы) при обработке персональных данных своих работников и клиентов.
При использовании сервисов Google оператор осуществляет трансграничную передачу персональных данных и должен соблюдать требования пункта 1 статьи 9 Закона. При этом невозможно определить, в какую конкретно страну происходит трансграничная передача персональных данных и, соответственно, будет ли обеспечен надлежащий уровень защиты прав граждан.
Поэтому обработка персональных данных с использованием данных сервисов возможна на основании согласия субъектов персональных данных при условии разъяснения им рисков, связанных с трансграничной передачей персональных данных. Информирование о таких рисках осуществляется оператором.
Распространенной также является практика использования лицами, осуществляющими индивидуальную предпринимательскую деятельность, Telegram-ботов и других мессенджеров (Viber, WhatsApp и т. п.) для обработки персональных данных клиентов.
Обращаем внимание, что центр обработки данных Telegram размещается за пределами Республики Беларусь, а механизм его функционирования подразумевает трансграничный сбор и иные действия с личными данными без возможности оператора контролировать факты такой передачи на территорию в том числе иностранных государств, где не обеспечивается надлежащий уровень защиты прав субъектов персональных данных.
Соответственно, для обеспечения прозрачности такой обработки (пункт 6 статьи 4 Закона) следует информировать субъекта персональных данных (клиента) о возможных рисках, связанных с использованием Telegram и других аналогичных мессенджеров при обработке персональных данных.
Использование указанных мессенджеров должно носить исключительный характер, связанный, как правило, с выражением субъектом персональных данных желания его использовать.
В ином случае клиентам необходимо предоставить возможность использования удобных для них альтернативных каналов связи, которые не будут сопряжены с рисками, существующими при трансграничной передаче персональных данных в иностранные государства с ненадлежащим уровнем защиты прав субъектов персональных данных (например, посредством электронной почты в национальной доменной зоне, отечественных мессенджеров).
6.4. Обработка файлов cookie
Файлы cookie - неотъемлемая часть любого сайта, они обеспечивают не только его нормальное функционирование (обязательные технические), но и позволяют отслеживать действия пользователей, в том числе учитывать их при показе рекламных предложений (например, при формировании контекстной рекламы).
На основании анализа файлов cookie можно получить следующую информацию о субъекте персональных данных: индивидуальные настройки формата работы с сайтом (язык, город): логин и пароль; личные данные пользователя (паспортные данные, номер телефона и др.); информацию о потребительском поведении и предпочтениях (перемещения по сайту, клики на баннеры с рекламой и др.).
Если сайт обрабатывает только технические файлы cookie, получать согласие субъекта персональных данных (пользователя сайта) не требуется.
При этом получение согласия необходимо для сбора и иной обработки необязательных файлов cookie.
|
|
Справочно На основе мониторинга белорусских сайтов Центром выявлены типичные нарушения при создании cookie-баннеров: невозможность отказаться от сбора cookie-файлов (cookie-баннер содержит только кнопку «Ок», «Понятно», «Согласен» и т. п.); cookie-баннер содержит кнопки, которые позволяют согласиться или отказаться от сбора cookie-файлов, но доступ к контенту сайта невозможен без совершения выбора относительно сбора cookie-файлов; отсутствие политики обработки файлов cookie; отсутствие механизма отзыва согласия на обработку cookie-файлов; отказ от обработки cookie-файлов намеренно усложнен (например, согласие выражается в один «клик», а для отказа от обработки необходимо выбрать нужные опции в нескольких всплывающих один за одним cookie-баннерах); кнопка отказа от обработки трудноразличима, появляется на cookie-баннере спустя время (например, через 10 секунд). |
При посещении соответствующего интернет-ресурса перед пользователем должен появиться cookie-баннер с понятным информационным сообщением, например: «Для обеспечения удобства пользователей сайта используются cookies».
