Ответы на часто задаваемые вопросы

Закон о защите персональных данных не содержит требований к оформлению согласия в виде отдельного документа либо запрета на включение таких положений в текст договора.

В любом случае получаемое согласие должно соответствовать критериям свободного, однозначного и информированного (пункт 1 статьи 5 Закона о защите персональных данных).

При включении согласия в публичный договор оператором должна быть обеспечена возможность субъекту персональных данных выразить свое согласие путем совершения конкретного действия (например, проставление отметки в ”чек-боксе“) либо отказаться от такого действия.

Кроме того, до получения такого согласия оператор обязан предоставить субъекту персональных данных информацию, предусмотренную пунктом 5 статьи 5 Закона о защите персональных данных, в форме, соответствующей форме получения согласия.

Модель такого получения согласия не согласуется с требованиями Закона.

Согласие является однозначным, когда дается путем совершения четкого намеренного действия. Факт дачи согласия не должен быть предметом допущений, а должен следовать из конкретных действий субъекта, свидетельствующих об этом.

Молчание или бездействие субъекта персональных данных, даже если такое поведение в соответствии с изданными оператором документами, определяющими политику в отношении обработки персональных данных, будет признаваться согласием, не будет удовлетворять критерию однозначности согласия.

Исходя из положений статьи 64 Закона Республики Беларусь от 9 декабря 1992 г. № 2020-XII ”О хозяйственных обществах“ потенциальные инвесторы и иные заинтересованные лица вправе ознакомиться со списком аффилированных лиц хозяйственного общества в порядке, предусмотренном его уставом.

Получение согласий субъектов персональных данных в этом случае не требуется, поскольку такая обработка будет осуществляться на основании абзаца двадцатого статьи 6 Закона.

Если же уставом хозяйственного общества такая возможность
не предусмотрена, то предоставление списка аффилированных лиц может осуществляться только с согласия на соответствующую обработку персональных данных.

Обращаем внимание, что хозяйственное общество самостоятельно принимает решение о необходимости закрепления в своем уставе обязанности по предоставлению указанной информации потенциальным инвесторам и иным заинтересованным лицам.

Договор и согласие выступают самостоятельными правовыми основаниями обработки персональных данных, которые не должны смешиваться и подменять друг друга.

Согласие субъекта персональных данных на обработку его персональных данных не требуется при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором.

Указанные в договоре персональные данные, которые необходимы для совершения действий, установленных договором, обрабатываются без согласия субъекта персональных данных. Соответствующие положения не должны включаться в договор.

Конкретных норм, которые бы предусматривали оформление согласия на обработку персональных данных для достижения иных целей, не связанных с предметом договора (например, рекламная рассылка), в виде отдельного документа или запрещали включение соответствующих положений, например, в текст договора, Закон не содержит.

Вместе с тем в соответствии с пунктом 1 статьи 5 Закона согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных. Оценивая согласие на предмет его свободного характера, следует исходить из того, обладает ли гражданин реальным выбором давать свое согласие либо его согласие является вынужденным, например, в силу связанности согласия с достижением иной, желаемой для него цели.

Например, оператором в договор купли-продажи включены положения о том, что лицо, приобретая товар, дает согласие на предоставление своих персональных данных в целях предоставления рекламных рассылок. Рекламные рассылки не являются необходимыми для исполнения сторонами договора купли-продажи, и такое согласие не носит свободного характера и, соответственно, не будет признаваться юридически действительным.

Согласие будет считаться свободным, если субъект персональных данных обладает возможностью выбора – дать (например, проставив галочку) или не дать свое согласие независимо от заключения такого договора. При этом отсутствие такого согласия не влечет отказ в заключении договора.

В такой ситуации согласие может рассматриваться как ”свободное“.

Согласие должно быть информированным, то есть субъекту до начала обработки должна быть предоставлена информация, предусмотренная пунктом 5 статьи 5 Закона. Включая согласие в текст договора, и предусматривая возможность субъекту персональных данных выбрать, давать или не давать такое согласие, оператор должен в этом договоре предусмотреть и соответствующую информацию, что может привести к ”перегрузке“ договора.

Таким образом, несмотря на то, что законодательство о персональных данных не содержит запрета на включение в текст договора согласия на обработку персональных данных, использование данного подхода на практике может приводить к конфликтным ситуациям и затруднительности для оператора обосновать свободный характер полученного согласия.

Учитывая, что согласно статье 6 Закона договор и согласие на обработку персональных данных являются самостоятельными правовыми основаниями для обработки персональных данных, более предпочтительным видится оформление согласия на обработку персональных данных и предоставление необходимой информации, связанной с обработкой, в отдельном документе.

Согласие на обработку персональных данных может быть дано в письменной форме, в виде электронного документа (подписанного электронной цифровой подписью) или в иной электронной форме.

Согласие в виде электронного документа должно быть удостоверено электронной цифровой подписью, выработанной с использованием личного ключа, сертификат открытого ключа которого издан в Государственной системе управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь.

В иной электронной форме согласие на обработку персональных данных может быть дано посредством:

• указания (выбора) определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
• проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе;
• других способов, позволяющих установить факт получения согласия субъекта персональных данных.

Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие, подав оператору заявление.

Такое заявление может быть подано в письменной форме или в форме электронного документа и должно содержать:

• фамилию, собственное имя, отчество (если таковое имеется), адрес места жительства (места пребывания);
• дату рождения;
• идентификационный номер, при отсутствии такого номера – номер документа, удостоверяющего личность, в случаях, если эта информация указывалась при даче своего согласия оператору;
• изложение сути требований;
• вашу личную подпись либо электронную цифровую подпись субъекта персональных данных.

Кроме того, если согласие было получено в иной электронной форме (например, путем указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты либо проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе, а также других способов, позволяющих установить факт получения согласия субъекта персональных данных), то оператор обязан предоставить возможность для отзыва согласия в такой же форме (например, посредством проставления соответствующей отметки на интернет-ресурсе).

Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить субъекта персональных данных об этом, если отсутствуют иные правовые основания для таких действий с персональными данными.

При отсутствии технической возможности удаления персональных данных оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить субъекта персональных данных об этом в тот же срок.

Право на отзыв согласия субъекта персональных данных может быть реализовано только в том случае, когда правовым основанием обработки персональных данных выступает согласие субъекта персональных данных.

Обработка персональных данных в целях совершения действий, установленных в договоре, который заключен между субъектом персональных данных и оператором, осуществляется без согласия субъекта персональных данных. В этой связи правовые основания отзыва согласия отсутствуют.

До 15 ноября 2021 г. (вступление в силу Закона) сбор, обработка, хранение информации о частной жизни и персональных данных физического лица осуществлялось с его письменного согласия в соответствии со статьей 18 Закона Республики Беларусь от 10 ноября 2008 г. № 455-З ”Об информации, информатизации и защите информации“ (далее – Закон об информации, информатизации и защите информации).

С 15 ноября 2021 г. вступили в силу основные положения Закона, которыми существенно повышаются требования к порядку получения согласия и его содержанию, что направлено на дополнительную защиту прав физических лиц при обработке их персональных данных.

Однако в Законе не определены переходные положения, предусматривающие порядок распространения его действия на отношения, возникшие до вступления его в силу, в связи с чем при его применении на практике возможны следующие ситуации.

Учитывая положения статьи 66 Закона Республики Беларусь от 17 июля 2018 г. № 130-З ”О нормативных правовых актах“, если согласие было получено до вступления в силу Закона и соответствовало требованиям Закона об информации, информатизации и защите информации, такое согласие признается надлежащим для целей Закона, и получение нового согласия не требуется. При этом условия обработки таких персональных данных после 15 ноября 2021 г. должны соответствовать требованиям Закона.

В частности, если согласие являлось частью договора, заключенного до вступления в силу Закона, и касалось обработки персональных данных в рамках заключения (исполнения) договора, а информация, указанная в статье 5 Закона, не предоставлялась, то с 15 ноября 2021 г. дальнейшая обработка признается правомерной. Правовым основанием на такую обработку выступает абзац пятнадцатый статьи 6 Закона (обработка на основании договора, заключенного (заключаемого) с субъектом персональных данных).

Если согласие получалось также для иных целей (например, рекламных рассылок), то в части иных целей действует согласие, а в части обработки для заключения (исполнения) договора – основание, предусмотренное абзацем пятнадцатым статьи 6 Закона.

