1. Главная
  3. Ознакомление с Политикой в

Ознакомление с Политикой в отношении обработки персональных данных

Обязанность издать документы, определяющие политику в отношении обработки персональных данных (далее – Политика), и обеспечить к ним неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, закреплена абзацем третьим пункта 3 и пунктом 4 статьи 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон).

Это требование обязательно для операторов (уполномоченных лиц), являющихся:
юридическим лицом Республики Беларусь;
иностранным юридическим лицом, осуществляющим свою деятельность на территории Республики Беларусь посредством открытия филиала;
иной организацией;
физическим лицом, в том числе индивидуальным предпринимателем.

Политика должна давать представление о том, что происходит с личной информацией: разъяснять, кем, каким образом и для каких целей обрабатываются персональные данные, какие права в связи с этим есть у субъектов и каким образом можно их реализовать. Такая информация необходима для создания условий для осознанной реализации и защиты своих прав, в том числе возможности совершения свободного выбора: например, давать ли согласие на обработку персональных данных или отказаться, заключать ли договор с конкретной организацией или следует найти другую, более бережно относящуюся к личной информации своих клиентов, и т.д.

На что следует обратить внимание при ознакомлении с Политикой?

Цели обработки персональных данных

Для чего будет использоваться ваша личная информация ?

Для чего будет использоваться ваша личная информация ?

Конкретность цели является отправной точкой для понимания объема данных, необходимого для достижения цели. Некоторые операторы оправдывают нечетко сформулированной целью свое право запрашивать персональные данные в неограниченном объеме неограниченное число раз, что не соответствует требованиям Закона.

Не соответствуют критерию конкретности такие формулировки, как:

  • ”совершенствование деятельности организации“;
  • ”разработка новых услуг“;
  • ”достижение общественно значимых целей“;
  • ”реализация устава“ и т.д.

Примерами соответствующих критерию ”конкретности“ могут быть следующие цели:

  • ”осуществление рекламной рассылки с помощью Viber“;
  • ”участие в программе лояльности ”Умный подход“ с выдачей дисконтной карты“;
  • ”формирование, ведение и хранение личных дел работников“.

Обратите внимание: не допускается указание абстрактных или общих целей, которые не определяют пределов обработки и не позволяют понять, для чего будут обрабатываться ваши персональные данные.

Объем персональных данных

Какая конкретно информация о вас будет собираться, использоваться и храниться?

Какая конкретно информация о вас будет собираться, использоваться и храниться?

Операторы могут ожидать от вас значительное количество личной информации: фамилия, имя, отчество, номер мобильного телефона, адрес места жительства, должность и место работы, паспортные данные и т.д. Однако не всегда вся запрашиваемая информация действительно им нужна.

На практике довольно распространенным нарушением Закона является обработка личной информации ”с запасом“, ”на всякий случай“.

Разновидностями данного нарушения могут быть ситуации, когда:

  • обрабатываемые персональные данные не соответствуют заявленным целям, т.е. не влияют на их достижение;
  • персональные данные избыточны по отношению к заявленной цели, т.е. цель может быть достигнута с использованием меньшего перечня данных либо с использованием менее чувствительных их категорий.

Согласно пункту 5 статьи 4 Закона содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Например:

  • при заказе пиццы на самовывоз не требуется адрес места жительства;
  • не основано на законодательстве истребование копии паспорта при заключении трудового договора;
  • при онлайн-покупке одежды не требуется указание одновременно электронного адреса и номера телефона.

Обратите внимание: запрашиваемая о вас информация действительно должна быть необходима для достижения цели.

Правовые основания

На основании чего осуществляется обработка персональных данных (согласие или иное законное основание)?
Готовы ли вы дать согласие на обработку своих персональных данных для указанных в Политике целей?
Можно ли отказаться от цели, которая не является для вас значимой?

На основании чего осуществляется обработка персональных данных (согласие или иное законное основание)?<br> Готовы ли вы дать согласие на обработку своих персональных данных для указанных в Политике целей?<br> Можно ли отказаться от цели, которая не является для вас значимой?

Не допускается получать общее согласие на достижение всех целей. Если оператор заинтересован в получении согласия на несколько не связанных между собой целей обработки, то он может сделать это в одном документе, но обязан получать отдельное согласие на каждую цель.

Например:

  • создание и администрирование личного кабинета;
  • участие в программе лояльности;
  • участие в маркетиноговых исследованиях;
  • получение рекламной рассылки посредством SMS-сообщений.

При этом субъекту должна быть предоставлена возможность согласиться с одной целью и не соглашаться с другой (другими).

Обратите внимание: получение одного согласия на несколько целей является нарушением Закона (действует принцип ”одна цель – одно согласие“).

Срок обработки персональных данных

Как долго оператор будет обрабатывать вашу личную информацию?

Как долго оператор будет обрабатывать вашу личную информацию?