При этом важно, чтобы пользователю было так же легко отказаться от обработки файлов cookie, как и согласиться. Это значит, что на cookie-баннере должна быть предусмотрена не только кнопка «Принять», но и «Отклонить».
На cookie-баннере может также размещаться кнопка «Настроить»
При этом обращаем внимание, что противоречит принципу прозрачности обработки персональных данных использование «темных паттернов», например, выделение цветом, формой или размером кнопки «Дать согласие».
Оператору, обрабатывающему файлы cookie, необходимо разместить на сайте Политику в отношении обработки файлов cookie, которая должна находиться на уровне не ниже второго, или на главной странице сайта, или на странице, доступной с главной. Документ также может быть размещен в футере сайта, чтобы субъект персональных данных на любой странице мог его найти.
В Политике в отношении обработки файлов cookie оператор (владелец сайта) должен отразить, какие именно сведения собираются посредством файлов cookie, для каких целей, как и сколько времени они хранятся, передаются ли эти данные третьим лицам и др.
|
|
Справочно С формой Примерной политики в отношении обработки файлов cookie можно ознакомиться на сайте Центра в разделе «Портфель оператора» |
7. Меры по обеспечению защиты персональных данных
С учетом разных сфер деятельности операторов, масштабов, способов обработки и категорий персональных данных оператор (уполномоченное лицо) самостоятельно определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению их защиты.
При этом в пункте 3 статьи 17 Закона и подпункте 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных»
|
|
Справочно На сайте Центра в разделе «Портфель оператора» размещены примерные формы документов, которые следует принять оператору в целях реализации положений Закона. При адаптации этих форм к своему виду деятельности целесообразно обращаться к рекомендациям и разъяснениям Центра, размещенным в разделе «Методологические документы», а также к Алгоритму приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями Закона. |
Применительно к субъектам малого предпринимательства реализация отдельных обязательных мер имеет определенную специфику, изложенную далее (например, в части назначения лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, необходимости издания документа, определяющего политику оператора в отношении обработки персональных данных, и др.).
К обязательным мерам по обеспечению защиты персональных данных относятся:
7.1. Назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных
Данное требование установлено для всех организаций (юридических лиц) независимо от численности работников и (или) масштабов обработки персональных данных. Вместе с тем эти показатели могут оказывать влияние на способ назначения лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных:
возложение дополнительных функций на одного из работников;
назначение освобожденного работника;
возложение дополнительных функций на нескольких работников.
При этом избираемая модель должна соответствовать цели назначения такого лица и позволять ему выполнять возлагаемые на него функции.
Нередко на практике возникает вопрос о допустимости привлечения ответственного за осуществление внутреннего контроля за обработкой персональных данных по гражданско-правовому договору. В этой связи обращаем внимание, что, исходя из буквального прочтения абзаца второго пункта 3 статьи 17 Закона о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, передача полномочий по осуществлению внутреннего контроля сторонним физическим или юридическим лицам (на аутсорсинг) не соответствует требованиям Закона.
Вместе с тем не исключается возможность привлечения иных лиц на основании гражданско-правового договора для оказания содействия в выполнении отдельных функций ответственного за контроль (например, для разработки документов, определяющих политику в отношении обработки персональных данных, проведения обучения работников и иных лиц, непосредственно осуществляющих обработку персональных данных, по вопросам защиты персональных данных).
|
|
Справочно Более подробная информация относительно особенностей назначения лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, содержится в Постатейном комментарии к Закону на сайте Центра. |
На операторов (уполномоченных лиц), являющихся физическими лицами (индивидуальными предпринимателями, самозанятыми, ремесленниками и др.), обязанность по назначению лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, не распространяется.
7.2. Издание Политики
Обязанность по изданию Политики возложена Законом на юридических лиц и индивидуальных предпринимателей.
Для иных физических лиц, осуществляющих обработку персональных данных (самозанятые, ремесленники и др.), указанная мера не является обязательной.