Если ранее полученное согласие не соответствовало Закону об информации, информатизации и защите информации (не соблюдена письменная или приравненная к ней форма) и в соответствии с Законом отсутствуют иные правовые основания для обработки персональных данных, то оператор должен либо получить согласие в соответствии с требованиями, установленными статьей 5 Закона, либо прекратить обработку и удалить персональные данные субъекта.

В случае, если до 15 ноября 2021 г. законодательством не предусматривалось возможности обработки персональных данных без согласия, и не было получено согласие, а после вступления в силу Закона обработка продолжается и подпадает под одно из оснований, предусмотренных статьей 6 Закона (например, обработка при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных), то такая обработка может вестись без согласия на основании соответствующих положений статьи 6 Закона.

Если до 15 ноября 2021 г. законодательством не предусматривалось возможности обработки персональных данных без согласия и согласие не было получено, а после вступления в силу Закона обработка продолжается и не подпадает под основания, предусмотренные статьей 6 Закона, то оператор должен либо получить согласие в соответствии с требованиями, установленными статьей 5 Закона, либо прекратить обработку и удалить персональные данные субъекта.

Вы вправе в любое время без объяснения причин отозвать свое согласие, подав оператору заявление.

Такое заявление может быть подано в письменной форме или в форме электронного документа и должно содержать:

• ваши ФИО,
• адрес места жительства (места пребывания);
• дату рождения;
• идентификационный номер, при отсутствии такого номера – номер документа, удостоверяющего личность, в случаях, если эта информация указывалась вами при даче своего согласия оператору;
• изложение сути ваших требований;
• вашу личную подпись либо электронную цифровую подпись.

Если согласие было получено в иной электронной форме, то оператор обязан предоставить возможность для отзыва согласия в такой же форме (например, посредством проставления соответствующей отметки на интернет-ресурсе).

Оператор обязан в 15-дневный срок прекратить обработку персональных данных, осуществить их удаление и уведомить вас об этом, если отсутствуют иные правовые основания для действий с вашими персональными данными.

В соответствии с пунктами 2 и 3 статьи 399 Гражданского кодекса предварительный договор заключается в форме, установленной законодательством для основного договора, а если форма основного договора не установлена, то в письменной форме. Несоблюдение правил о форме предварительного договора влечет его ничтожность. Кроме того, предварительный договор должен содержать условия, позволяющие установить предмет, а также другие существенные условия основного договора.

Так, согласно статье 22 Закона о туризме к существенным условиям договора оказания туристических услуг относятся, в том числе сведения о заказчике и о туристах, экскурсантах, которым оказываются туристические услуги.

В этой связи согласие на обработку персональных данных в рассматриваемой ситуации не требуется. Правовым основанием обработки данных заказчика и третьих лиц будет выступать абзац двадцатый статьи 6 или абзац семнадцатый пункта 2 статьи 8 Закона о защите персональных данных.

Такое размещение без согласия граждан допускается, когда изображение получено при проведении съемок в местах, открытых для свободного посещения, или на массовых мероприятиях (при условии, что такое изображение не является основным объектом использования), а также когда в соответствии с законодательными актами получение согласия на такую обработку изображения гражданина не требуется.

Если лицо, изображенное на фотографии, является основным объектом съемки (например, фото награждаемого работника, сопровождаемое информацией о нем), то в целях ее размещения в социальных сетях необходимо получить согласие такого лица.

В соответствии с частью первой пункта 3 статьи 4 Закона о защите персональных данных обработка персональных данных осуществляется
с согласия субъекта персональных данных, за исключением случаев, предусмотренных данным Законом. В частности, обработка персональных данных осуществляется без согласия субъекта персональных данных при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством (абзац восьмой статьи 6 Закона о защите персональных данных).

В соответствии со статьей 196 Трудового кодекса наниматель вправе поощрять работников. Виды поощрений работников за труд определяются коллективным договором, соглашением или правилами внутреннего трудового распорядка, а также уставами и положениями о дисциплине.

В этой связи случаи награждения работников грамотами, благодарностями, занесения работников на Доску Почета следует рассматривать как обработку персональных данных, осуществляемую на основании абзаца восьмого статьи 6 Закона о защите персональных данных.

Обработка личной информации работника (ей могут являться личные адреса электронной почты, номер мобильного телефона,  аккаунты в социальных сетях и т.п.), если такая обработка не связана с исполнением трудовых обязанностей,  не может рассматриваться как обработка персональных данных в процессе трудовой (служебной) деятельности в соответствии с абзацем восьмым статьи 6 и абзацем третьим пункта 2 статьи 8 Закона о защите персональных данных.

При отсутствии возможности предоставления работнику корпоративного (служебного) номера мобильного телефона, для использования личного номера мобильного телефона в служебных целях у нанимателя должно быть самостоятельное правовое основание, каковым может выступать согласие субъекта персональных данных.

В целях обеспечения принципа прозрачности обработки персональных данных (пункт 6 статьи 4 Закона о защите персональных данных) при установлении системы видеонаблюдения субъекты должны быть проинформированы об этом с помощью специальных информационных знаков (табличек), размещенных на территории, где оно ведется.

При этом рекомендуется размещать таблички перед входом в помещение, где осуществляется видеонаблюдение, и, если возможно, в местах непосредственного осуществления видеонаблюдения (возле камер), чтобы субъекты персональных данных могли легко распознать обстоятельства видеонаблюдения, прежде чем войти в контролируемую зону.

В рассматриваемой ситуации речь идет о получении предприятием ”внешних“ наград на официальном мероприятии.

Пунктом 57 Инструкции по делопроизводству в государственных органах, иных организациях, утвержденной постановлением Министерства юстиции Республики Беларусь от 19 января 2009 г. № 4, установлены общие требования к использованию реквизита «подпись» при организации работы с документами в государственных органах, иных организациях независимо от формы собственности и организационно-правовой формы. Данные реквизиты состоят из наименования должности лица (в установленных случаях с указанием наименования организации), подписавшего документ, собственноручной подписи и ее расшифровки (инициалы, фамилия). Указанные персональные данные используются без согласия работника на основании абзаца восьмого статьи 6 Закона.

При этом, если один из операторов предоставляет персональные данные иному оператору на данном основании, то оператор-получатель вправе на этом же основании обрабатывать полученные персональные данные в соответствии с теми целями, с которыми данные предоставлялись.

Принимая во внимание, что грамоты и благодарности по своей природе носят публичный характер, их размещение в социальной сети (и, соответственно, распространение содержащихся в них персональных данных) отвечают целям предоставления персональных данных одним оператором (награждающей организацией) другому оператору (награждаемой организацией).

Кроме того, подписание соответствующих дипломов и грамот осуществляется, в основном, руководителем государственного органа, иной организации. В соответствии с положениями абзаца седьмого статьи 1 Закона сведения о таких лицах, как правило, относятся к общедоступным персональным данным.

Таким образом, брать у лиц, подписавших дипломы (грамоты), согласие на обработку персональных данных в рассматриваемой ситуации не требуется.

Договор и согласие выступают самостоятельными правовыми основаниями обработки персональных данных, которые не должны смешиваться и подменять друг друга.

При получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором, согласие субъекта персональных данных на обработку его персональных данных не требуется.

Для достижения иных целей необходимо соответствующее правовое основание, например, для рекламной рассылки – согласие субъекта персональных данных. При этом Закон не содержит запрета на включение соответствующих положений в текст договора.

Вместе с тем, необходимо помнить, что, включая согласие в текст договора, необходимо предоставить субъекту персональных данных возможность выбрать, давать или не давать такое согласие. Кроме того, оператор должен предоставить субъекту соответствующую информацию, предусмотренную пунктом 5 статьи 5 Закона. При этом включение такой информации в договор может привести к его ”перегрузке“.

Более предпочтительным видится оформление согласия на обработку персональных данных и предоставление необходимой информации, связанной с обработкой, отдельно от договора.

Нет. Обязанность заказчика размещать аукционные документы на электронной торговой площадке предусмотрена пунктом 2 статьи 39 Закона Республики Беларусь от 13 июля 2012 г. № 419-З ”О государственных закупках товаров (работ, услуг)“. В этой связи обработка ПД, содержащихся в аукционных документах, осуществляется без согласия субъектов ПД на основании абзаца двадцатого статьи 6 Закона, а в отношении работников (в случае, если их привлечение для выполнения работ (услуг) обусловлено их трудовой функцией) – абзаца восьмого статьи 6 или абзаца третьего пункта 2 статьи 8 Закона.