Не вызывает сомнений необходимость обработки персональных данных в процессе достижения цели обработки, а для определения срока хранения персональных данных после достижения цели (целей) оператор должен руководствоваться следующими правилами:

  • если срок хранения определен в законодательном акте (акте законодательства, принятом в развитие законодательного акта), то данные могут храниться в течение этого срока;
  • если срок хранения законодательно не установлен, то он определяется оператором самостоятельно с учетом требования пункта 8 статьи 4 Закона: хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

Срок должен быть конкретным, доступным и понятным для восприятия. Он может быть выражен конкретными датой, периодом времени либо критериями, используемыми для определения таких сроков.

Например:

  • ”до 31.12.2025“ (конкретная дата);
  • ”1 год с даты получения согласия“ (период);
  • ”в течение 6 месяцев с даты совершения последней покупки“ или ”в течение 1 года после авторизации на сайте“ (комбинированный).

Не допускается при определении сроков использование нечетких формулировок:

  • ”до отзыва согласия субъектом персональных данных“;
  • ”сроки устанавливаются законодательством“ и т.д.

Обратите внимание: хранение персональных данных может осуществляться не дольше, чем этого требуют заявленные цели обработки персональных данных.

Предоставление персональных данных уполномоченным лицам

Будут ли ваши личные данные передаваться в интересах оператора другим лицами и для каких целей?

Будут ли ваши личные данные передаваться в интересах оператора другим лицами и для каких целей?

Закон предусматривает право оператора привлекать для осуществления обработки персональных данных от его имени или в его интересах иных – уполномоченных – лиц. В качестве уполномоченных лиц могут выступать государственные органы, юридические лица Республики Беларусь, иные организации, физические лица, а правовым основанием такого поручения может являться акт законодательства, решение оператора-государственного органа или договор.

Примерами деятельности уполномоченных лиц могут быть осуществление рекламной рассылки в адрес клиентов оператора, предоставление услуг облачной инфраструктуры или технического обслуживания системы видеонаблюдения и т.д.

В случае если оператор поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), в Политике рекомендуется указывать:

  • наименование и местонахождение уполномоченного лица (уполномоченных лиц), а в случае их большого количества или динамичности договорных отношений – категории уполномоченных лиц. Некорректным при этом является использование таких формулировок как ”подрядчики“, ”партнеры“, ”контрагенты“ без указания конкретных сфер деятельности;
  • цели обработки и перечень персональных данных, для реализации которых привлекается уполномоченное лицо (уполномоченные лица).

Обратите внимание: если обработка поручается уполномоченному лицу (уполномоченным лицам), в Политике должны быть указаны соответствующие сведения.

Права субъекта персональных данных и механизм реализации

Какие права принадлежат вам как субъекту персональных данных? Понятен ли вам механизм реализации таких прав?

Какие права принадлежат вам как субъекту персональных данных? Понятен ли вам механизм реализации таких прав?

Субъекты персональных данных наделены широким кругом прав, которые принадлежат им вне зависимости от правового основания обработки персональных данных (на основании согласия либо без его получения).

К правам субъектов персональных данных, предусмотренным Законом, относятся:

  • право на отзыв согласия;
  • право на получение информации, касающейся обработки персональных данных;
  • право требовать внесения изменений в персональные данные;
  • право на получение информации о предоставлении персональных данных третьим лицам;
  • право требовать прекращения обработки персональных данных и (или) их удаления;
  • право на обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных;
  • право на возмещение морального вреда.

С информацией о правах субъекта персональных данных можно ознакомиться на соответствующей странице подраздела ”Гражданину“ раздела ”Защита персональных данных“.

Обратите внимание: Политика не должна возлагать на вас обязанности, не предусмотренные Законом (например, уведомление оператора об изменении персональных данных – это право, а не обязанность).

Ответственное лицо и способ связи с ним

К кому можно обратиться по вопросам обработки ваших персональных данных?

К кому можно обратиться по вопросам обработки ваших персональных данных?

Как правило, операторы заинтересованы в повышении лояльности клиентов и решении их вопросов без привлечения уполномоченных органов, в связи с чем предоставляют субъектам персональных данных возможность связаться со своим представителем для уточнения информации, связанной с обработкой персональных данных.

С этой целью в Политике указываются данные лица или структурного подразделения оператора, ответственного за осуществление внутреннего контроля за обработкой персональных данных (например, адрес электронной почты или контактный номер телефона).

Вы вправе обратиться к такому специалисту (в такое подразделение) за разъяснением вопросов, связанных с обработкой ваших персональных данных, в том числе за пояснением отдельных положений Политики, а также за содействием в реализации прав субъекта персональных данных.

Обратите внимание: при наличии вопросов, связанных с обработкой ваших персональных данных или реализации ваших прав, вы можете обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных у оператора, или в соответствующее структурное подразделение.

Помните! Если у вас есть сомнения в прозрачности обработки персональных данных или действительности указанных в Политике сведений, подумайте, стоит ли предоставлять свои данные такому оператору.