Вместе с тем, если оператор (уполномоченное лицо), являющийся физическим лицом, осуществляет обработку большого объема персональных данных, для обеспечения прозрачности такой обработки разработка Политики рекомендуется.
|
|
Пример Субъект агроэкотуризма обрабатывает персональные данные большого количества агроэкотуристов, включая специальные персональные данные, касающиеся здоровья, для обеспечения надлежащих условий их размещения. |
Это позволяет повысить доверие граждан к деятельности оператора, минимизирует количество запросов об осуществлении им обработки персональных данных, а также способствует исключению (сокращению) спорных ситуаций по вопросам обработки персональных данных.
Кроме того, если операторы (уполномоченные лица), являющиеся физическими лицами, информируют граждан о своей деятельности и осуществляют обработку их персональных данных посредством сайтов, это предопределяет наличие на сайте Политики в отношении обработки файлов cookie.
|
|
Справочно Разъяснения по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также примерные формы политик (Примерная политика в отношении обработки персональных данных, Примерная политика в отношении обработки файлов cookie, Примерная политика в отношении обработки персональных данных в процессе трудовой деятельности, Примерная политика видеонаблюдения) размещены на сайте Центра. |
7.3. Ознакомление работников с положениями законодательства о персональных данных и внутренними документами, определяющими такую обработку, а также обучение персонала
Если субъект малого предпринимательства привлекает на работу по трудовому и (или) гражданско-правовому договору физических лиц, он обязан:
ознакомить их с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, а также Политикой.
Порядок ознакомления (ознакомление под роспись и др.) определяет сам оператор (уполномоченное лицо).
При отсутствии наемных работников или в случае осуществления индивидуальной предпринимательской деятельности в таких формах, как самостоятельная профессиональная деятельность, ремесленная деятельность, которые не предусматривают возможности привлечения иных лиц, ознакомиться с положениями законодательства о персональных данных должно непосредственно само лицо, осуществляющее соответствующий вид деятельности;
обучить указанных работников и иных лиц в порядке, установленном законодательством.
Операторы (уполномоченные лица) должны организовывать обучение не реже одного раза в 5 лет.
В отдельных случаях установлена обязанность прохождения обучения в Центре.
В частности, обучение в Центре должны проходить лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, выполняющие эти функции у операторов (уполномоченных лиц), организующих и (или) осуществляющих обработку персональных данных не менее 10 тыс. физических лиц, за исключением персональных данных работников этих операторов (уполномоченных лиц) в процессе осуществления трудовой (служебной) деятельности.
|
|
Справочно Категории лиц, обучаемых непосредственно в Центре, определены приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 194 «Об обучении по вопросам защиты персональных данных». С дополнительной информацией об обучении можно ознакомиться на сайте Центра. |
В остальных случаях обучение могут провести сами операторы (уполномоченные лица) собственными усилиями или с привлечением иных лиц.
После завершения обучения следует провести проверку уровня полученных знаний и навыков, а также оценить их применение в повседневной работе. Для этого могут быть использованы различные формы контроля, такие как собеседование, опрос, анкетирование, тестирование и другие подходящие методы.
7.4. Установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе)
При разработке порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), следует отразить различия в предоставлении такого доступа к документам в информационных ресурсах и к документам в бумажном виде.
Доступ к персональным данным, отраженным в документах в бумажном виде, можно ограничить посредством организации мест их хранения.
Доступ к персональным данным, обрабатываемым в информационных ресурсах (системах), может быть ограничен посредством настроек программного обеспечения. При этом в зависимости от программного обеспечения доступ может значительно отличаться. Максимально возможные права закрепляются за администратором этого программного обеспечения.
Нецелесообразно осуществлять распределение доступа работников оператора (уполномоченного лица) к персональным данным на поименной основе ввиду постоянного движения кадров.