Нет, не допускается.

Размещение в общем доступе в локальной сети нанимателя фотографий и видеозаписей с корпоративных мероприятий признается обработкой ПД, которая в соответствии с положениями статьи 4 Закона о защите персональных данных должна осуществляться при наличии надлежащего правового основания.

Пунктом 3 статьи 4 Закона предусмотрено, что таким правовым основанием обработки ПД могут выступать согласие субъекта ПД либо случаи, предусмотренные статьей 6 и пунктом 2 статьи 8 Закона

Рассматриваемые в вопросе взаимоотношения не основаны непосредственно на исполнении трудовых обязанностей. Правовое основание, указанное в абзаце восьмом статьи 6 Закона, не применяется.

Правовым основанием обработки ПД работников в данном случае может выступать согласие субъекта.

Наличие в любой организации множества бизнес-процессов, связанных с использованием персональных данных, различных целей и правовых оснований обработки персональных данных, круга лиц, которые имеют доступ к таким данным, обусловливают сложность повседневного контроля в этой сфере и нередко приводят к различного рода нарушениям. При этом многие нарушения обусловлены незнанием или ошибочным представлением о возможных (допустимых) пределах использования персональных данных, неосведомленностью о положениях законодательства о персональных данных.

Поэтому необходим действенный механизм обеспечения соблюдения Закона и недопущения претензий как со стороны уполномоченного органа по защите прав субъектов персональных данных, иных государственных органов, так и со стороны субъектов персональных данных, предотвращения репутационных потерь организации вследствие несоблюдения законодательства.

Его важнейшим элементом призван стать предусмотренный Законом институт внутреннего контроля за соблюдением законодательства о персональных данных. повышению эффективности данного института должен способствовать и предусмотренный в законодательстве о персональных данных специальный порядок обучения лиц, уполномоченных на осуществление внутреннего контроля.

В связи с изложенным не допустим формальный подход к назначению ответственного за осуществление внутреннего контроля и созданию условий для обеспечения его деятельности.

Назначение лица, ответственного за осуществление внутреннего контроля, может быть реализовано следующим образом:

• освобожденный работник (структурное подразделение) – целесообразно в случае масштабной обработки персональных данных (особенно, если цель организации – извлечение прибыли);
• возложение дополнительных функций на одного из работников организации. При этом для такого лица обработка персональных данных не должна быть основным видом деятельности, что призвано исключить потенциальный конфликт интересов. В связи с этим следует исключить назначение ответственного за осуществление внутреннего контроля из числа руководителей организации (их заместителей), а также структурных подразделений или работников, основные функции которых связаны с обработкой большого объема персональных данных (например, кадровые и бухгалтерские службы, структурные подразделения по обращениям граждан и т.п.). Кроме того, у назначенного работника должна быть объективная возможность выполнять соответствующие функции с учетом уже имеющихся должностных обязанностей;
• возложение дополнительных функций на двух работников: на одного (например, юрисконсульт) – в части организационных и правовых мер, на другого (например, специалист по информационной безопасности) – в части мер по технической и криптографической защите персональных данных. При таком варианте требуется четкое распределение функций между указанными лицами, исключение противоречий в их деятельности. При этом, как и в предыдущем варианте, у назначенного работника должна быть объективная возможность выполнять соответствующие функции с учетом уже имеющихся должностных обязанностей.

Представляется нецелесообразным возложение соответствующих функций исключительно на ответственного за обеспечение защиты информации или инженера (программиста, системного администратора, специалиста по информационной безопасности и т.п.).

Не соответствует цели введения рассматриваемого института практика тех организаций, в которых лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, назначаются в каждом структурном подразделении. Это приводит к сложностям при их взаимодействии, конкуренции, возможности появления различных подходов по реализации законодательства о персональных данных в различных подразделениях. Кроме того, это может приводить к конфликту интересов, а также потребовать дополнительных временных и финансовых затрат на обучение таких лиц (например, на базе Национального центра защиты персональных данных).

Важно обратить внимание, что в связи с назначением ответственного за осуществление внутреннего контроля ни оператор, ни уполномоченное лицо, ни работники организации, непосредственно осуществляющие обработку персональных данных, не освобождаются от ответственности, предусмотренной законодательными актами, за допущенные ими нарушения.

Нет, не нужно.

Факт привлечения уполномоченным лицом субуполномоченного лица не меняет статуса уполномоченного лица на оператора, поскольку общий контроль над обработкой остается за первоначальным оператором.

Закон о защите персональных данных не устанавливает запрета на привлечение уполномоченным лицом иных лиц (субуполномоченных лиц) для выполнения порученной ему работы, сопровождающейся обработкой персональных данных.

Важно обеспечить соблюдение следующих правил:

• возможность (невозможность) привлечения субуполномоченного лица, а также условия, на которых оно может (или не может) быть привлечено (например, недопустимость привлечения к обработке персональных данных субуполномоченных лиц с территории государств с ненадлежащим уровнем защиты прав субъектов персональных данных) должны быть предусмотрены в договоре между оператором и уполномоченным лицом;
• договор между уполномоченным и субуполномоченным лицами должен содержать положения, обеспечивающие уровень защиты персональных данных, эквивалентный условиям договора между оператором и уполномоченным лицом;
• при наличии информации о привлечении уполномоченным лицом субуполномоченного лица, такие сведения целесообразно отразить в Политике оператора.

Следует учитывать, что оператор несет ответственность за любые случаи ”утечки“ персональных данных, допущенные уполномоченным (субуполномоченным) лицом на территории иностранного государства.

Одной из мер по обеспечению защиты персональных данных, предусмотренной подпунктом 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. ”О мерах по совершенствованию защиты персональных данных“, является установление и поддержание в актуальном состоянии перечня уполномоченных лиц, если обработка персональных данных осуществляется такими лицами.

Оператору необходимо соблюдать требования статьи 7 Закона о защите персональных данных при поручении обработки персональных данных уполномоченному лицу, в частности, заключать отдельный договор или включать в действующие договоры изменения, касающиеся поручения обработки персональных данных.

Поскольку оператор несет ответственность перед субъектом персональных данных за действия уполномоченного лица, в качестве таких лиц могут привлекаться только те организации, которые предоставляют надлежащие гарантии выполнения законодательства о персональных данных, в том числе осуществляющие меры по обеспечению защиты персональных данных, предусмотренные статьей 17 Закона о защите персональных данных.

Ведение данного перечня необходимо для того, чтобы надлежащим образом наладить взаимодействие с аутсорсинговыми организациями, которым поручена обработка персональных данных, своевременно вносить изменения в договоры, заключенные с такими организациями, обновлять информацию о них в документах, определяющих политику оператора в отношении обработки персональных данных.

Физическое лицо признается оператором в случаях, когда такое лицо осуществляет обработку персональных данных в связи со своей деятельностью в качестве:

• индивидуального предпринимателя;
• лица, осуществляющего деятельность, направленную на получение прибыли, но не имеющего статуса ИП, например, ремесленник, адвокат, нотариус, репетитор, логопед, лица, оказывающие услуги в сфере агроэкотуризма или иные виды деятельности, которые не относятся к предпринимательской деятельности в соответствии с частью 4 пункта 1 статьи 1 Гражданского кодекса Республики Беларусь).

Следует обратиться к владельцу интернет-сайта с заявлением об удалении своих персональных данных.

Такое заявление надо направить  в письменной форме или в виде электронного документа. В нем необходимо указать:

• ФИО,
• адрес места жительства,
• дату рождения,
• требование об удалении персональных данных,
• личную подпись или электронную цифровую подпись.

Ваше заявление должно быть рассмотрено оператором в 15-дневный срок после его получения.

В случае игнорирования требований или нарушения срока рассмотрения такого заявления Вы вправе обратиться в Национальный центр защиты персональных данных с жалобой.

Биометрическими ПД является информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации.

Например:

• отпечатки пальцев рук
• отпечатки ладоней
• радужная оболочка глаза
• характеристики лица
• изображение лица и другое.

Особенностью обработки биометрических ПД является осуществление оператором уникальной идентификации субъекта ПД путем сопоставления с помощью технических средств отпечатка пальца/ видеоизображения/ фотоизображения с образом (образцом отпечатка пальца, видео или фото субъекта ПД), который хранится в информационном ресурсе оператора.

Биометрические ПД являются специальными ПД и подлежат особой охране при их обработке оператором согласно Закону о защите персональных данных (п. 3 ст. 8).

Организации при предъявлении  книги замечаний и  предложений  обязаны обеспечить нераспространение  ПД предыдущих заявителей, содержащихся в данной книге, приняв для этого все необходимые меры.

Одним из способов по  нераспространению ПД предыдущих заявителей может быть закрытие их записей (например, бумагой) с оставлением для  заявителя только страницы книги, предназначенной для внесения его  замечаний и предложений.

Распространение персональных данных (ПД)  граждан в связи с задолженностью по платежам СТ не относится к случаям, когда получение согласия на обработку ПД не требуется. Соответственно их распространение без согласия субъекта ПД является нарушением пункта 3 статьи 4 Закона о Защите персональных данных.

Вы вправе требовать от оператора прекращения обработки своих ПД, для этого Вам необходимо  подать оператору заявление в установленном  порядке (статья 14 Закона).

Поэтому Вам следует обратиться в СТ с требованием об удалении Ваших персональных данных, размещенных публично.

Одновременно с этим Вы вправе инициировать начало  административного процесса по статье 23.7 ”Нарушение законодательства о защите персональных данных“ КоАП.

Также, если СТ не удовлетворит Ваше требование, Вы можете направить жалобу в Центр.

Специализированного правового регулирования обработки куки файлов в законодательстве нет. При этом с учетом определения персональных данных в Законе «О защите персональных данных» как любой информации, относящейся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано, куки файлы относятся к персональным данным.

При обработке куки файлов необходимо соблюдение требований статей 4, 5 и 17 Закона.

Да, требования законодательства соблюдены.

Обязанность государственного органа, равно как и любой другой организации, индивидуального предпринимателя, принимать меры для полного, объективного, всестороннего и своевременного рассмотрения обращений установлена статьей 9 Закона Республики Беларусь «Об обращениях граждан и юридических лиц».

Поэтому для выполнения этой обязанности согласие заявителя на обработку персональных данных, необходимых для рассмотрения его обращения, не требуется в силу абзаца двадцатого статьи 6 Закона Республики Беларусь «О защите персональных данных».

В соответствии со статьей 19 Закона Республики Беларусь ”О защите персональных данных“ лица, виновные в нарушении настоящего Закона, несут ответственность, предусмотренную законодательными актами. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных настоящим Законом, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

За нарушение законодательства о защите персональных данных, незаконные действия в отношении персональных данных, несоблюдение мер обеспечения их защиты установлена дисциплинарная, административная и уголовная ответственность.

Статья 47 ТК (с 29.06.2021)
Трудовой договор с работником может быть прекращен в случаях нарушения им порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных.

Кроме того, за нарушение должностных обязанностей в сфере обработки персональных данных может наступать также дисциплинарная ответственность и другие меры ответственности, предусмотренные Трудовым кодексом.

Статья 23.7 КоАП (с 01.03.2021)

1. Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, –влекут наложение штрафа в размере до пятидесяти базовых величин.
2. Деяния, предусмотренные частью 1 настоящей статьи, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, – влекут наложение штрафа в размере от четырех до ста базовых величин.
3. Умышленное незаконное распространение персональных данных физических лиц – влечет наложение штрафа в размере до двухсот базовых величин.
4. Несоблюдение мер обеспечения защиты персональных данных физических лиц – влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя – от десяти до двадцати пяти базовых величин, а на юридическое – от двадцати до пятидесяти базовых величин.

Протоколы об административных правонарушениях по статье 23.7 КоАП имеют право составлять уполномоченные должностные лица органов внутренних дел, дела рассматриваются единолично судьей районного (городского) суда.

Статья 203-1 УК (с 19.06.2021)

1. Умышленные незаконные сбор, предоставление информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина наказываются общественными работами, или штрафом, или арестом, или ограничением свободы на срок до двух лет, или лишением свободы на тот же срок.

   Важно!!!!

   Уголовная ответственность по части первой статьи 203-1 УК возможна при наличии выраженного в установленном уголовно-процессуальным законом порядке требования лица, пострадавшего от преступления.

2. Умышленное незаконное распространение информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшее причинение существенного вреда правам, свободам и законным интересам гражданина, наказывается ограничением свободы на срок до трех лет или лишением свободы на тот же срок со штрафом.
3. Действия, предусмотренные частями 1 или 2 настоящей статьи, совершенные в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга, наказываются ограничением свободы на срок до пяти лет со штрафом, или лишением свободы на тот же срок со штрафом.

Статья 203-2 УК (с 19.06.2021)

Несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий,- наказывается штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или исправительными работами на срок до одного года, или арестом, или ограничением свободы на срок до двух лет, или лишением свободы на срок до одного года.

В соответствии с пунктом 1 статьи 12 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон) субъект персональных данных вправе получать от оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами.

Предоставление такой информации субъекту персональных данных направлено на обеспечение понимания им пределов и характера обработки персональных данных и является необходимым компонентом реализации принципа прозрачности обработки персональных данных (пункт 6 статьи 4 Закона). Кроме того, получение этой информации обеспечивает возможность эффективной реализации прав субъектов персональных данных, в том числе права требовать прекращения обработки персональных данных.

В ходе осуществления контрольной деятельности Национальный центр защиты персональных данных столкнулся с проблемой неоднозначного понимания случаев, когда оператор должен предоставлять субъекту персональных данных информацию о предоставлении персональных данных третьим лицам, а также ее объема.

Согласно пункту 3 статьи 12 Закона информация о предоставлении персональных данных конкретного субъекта третьим лицам может не предоставляться в случаях, предусмотренных этим пунктом и пунктом 3 статьи 11 Закона. Таким образом, информация о предоставлении персональных данных субъекта персональных данных третьим лицам может не предоставляться:

1) если обработка персональных данных осуществляется в соответствии с законодательством об исполнительном производстве, при осуществлении правосудия и организации деятельности судов общей юрисдикции;

2) если персональные данные могут быть получены любым лицом посредством направления запроса в порядке, установленном законодательством, либо доступа к информационному ресурсу (системе) в глобальной компьютерной сети Интернет;

3) если обработка персональных данных осуществляется:

в соответствии с законодательством о государственной статистике;

в соответствии с законодательством в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь;

в соответствии с законодательством об оперативно-розыскной деятельности, процессуально-исполнительным законодательством об административных правонарушениях, уголовно-процессуальным, уголовно-исполнительным законодательством;

по вопросам ведения криминалистических учетов;

4) в иных случаях, предусмотренных законодательными актами.

Наибольшие сложности вызывает определение иных случаев, предусмотренных законодательными актами, как оснований для непредоставления запрашиваемой информации.

Наряду со случаями, когда в законодательном акте прямо предусмотрено, что информация о предоставлении персональных данных конкретного субъекта третьим лицам может не предоставляться, под иными случаями, в которых информирование субъекта персональных данных не производится, следует также понимать ситуации, когда в законодательном акте напрямую предусмотрено обязательство (обязанность) предоставления персональных данных с определенной периодичностью (без поступления соответствующих запросов).

Примеры.

а) В соответствии с абзацем шестым пункта 1 статьи 21 Закона Республики Беларусь от 15 июля 2021 г. № 118-З ”О взносах в бюджет государственного внебюджетного фонда социальной защиты населения Республики Беларусь“ организация, являющаяся плательщиком обязательных страховых взносов, обязана представлять в органы Фонда социальной защиты населения Министерства труда и социальной защиты установленные законодательством сведения и отчетность, обеспечивать своевременность выплаты пособий в счет начисленных обязательных страховых взносов.

б) Согласно статье 10 Закона Республики Беларусь от 12 июля 2013 г. № 57-З ”О бухгалтерском учете и отчетности“ организация, обязанная вести бухгалтерский учет и составлять отчетность, оформляет каждую хозяйственную операцию первичным учетным документом с указанием всех необходимых сведений, включая должности лиц, ответственных за совершение хозяйственной операции и (или) правильность ее оформления, их фамилии, инициалы и подписи.