Отсутствие указанного порядка приводит к получению доступа к персональным данным работниками, трудовая функция которых не связана с обработкой персональных данных (например, работники, осуществляющие техническое обслуживание здания), а также сторонних лиц.
|
|
Пример При посещении детьми развлекательных центров, батутных парков и т. п. одному из сопровождающих родителей предлагается заполнить форму, подтверждая тем самым согласие с правилами поведения и техники безопасности в соответствующем развлекательном комплексе. Форма предполагает указание персональных данных законного представителя ребенка (в частности, фамилии, собственного имени, отчества, абонентского номера и т. п.). При этом форма располагается в свободном доступе, и все иные посетители имеют возможность ознакомиться с ранее внесенными записями, содержащими персональные данные других лиц. Оператор, осуществляющий ведение формы, обязан обеспечить защиту обрабатываемых персональных данных предыдущих посетителей, заполнивших форму, приняв для этого необходимые меры (например, путем исключения формы из открытого доступа и сокрытия ранее внесенных записей при ее предоставлении для заполнения посетителями). |
7.5. Осуществление технической и криптографической защиты персональных данных
Правовые и организационные основы технической и криптографической защиты информации определены Положением о технической и криптографической защите информации, утвержденным Указом Президента Республики Беларусь от 16 апреля 2013 г. № 196.
Конкретные технические требования к защите информации, в том числе персональных данных, установлены Положением о технической и криптографической защите информации, распространение и (или) предоставление которой ограничено, не отнесенной в установленном порядке к государственным секретам, утвержденным приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66, и зависят от класса информационной системы.
Такая классификация, исходя из требований пункта 5 статьи 17 Закона, установлена приказом Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 12 «О классификации информационных ресурсов (систем)» и предусматривает разделение на информационные ресурсы (системы), содержащие:
общедоступные персональные данные;
специальные персональные данные (кроме биометрических и генетических персональных данных);
биометрические и генетические персональные данные;
персональные данные, не являющиеся общедоступными или специальными.
7.6. Иные меры, предусмотренные подпунктом 3.5 пункта 3 Указа № 422
Подпунктом 3.5 пункта 3 Указа № 422 установлена обязанность операторов - юридических лиц устанавливать и поддерживать в актуальном состоянии:
а) перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются;
б) категории персональных данных, подлежащих включению в такие ресурсы (системы):
общедоступные персональные данные;
специальные персональные данные (кроме биометрических и генетических персональных данных);
биометрические и генетические персональные данные;
персональные данные, не являющиеся общедоступными или специальными;
в) перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами;
г) срок хранения обрабатываемых персональных данных.
Данная обязанность не распространяется на операторов, являющихся физическими лицами, в том числе индивидуальными предпринимателями.
7.7. Внесение в Реестр операторов персональных данных (далее - Реестр) сведений об информационных ресурсах (системах), содержащих персональные данные
В Реестр включаются сведения об информационных ресурсах (системах), в которых обрабатываются персональные данные.
Указом № 422 установлена обязанность операторов вносить в Реестр сведения об информационных ресурсах (системах), содержащих персональные данные по соответствующим критериям, установленным приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 1 июня 2022 г. № 94 «О государственном информационном ресурсе "Реестр операторов персональных данных"»
В Реестр подлежат внесению сведения об информационных ресурсах (системах), посредством которых осуществляется:
трансграничная передача специальных персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных (за исключением случаев, предусмотренных абзацами пятым - седьмым пункта 1 статьи 9 Закона);
обработка биометрических и (или) генетических персональных данных;
обработка персональных данных более 100 тыс. физических лиц;
обработка персональных данных более 10 тыс. физических лиц, не достигших возраста шестнадцати лет (подпункт 1.1 пункта 1 приказа Оперативно-аналитического центра при Президенте Республики Беларусь от 1 июня 2022 г. № 94 «О государственном информационном ресурсе "Реестр операторов персональных данных"»).
|
|
Справочно Подробнее с информацией о Реестре можно ознакомиться на сайте Центра. |