в) В соответствии со статьей 22 Закона Республики Беларусь от 21 июля 2008 г. № 418-З ”О регистре населения“ государственные организации, вносящие персональные данные в регистр, в пределах своей компетенции обеспечивают внесение в регистр достоверных персональных данных, их актуализацию. При этом статьей 13 этого Закона предусмотрено, что внесение персональных данных в регистр осуществляется непрерывно в режиме реального времени через систему каналов связи в хронологическом порядке.

Данные ситуации следует отличать от случаев, когда оператор предоставляет персональные данные конкретных субъектов персональных данных по запросам государственных органов или иных организаций при реализации в конкретных ситуациях их полномочий, предусмотренных законодательными актами. Операторам необходимо вести учет таких фактов предоставления персональных данных третьим лицам.

Примеры.

а) В соответствии с абзацем вторым статьи 8¹Закона Республики Беларусь от 18 июля 2011 г. № 300-З ”Об обращениях граждан и юридических лиц“ организации, индивидуальные предприниматели имеют право запрашивать в установленном порядке документы и (или) сведения, необходимые для решения вопросов, изложенных в обращениях.

б) Пунктом 4 Положения о порядке организации и проведения проверок, утвержденного Указом Президента Республики Беларусь от 16 октября 2009 г. № 510 ”О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь“, предусмотрено, что контролирующие (надзорные) органы и проверяющие в пределах своей компетенции вправе в рамках вопросов, подлежащих проверке, требовать и получать от проверяемого субъекта, участников контрольного обмера необходимые для проверки документы (их копии), в том числе в электронном виде, иную информацию, касающуюся его деятельности и имущества.

Право на получение информации о предоставлении своих персональных данных третьим лицам может быть реализовано субъектом персональных данных:

один раз в календарный год (то есть один раз в период с 1 января по 31 декабря текущего года).

Пример.

Субъект персональных данных получил от оператора информацию о предоставлении его персональных данных третьим лицам 15 августа 2022 г. Таким образом, в 2022 году он реализовал свое право, предусмотренное статьей 12 Закона и, соответственно, не может требовать от оператора предоставления ему в течение 2022 года обновленной информации. Такое право может быть реализовано им не ранее 1 января 2023 г.;

бесплатно.

Пример.

Субъект персональных данных получил от оператора информацию о предоставлении его персональных данных третьим лицам бесплатно 15 августа 2022 г. Таким образом, в 2022 году он реализовал свое право, предусмотренное статьей 12 Закона и, соответственно, не может требовать от оператора предоставления ему в течение 2022 года обновленной информации на платной основе.

Законодательными актами могут быть предусмотрены иные условия предоставления информации, например:

возможность получения соответствующей информации с иной периодичностью;

возможность получения такой информации только на платной основе;

возможность получения информации однократно бесплатно, а в дальнейшем без ограничений на платной основе.

Пример.

В соответствии со статьей 13 Закона Республики Беларусь от 10 ноября 2008 г. № 441-З ”О кредитных историях“ субъекту кредитной истории кредитный отчет, в том числе в части сведений о запросах пользователей кредитной истории (банков, государственных органов и др.), предоставляется по его заявлению на получение кредитного отчета без уплаты вознаграждения один раз в течение календарного года и неограниченное количество раз в течение календарного года за вознаграждение.

Что касается объема предоставляемой субъекту персональных данных информации, то в соответствии с пунктом 2 статьи 12 Закона при получении от субъекта персональных данных соответствующего заявления оператор обязан предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления. При этом указанию подлежат конкретные данные (например, фамилия, собственное имя, отчество; адрес места жительства; сведения о заработной плате за период с… по… и т.п.), а также конкретные организации, которым такие данные предоставлялись.

При наличии однотипных случаев предоставления информации субъект персональных данных может быть проинформирован об этом без указания перечня конкретных дат, но с указанием на период и (или) периодичность такой передачи (например, 2 раза в ноябре текущего года; 3 раза в период с… по… и т.п.).

В соответствии с пунктом 40 Правил бытового обслуживания потребителей, утвержденных постановлением Совета Министров Республики Беларусь от 14 декабря 2004 г. № 1590, предметы проката могут выдаваться потребителям под поручительство и (или) залог в установленном исполнителем порядке в соответствии с требованиями законодательства. В качестве залога не может быть использован документ, удостоверяющий личность потребителя, свидетельство о регистрации ходатайства о предоставлении статуса беженца, дополнительной защиты или убежища в Республике Беларусь, свидетельство о предоставлении дополнительной защиты в Республике Беларусь.

Таким образом, использование в качестве залога документа, удостоверяющего личность, законодательством запрещено. Принятие такого документа в залог влечет административную ответственность в виде  штрафа в размере от двух до шести базовых величин (часть 2 статьи 24.34 КоАП).

Нет.

Принимая во внимание объем персональных данных, содержащихся в документе, удостоверяющем личность, как правило, изготовление и хранение операторами копии этого документа влекут избыточную обработку персональных данных по отношению к заявленным целям (например, фотоизображения, сведений о гражданстве, сроке действия документа, удостоверяющего личность, дате и месте рождения и т.п.), что нарушает требования статьи 4 Закона о защите персональных данных.

В этой связи изготовление копии документа, удостоверяющего личность, и приобщение его к соответствующему заявлению может иметь место только в случае, если это прямо предусмотрено законодательным актом или актом законодательства, принятым в его развитие.

Поскольку законодательством о защите прав потребителей не предусмотрено представление копии документа, удостоверяющего личность, при реализации прав, требование о приложении ее к заявлению не согласуется с Законом о защите персональных данных.

Да. Несмотря на то, что фото- и видеоматериалы используются заказчиками услуг для личных целей, для лица, осуществляющего съемку, такая деятельность является профессиональной.

Следовательно, обработка персональных данных заказчиков этим самозанятым лицом должна осуществляться в соответствии с положениями Закона о защите персональных данных, а само это лицо в данном случае является оператором и несет обязанности по обеспечению защиты персональных данных, предусмотренные законодательством о персональных данных.

В соответствии с Законом персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Закон не предусматривает ограничений или требований к носителям информации для признания такой информации персональными данными. Таким образом, форма представления информации значения не имеет. Это может быть текстовая информация на бумажном или электронном носителе, фотоизображение, видеозапись и др.

Кроме того, информация, составляющая персональные данные, охватывает как объективные данные (например, имя, возраст, место работы), так и субъективные мнения или оценки (например, уровень платежеспособности, результаты аттестации нанимателем работника)^[1].

Прежде всего, для признания информации персональными данными необходимо, чтобы эта информация «относилась» к лицу. Этот признак призван ограничить всеобъемлющий характер определения персональных данных.

Информация относится к лицу, когда эта информация:

• о каком-то лице (например, фото лица, история его болезни, обстоятельства рождения, место работы и др.);
• не о самом лице, но она может быть использована для его оценки или влияния на поведение, реализации его прав и обязанностей (например, сведения GPS, определяющие место нахождения транспортного средств, могут быть использованы для оценки маршрута водителя, история звонков с рабочего телефона – для оценки использования средств связи нанимателя работником в личных целях).

Рассматриваемый признак исключает отнесение к персональным данным информации, когда такая информация является случайной по отношению к цели ее обработки и не может оказать влияния на субъекта персональных данных. Например, случайное изображение на фотографии, иллюстрирующей открытие нового магазина, транспортных средств с различимыми номерами. В данном случае целью обработки является не оценка владельца транспортного средства или оказание на него определенного влияния. Соответственно такие данные не должны признаваться персональными данными.

Иная ситуация, когда на специальном интернет-ресурсе размещаются фотографии автомобилей с различимыми номерами, которые демонстрируют нарушение автовладельцами правил дорожного движения (так называемые «доски позора»). Целью размещения таких фото как раз и является привлечение внимания к допущенному нарушению, оказание влияния на лицо в целях недопущения последующих нарушений. Кроме того, соответствующие данные могут использоваться и правоохранительными органами для привлечения владельца транспортного средства к ответственности. Поэтому в этом случае размещение фотографии транспортного средства следует рассматривать как обработку персональных данных.

При решении вопроса о том, относится ли информация к конкретному лицу, следует учитывать различные обстоятельства, в том числе:

• содержание информации;
• цель обработки;
• возможное влияние обработки на конкретного субъекта.

Но не вся информация, которая касается лица или может оказать на него влияние, будет считаться персональными данными, а лишь та, на основании которой лицо идентифицировано или может быть идентифицировано.

[1] Article 29 Working Party Opinion 4/2007 on the concept of personal data // 01248/07/EN, WP136, 20.06.2007. P. 6.

Идентифицированным является лицо, личность которого известна, которое однозначно выделено среди других лиц (мы на него указали, к нему можно обратиться, мы уже контактировали с данным лицом, знаем его и др.).

Наиболее распространенным вариантом такой ситуации на сегодняшний день является указание ФИО лица в совокупности с другими данными, которые однозначно выделяют лицо среди других лиц. Например, Ковалев Михаил Александрович, который приходил на личный прием 15.02.2022 в 10.30 по вопросу незаконной перепланировки жилого помещения, или Ковалев Михаил, который проживает по адресу г. Минск, ул. Руссиянова, 3-24.

Но даже если мы не знаем ФИО лица, то информация о нем может относиться к персональным данным как информация о физическом лице, которое может быть идентифицировано.

Физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

Данная формулировка Закона предусматривает отнесение к персональным данным информации о лице, которое может быть:

• прямо определено;
• косвенно определено.

Физическое лицо, которое может быть прямо определено, – это лицо – личность которого можно установить на основании той информации, которую мы рассматриваем, без использования дополнительных сведений.

Например, заведующий кафедрой криминалистики юридического факультета БГУ, менеджер ООО «Астра» и номер его телефона, одинокий пенсионер, проживающий по адресу, ул. Никифорова, д.18, кв.47, лучший бомбардир футбольного клуба «Минск» в 2020-2021 г., электрик Сергей Валерьевич из ЖЭС-110 и др.

Физическое лицо, которое может быть косвенно определено – это лицо, личность которого нельзя установить на основании той информации, которую мы рассматриваем, но это можно сделать путем объединения такой информации с иными сведениями, которыми мы располагаем или которые могут быть получены из других источников.

Так, поскольку в большинстве случаев имя и фамилия не являются уникальными (например, фамилия и имя Михаил Ковалев могут носить несколько десятков или даже сотен человек), то для определения конкретного лица может потребоваться получение дополнительной информации, например, даты и места рождения, информации о месте работы, учебы, месте жительства. И наоборот, знание места работы (например, юрисконсульт такой-то организации) зачастую недостаточно для идентификации лица, если соответствующих работников в организации несколько и может потребоваться дополнительная информация (например, имя).

Когда мы говорим о возможности получения дополнительной информации, речь идет о легальной возможности, а не о незаконных «пробивах» по базам или других «серых» схемах. При этом для признания сведений персональными реальная идентификация не требуется. Достаточно самой возможности идентификации. Кроме того, если идентификация лица зависит от объединения нескольких блоков информации, каждый из таких блоков в отдельности должен рассматриваться как персональные данные.

Закон предусматривает ряд идентификаторов, наличие которых может свидетельствовать о возможности прямого или косвенного определения лица:

• ФИО;
• дата рождения;
• идентификационный номер;
• один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

Так, например, к признакам, характерным для физической идентичности, могут относиться пол, рост, вес, цвет волос, состояние здоровья (например, дефект речи, инвалидность, фотографии, звукозаписи голосов и др.). Об экономической идентичности может свидетельствовать владение транспортным средством, объектами недвижимости, уровень заработной платы, номер кредитной карточки и др.). Социальная идентичность может характеризоваться посредством ссылок на вероисповедание, национальность, политические взгляды, социальные связи, высказывания и комментарии, сексуальная ориентация.

Это не полный перечень соответствующих идентификаторов. Можно выделить и дополнительные сведения, которые используются для прямого или косвенного определения лица:

• номер телефона, почтовый адрес, адрес электронной почты;
• номер паспорта и дата его выдачи;
• история посещения сайтов, поисковые запросы;
• IP-адрес, идентификатор файла cookie и др.

Важно учитывать, что вопрос об отнесении сведений к персональным данным должен решаться лишь в отношении конкретной ситуации. Информация, которая позволяет идентифицировать человека в одном контексте, может не идентифицировать человека в другом контексте. Так, например, имя Михаил Ковалев является весьма распространенным. Таких данных вполне достаточно для идентификации лица в небольшом коллективе, например, классе или даже в школе, но явно недостаточно для идентификации лица среди всего населения города или страны.

На то, можно ли идентифицировать человека с помощью конкретной информации, в значительной степени будет влиять, кто владеет информацией и имеет к ней доступ. Когда информация публикуется публично, доступ к ней может получить кто угодно в мире. Это может затруднить определение того, к какой дополнительной информации люди могут иметь доступ и какие у них могут быть мотивы для идентификации человека.

Адреса электронной почты может быть достаточно, чтобы идентифицировать кого-то, когда в электронном адресе отражаются данные о лице (ФИО, дата рождения, место работы и др.) (например, Kovalev12.10.1983@cpd.by). В этом случае обработка такой информации, когда она «привязана» к лицу, является обработкой персональных данных.
В других ситуациях информация в электронном адресе лишь теоретически может быть связана с лицом и у субъекта может не быть реальных законных рычагов получения информации с целью идентификации лица. В таком случае данные не могут признаваться персональными. Например, info@cpd.by, 1237@gmail.com.

Что касается номера мобильного телефона, то данная информация имеет специфику по сравнению с иными персональными данными, обусловленную возможностью связаться непосредственно с субъектом независимо от его желания. Такая возможность может использоваться не только для выяснения личности такого лица, но и в иных целях (оказания влияния на принятие решений (например, участвовать в голосовании и голосовать определенным образом), рассылки рекламных или иных нежелательных сообщений. Это может причинять беспокойство, вызывать раздражение, недовольство попытками завладеть вниманием лица.
Как следствие, даже не зная конкретного лица (например, не владея информацией о его ФИО лица и местоположении), которому принадлежит номер телефона, оператор может стремиться использовать данные способы связи для оказания влияния на него. Это может заставить субъекта изменить контактные данные или поменять оператора, по вине которого произошло нарушение его прав. Кроме того, неправомерное использование контактных данных может нарушить интересы третьих лиц, например, семьи субъекта.
В этой связи, если обработка номера телефона может иметь воздействие на лицо, причинять ему беспокойство и др., то такую обработку следует рассматривать как обработку персональных данных. Это позволяет делать внешние коммуникации ожидаемыми и предсказуемыми.

Много вопросов вызывает на практике и отнесение к персональным данным VIN-номера. Сейчас довольно распространена практика использования VIN-номера транспортного средства для проверки его истории (наличие аварий и др.). Использование такой информации имеет прямое влияние на владельца транспортного средства, когда покупатель откажется от сделки после проверки истории машины, то есть эта информация «относится» к лицу. При этом во многих случаях существуют легальные возможности «связать» транспортное средство с его владельцем. Подобные сведения содержатся в реестре движимого имущества, обремененного залогом, доступ к которому может получить любой желающий при условии внесения платы. Кроме того, широко распространена практика указания VIN-номера в объявлениях о продаже транспортных средств, где наряду с VIN-номером отражается информация о продавце и его контактные данные – номер телефона и (или) электронной почты. Таким образом, обработка VIN-номера в подобном случае должна рассматриваться как обработка персональных данных.

Учитывая, что указанные документы включены в перечень документов/сведений, представляемых для осуществления административной процедуры, наниматель вправе изготовить их копии и хранить в течение установленного законодательством срока.

При этом обработка персональных данных осуществляется без согласия субъекта ПД и иных лиц на основании абзаца двадцать первого статьи 6 Закона.

В трудовых отношениях нередко возникают ситуации, когда работник пользуется личным мобильным телефоном для связи с клиентом (например, курьер в интернет-магазине и т.д.).

В таких случаях при использовании личного мобильного телефона работника наниматель должен получить у него согласие, которое должно соответствовать требованиям статьи 5 Закона о защите персональных данных.

В ситуации, когда наниматель получил отказ от работника, нанимателю необходимо предусмотреть альтернативный вариант, например, предоставив ему корпоративный номер мобильного телефона.

При заключении договора добровольного страхования медицинских расходов между юридическим лицом (в отношении своих работников) и страховой организацией каждая из этих сторон обрабатывает персональные данные работников в собственных интересах (для собственных целей) и является самостоятельным оператором. Соответственно, каждый оператор должен иметь правовые основания для такой обработки.

Если добровольное страхование медицинских расходов предусмотрено коллективным договором, обработка персональных данных, которая необходима для выполнения нанимателем обязанностей, предусмотренных коллективным договором, осуществляется без согласия субъектов персональных данных на основании абзаца восьмого статьи 6 Закона.

В случае если коллективный договор отсутствует или не предусматривает положений о добровольном страховании медицинских расходов, правовым основанием для предоставления юридическим лицом персональных данных своих работников страховой организации в целях заключения договора добровольного страхования медицинских расходов может служить согласие на обработку персональных данных либо заявление работника (абзац шестнадцатый статьи 6 Закона).

Правовым основанием для обработки персональных данных застрахованных лиц страховой организацией для целей исполнения договора добровольного страхования медицинских расходов, заключенного между страховой организацией и юридическим лицом, выступает абзац двадцатый статьи 6 Закона (в отношении специальных персональных данных – абзац шестнадцатый пункта 2 статьи 8 Закона).

Если необходимость использования видеонаблюдения напрямую не предусмотрена законодательными актами, оно может использоваться только с согласия субъектов персональных данных либо для выполнения обязанностей, вытекающих из законодательных актов.

К числу таких обязанностей могут быть отнесены:

• обеспечение реализации нанимателем возложенных на него Трудовым кодексом обязанностей, к примеру, для обеспечения трудовой дисциплины;
• обеспечение охраны физических лиц, имущества нанимателя от противоправных посягательств.
• Работники и посетители должны быть проинформированы о видеонаблюдении с помощью специальных информационных табличек, размещенных на территории, где оно ведется.

Не допускается использование видеонаблюдения для наблюдения за местами, которые являются частью личной сферы жизни работников.

Подробно в п. 7 Рекомендаций Центра.

Статьей 80 Трудового кодекса Республики Беларусь нанимателю предоставлено право утверждения формы расчетного листка.

В этой связи выдача нанимателем расчетных листков работникам с использованием приложения обслуживающего банка не противоречит требованиям Закона о защите персональных данных и не требует получения согласия работников, если наниматель определил в локальных актах, что выдача расчетных листков осуществляется в электронном виде, и утвердил форму расчетного листка с указанием сведений, предусмотренных законодательством о труде.

На персональных компьютерах, в общих сетевых ресурсах, на бумажных носителях у работников могут накапливаться материалы, послужившие основанием для разработки документов, а также их копии, проекты писем и др.

После истечения сроков хранения документов эти материалы, копии документов, проекты писем и др. также подлежат удалению.

Предоставление персональных данных (ПД) третьим лицам должно осуществляться оператором только при наличии правовых оснований.

Запрос организации должен содержать указание на правовые основания для получения ей информации, цель обработки, а также содержание и объем запрашиваемых ПД. Указание общих положений (например, служебная необходимость) не является надлежащим правовым основанием для предоставления запрашиваемых сведений.

Обращаем внимание, что информация о предоставлении ПД третьим лицам подлежит учету оператором для надлежащей реализации права субъекта ПД на получение информации о предоставлении его ПД третьим лицам (статья 12 Закона), что в отсутствие надлежащим образом оформленного письменного запроса представляется невозможным.

Нет.

Наниматели осуществляют проведение освидетельствования согласно утвержденным перечням работ (профессий рабочих) организации, при выполнении которых требуются предсменный (перед началом работы, смены) медицинский осмотр либо освидетельствование. Освидетельствование в отношении иных работников проводится в случаях, когда в отношении них имеются достаточные основания полагать, что они находятся в состоянии опьянения (пункт 3 Инструкции о порядке проведения освидетельствования на предмет нахождения в состоянии алкогольного, наркотического или токсического опьянения работников, утвержденной постановлением Министерства труда и социальной защиты Республики Беларусь, Министерства здравоохранения Республики Беларусь от 2 декабря 2013 г.  № 116/119).

Проведенный анализ положений законодательства свидетельствует о том, что правовые основания для ежедневной постоянной обработки персональных данных работников, не включенных в названные перечни, отсутствуют.

Нет. В соответствии с Законом о защите персональных данных в случае, если законодательным актом, устанавливающим правовой режим охраняемой законом тайны, предусматриваются особенности обработки персональных данных (ПД), входящих в состав охраняемой законом тайны, применяются положения этого законодательного акта.

Законом об оказании психологической помощи определено, что информация, полученная при оказании психологической помощи, а также факт обращения за ее оказанием являются профессиональной тайной, охраняемой Законом.

Документация психолога об оказании психологической помощи применяется только для служебного пользования.

Сведения, составляющие профессиональную тайну, могут быть сообщены психологом третьим лицам только с согласия гражданина, обратившегося за оказанием помощи, или его законного представителя (за исключением случаев, предусмотренных частями третьей и четвертой 15 статьи Закона)

Частью первой статьи 105 Кодекса Республики Беларусь о браке и семье предусмотрена обязанность нанимателя, выплачивающего заработную плату, как на основании исполнительного листа, так и на основании письменного заявления лица, уплачивающего алименты, ежемесячно удерживать из его заработной платы денежные суммы установленных размеров с учетом ограничений, предусмотренных законодательными актами, и выплачивать (перечислять на счет, переводить по почте за счет средств лица, уплачивающего алименты) не позднее чем в трехдневный срок со дня выплаты заработной платы, пенсии, пособия, стипендии и осуществления других выплат лицу, указанному в заявлении или исполнительном листе.

Учитывая, что необходимость указания сведений о лице, которому осуществляется перечисление удержаний, вытекает из положений законодательного акта, а рассматриваемые правоотношения возникают в процессе трудовой деятельности заявителя, обработка персональных данных, указанных в заявлении лица, уплачивающего алименты, осуществляется на основании абзаца восьмого статьи 6 Закона без согласия субъектов персональных данных.

Сведения из ЕГБДП в отношении кандидатов на трудоустройство могут быть запрошены (истребованы у кандидата) только если запрос (предоставление) таких сведений предусмотрен законодательным актом либо законодательным актом установлены ограничения в связи с привлечением кандидатов на трудоустройство к административной и (или) уголовной ответственности.

Примеры.

Обязанность нанимателя запрашивать сведения из ЕГБДП в отношении кандидатов на руководящие должности при приеме на работу в государственные органы, иные государственные организации, а также организации, более 50 процентов акций (долей в уставном фонде) которых находится в государственной собственности, предусмотрена частью второй пункта 11 Декрета Президента Республики Беларусь от 15 декабря 2014 г. № 5 ”Об усилении требований к руководящим кадрам и работникам организаций“.

Частью первой статьи 14 Закона Республики Беларусь от 8 ноября 2006 г. № 175-З ”Об охранной деятельности в Республике Беларусь“ установлен запрет на прием на работу в военизированную охрану граждан, имеющих судимость.

В иных случаях с учетом требований к обработке персональных данных, предусмотренных статьей 4 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“, обработка таких сведений независимо от факта наличия (отсутствия) согласия субъекта персональных данных является избыточной и содержит признаки административного правонарушения, предусмотренного статьей 23.7 Кодекса Республики Беларусь об административных правонарушениях.

Избыточную обработку персональных данных также влечет получение нанимателем сведений обо всех случаях привлечения кандидата на трудоустройство к административной и (или) уголовной ответственности в ситуациях, когда законодательными актами при приеме на работу устанавливаются ограничения в связи с привлечением к ответственности за совершение определенных (конкретных) правонарушений (преступлений).

Пример.

В соответствии с абзацем пятым части четвертой статьи 170 Жилищного кодекса Республики Беларусь местный исполнительный и распорядительный орган отказывает в согласовании кандидатуры на должность председателя правления организации собственников, если кандидат ранее совершил умышленное преступление, судимость за которое не снята и не погашена.

Соответственно, для принятия решения о согласовании из ЕГБДП могут быть запрошены только сведения о совершении кандидатом на работу умышленных преступлений, судимость за которые не снята и не погашена.

Такое видеонаблюдение допускается лишь при наличии специфических обстоятельств, требующих постоянного контроля за деятельностью работника. При этом контроль за деятельностью и поведением работников не может выступать в качестве единственной цели использования видеонаблюдения.

Например, видеонаблюдение за работниками на рабочих местах может иметь место при наличии высокой степени рисков, связанных с опасными условиями труда (на строительных площадках, иных травмоопасных производствах и т.п.), работе с материальными ценностями (кассиры на торговых объектах, в банках и т.п.) или связанной с непрерывным обслуживанием клиентов.

В то же время видеонаблюдение за офисными работниками, работа которых не обременена подобными факторами, или выборочно на рабочих местах отдельных (конкретных) работников, выполняющих аналогичные функции, не соответствует требованиям статьи 4 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“.

В целях обеспечения принципа прозрачности обработки персональных данных (пункт 6 статьи 4 Закона) в организации должно быть разработано Положение о видеонаблюдении, в котором  следует отразить цель видеонаблюдения, места размещения камер и пространство, которое они охватывают, срок хранения видеозаписи и иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных, в том числе информацию о праве работника на получение персональных данных (в данном случае в форме видеозаписи) при реализации права на получение информации, касающейся обработки персональных данных, предусмотренного статьей 11 Закона.

Работники должны быть письменно проинформированы об установлении системы видеонаблюдения до начала ее применения. Кроме того, на территории, где ведется видеонаблюдение, должны быть установлены специальные информационные знаки (таблички).

Да, может. Статьей 4 Закона установлены общие требования к обработке персональных данных, обязательные к исполнению всеми операторами и уполномоченными лицами.

Согласно пункту 2 указанной статьи обработка персональных данных должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки и не должны быть избыточными по отношению к ним (пункт 5 статьи 4 Закона).

Так, в случае если прилагаемые копии документов являются основанием для издания распорядительных документов, оператор может их изготавливать, приобщать к распорядительным документам и хранить их в течение установленного законодательством срока.

Что касается копии документа, удостоверяющего личность, то с разъяснениями по ее изготовлению можно ознакомиться на сайте Центра.

Может.

Право нанимателя запрашивать характеристику с предыдущих мест работы предусмотрено статьей 26 ТК и пунктом 11 Декрета Президента № 5. В случае, когда лицо претендует на занятие должности в государственном органе (организации), наниматель обязан запросить такую характеристику.

Правовым основанием обработки персональных данных лиц-соискателей на трудоустройство при запросе и выдаче на них характеристики выступает абзац двадцатый статьи 6 Закона.

В случае, если у работника не было ранее работы по трудовому договору (был учащимся, студентом, индивидуальным предпринимателем, проходил военную службу и др.), характеристики не запрашиваются.

Частью второй пункта 2 статьи 29 Кодекса об образовании установлено, что если выдача документов, подтверждающих статус обучающегося, не является обязательной в соответствии с Кодексом, решение о выдаче таких документов принимается руководителем учреждения образования.

В силу предоставленных законодательным актом полномочий или при принятии решения о внедрении в учреждении образования билета учащегося, учреждение образования организует процесс обработки персональных данных в целях его оформления. В этой связи обработка персональных данных осуществляется без согласия субъекта персональных данных (его законных представителей) на основании абзаца двадцатого статьи 6 Закона.

При подключении к билету учащегося иных функций, то в зависимости от целей их осуществления и объема обрабатываемых в связи с этим персональных данных, правовым основанием обработки персональных данных может выступать согласие субъекта персональных данных, если подключение соответствующих функций осуществляется учреждением образования.

Если подключение дополнительных функций осуществляется учащимся или его законными представителями самостоятельно, вопрос наличия правового основания в связи с этим должен определяться в каждом конкретном случае оператором, предлагающим соответствующие услуги.

В большинстве случаев обработка учреждениями образования персональных данных (ПД) при организации обучения осуществляется без согласия субъектов ПД (их законных представителей) в силу требований законодательных и принятых на их основании иных нормативных правовых актов (статья 6 Закона о защите персональных данных).

При зачислении ребенка в школу согласие на обработку ПД ребенка не требуется, поскольку в статье 159 Кодекса об образовании установлены общие требования к приему лиц для получения общего среднего образования.

Да.

Пунктом 3 статьи 55 Кодекса об образовании установлено требование для учреждений образования размещать списки обучающихся, принятых (зачисленных) для получения образования, в доступных для ознакомления местах либо в глобальной компьютерной сети Интернет на официальном сайте.

Правовым основанием в данном случае является абзац двадцатый статьи 6 Закона, и получение согласия здесь не требуется.

Правомерны ли действия сотрудников учреждения дополнительного образования детей и молодежи?

Ответ: В полномочия учреждения дополнительного образования детей и молодежи не входит сбор и хранение копий свидетельства о рождении или документа, удостоверяющего личность.

В силу пункта 5 статьи 4 Закона о персональных данных содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Следовательно, такие действия являются избыточной обработкой персональных данных, что является нарушением пункта 5 статьи 4 Закона.

В данном случае Центр рекомендует  руководствоваться Положением о порядке функционирования интернет-сайтов государственных органов и организаций, утвержденным постановлением Совета Министров Республики Беларусь от 29 апреля 2010 г. № 645.

Размещение по решению руководителя учреждения образования на интернет-сайте, в соцсетях школы фотографий и видеозаписей с изображением участников мероприятия (в том числе несовершеннолетних) без получения их согласия в рамках новостного контента, освещения  мероприятий не является нарушением Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“.

Но важно помнить о соразмерности обработки ПД и исключении избыточности обработки этих данных. К примеру, если съемка производится на публичном мероприятии или в месте, открытом для свободного посещения, изображение ребенка не должно быть основным объектом на снимке, фотография должна отражать именно проводимое мероприятие.

В случае, если акцент делается на изображении ребенка, то для размещения такого фото или видео необходимо получать согласие участника мероприятия (в отношении несовершеннолетнего в возрасте до 16 лет – согласие одного из его законных представителей).

Нет, не требуется.

Правовым основанием такой обработки будет выступать абзац пятнадцатый статьи 6 Закона о защите персональных данных (персональные данные получены для целей проработки вопроса о последующем заключении договора о подготовке специалиста с высшим образованием).

В соответствии с абзацем двенадцатым статьи 1 Закона сведения о состоянии здоровья являются специальными персональными данными. Законодательством не предусмотрено предоставление такой информации без согласия субъекта персональных данных в рассматриваемой ситуации.

В соответствии с абзацем шестым пункта 2 статьи 8 Закона о защите персональных данных обработка специальных персональных данных может осуществляться без согласия субъекта персональных данных в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну.

Таким образом, для целей оказания медицинской помощи согласие пациента получать не требуется.

Вместе с тем пунктом 3 статьи 3 Закона предусмотрено, что в случае, если законодательным актом, устанавливающим правовой режим охраняемой законом тайны, предусматриваются особенности обработки персональных данных, входящих в состав охраняемой законом тайны, применяются положения этого законодательного акта.

В части тринадцатой статьи 44 Закона о здравоохранении установлено, что при формировании электронной медицинской карты пациента, информационных систем, информационных ресурсов, баз (банков) данных, реестров (регистров) в здравоохранении согласие, отзыв согласия на внесение и обработку персональных данных пациента или лиц, указанных в части второй статьи 18 Закона о здравоохранении, информации, составляющей врачебную тайну, отказ от их внесения и обработки оформляются на бумажном носителе или иным способом, не запрещенным законодательством, по формам и в порядке, установленным постановлением Министерства здравоохранения Республики Беларусь от 7 июня 2021 г. № 74 ”О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента“.

Следовательно, при формировании электронной медицинской карты пациента, информационных систем, информационных ресурсов, баз (банков) данных, реестров (регистров) организациям здравоохранения необходимо руководствоваться положениями Закона о здравоохранении и принятыми в его развитие нормативными правовыми актами и получать согласие пациента для этих целей.

Если же обработка персональных данных осуществляется организацией здравоохранения только на бумажных носителях, то такое согласие получать не требуется.

Нет. Обработка персональных данных без согласия человека возможна лишь в случаях, предусмотренных статьей 6 и пунктом 2 статьи 8 Закона о защите персональных данных.

Предоставление нанимателем медорганизации списка работников, подлежащих вакцинации, к таковым не относится.

Отметим также, что отношения по вакцинации возникают между пациентом и организацией здравоохранения (в лице ее медицинских работников) и не требуют обязательного  участия в обработке ПД третьей стороны (в данном случае – нанимателя).