1. Главная
  2. Популярное на сайте
  3. Ответы на часто задаваемые

Ответы на часто задаваемые вопросы

О понятии персональных данных
Договор и согласие
Осуществление внутреннего контроля за обработкой персональных данных
Общие вопросы законодательства о персональных данных
Применение Закона ”О защите персональных данных“ в отношении иностранных организаций
Об обучении в Центре

Об обучении в центре

Кто ОБЯЗАН проходить обучение в Национальном центре защиты персональных данных Республики Беларусь, а также представлять информацию о количестве лиц, которым необходимо пройти обучение в Центре?

Категории обучаемых в Национальном центре защиты персональных данных лиц определены приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 194 ”Об обучении по вопросам защиты персональных данных“ . Это лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, выполняющие эти функции:

  • в банках и небанковских кредитно-финансовых организациях;
  • в страховых организациях;
  • у операторов электросвязи (за исключением индивидуальных предпринимателей);
  • в республиканской и территориальных организациях по государственной регистрации недвижимого имущества, прав на него и сделок с ним;
  • в Белорусской нотариальной палате, областных (Минской городской) нотариальных палатах;
  • в риэлтерских организациях;
  • в организациях здравоохранения;
  • в местных исполнительных и распорядительных органах (за исключением сельских (поселковых) исполнительных комитетов), их структурных подразделениях с правами юридического лица;
  • у операторов (уполномоченных лиц), организующих и (или) осуществляющих обработку персональных данных не менее 10 тыс. физических лиц, за исключением персональных данных работников этих операторов (уполномоченных лиц) в процессе осуществления трудовой (служебной) деятельности.

Именно указанные субъекты обязаны предоставлять в Национальный центр защиты персональных данных информацию в соответствии с частью второй подпункта 3.3 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“.

В Национальном центре защиты персональных данных также могут обучаться лица, непосредственно осуществляющие обработку персональных данных в организациях, указанных в подпункте 1.1 пункта 1 приказа Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 194, а также иные лица. В случае заинтересованности обучения таких лиц оператор (уполномоченное лицо) обеспечивает представление Национальному центру защиты персональных данных ежегодно до 15 ноября информации об их количестве. Вопрос об обучении данных лиц будет рассматриваться Национальным центром защиты персональных данных исходя из приоритета обязательного обучения отдельных категорий и имеющихся организационных возможностей.

Где могут проходить обучение лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, а также лица, непосредственно осуществляющие обработку персональных данных в организациях, не указанных в приказе Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 194 ”Об обучении по вопросам защиты персональных данных“?

В соответствии с абзацами четвертым – шестым части первой подпункта 3.3 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 такие лица могут пройти обучение:

  • в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов;
  • в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);
  • у оператора (уполномоченного лица), то есть непосредственно в организации, путем изучения требований в области защиты персональных данных и проверки знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).

Осуществление внутреннего контроля за обработкой персональных данных

Законом Республики Беларусь ”О защите персональных данных“ предусмотрено в качестве обязательной меры при обработке персональных данных назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (далее – лицо, ответственное за осуществление внутреннего контроля). Для чего это вообще нужно?

Наличие в любой организации множества бизнес-процессов, связанных с использованием персональных данных, различных целей и правовых оснований обработки персональных данных, круга лиц, которые имеют доступ к таким данным, обусловливают сложность повседневного контроля в этой сфере и нередко приводят к различного рода нарушениям. При этом многие нарушения обусловлены незнанием или ошибочным представлением о возможных (допустимых) пределах использования персональных данных, неосведомленностью о положениях законодательства о персональных данных.

Поэтому необходим действенный механизм обеспечения соблюдения Закона и недопущения претензий как со стороны уполномоченного органа по защите прав субъектов персональных данных, иных государственных органов, так и со стороны субъектов персональных данных, предотвращения репутационных потерь организации вследствие несоблюдения законодательства.

Его важнейшим элементом призван стать предусмотренный Законом институт внутреннего контроля за соблюдением законодательства о персональных данных. повышению эффективности данного института должен способствовать и предусмотренный в законодательстве о персональных данных специальный порядок обучения лиц, уполномоченных на осуществление внутреннего контроля.

В связи с изложенным не допустим формальный подход к назначению ответственного за осуществление внутреннего контроля и созданию условий для обеспечения его деятельности.

Каковы функции лица, ответственного за осуществление внутреннего контроля?

К основным функциям лица, ответственного за осуществление внутреннего контроля, могут, в частности, относиться следующие:

  • осуществление (участие в осуществлении) внутреннего контроля за обработкой персональных данных (в этих целях целесообразно иметь в организации положение о порядке проведения внутреннего контроля);
  • консультирование руководителя и работников по вопросам применения законодательства о персональных данных;
  • участие в разработке (поддержании в актуальном состоянии) документов, определяющих политику организации в отношении обработки персональных данных;
  • ведение (координация ведения) реестра обработки персональных данных;
  • участие в обучении работников организации и иных лиц, непосредственно осуществляющих обработку персональных данных по вопросам защиты персональных данных (в том числе разработка тестов, иных заданий, их проверка и т.п.);
  • участие в рассмотрении заявлений субъектов персональных данных;
  • взаимодействие с уполномоченным органом по защите прав субъектов персональных данных – Национальным центром защиты персональных данных.
Есть ли квалификационные требования к образованию или стажу работы для назначения на должность лица, ответственного за осуществление внутреннего контроля?

Конкретные квалификационные требования к работникам, на которых возлагаются функции ответственного за осуществление внутреннего контроля, Законом не определены. Однако с учетом возлагаемых на данных лиц функций, такое лицо должно назначаться c учетом знания законодательства о персональных данных (что, как правило, предполагает наличие юридического образования) и практики его применения, а также способности выполнять функции, возложенные на данное лицо.

Варианты назначения лица, ответственного за внутренний контроль

Назначение лица, ответственного за осуществление внутреннего контроля, может быть реализовано следующим образом:

  • освобожденный работник (структурное подразделение) – целесообразно в случае масштабной обработки персональных данных (особенно, если цель организации – извлечение прибыли);
  • возложение дополнительных функций на одного из работников организации. При этом для такого лица обработка персональных данных не должна быть основным видом деятельности, что призвано исключить потенциальный конфликт интересов. В связи с этим следует исключить назначение ответственного за осуществление внутреннего контроля из числа руководителей организации (их заместителей), а также структурных подразделений или работников, основные функции которых связаны с обработкой большого объема персональных данных (например, кадровые и бухгалтерские службы, структурные подразделения по обращениям граждан и т.п.). Кроме того, у назначенного работника должна быть объективная возможность выполнять соответствующие функции с учетом уже имеющихся должностных обязанностей;
  • возложение дополнительных функций на двух работников: на одного (например, юрисконсульт) – в части организационных и правовых мер, на другого (например, специалист по информационной безопасности) – в части мер по технической и криптографической защите персональных данных. При таком варианте требуется четкое распределение функций между указанными лицами, исключение противоречий в их деятельности. При этом, как и в предыдущем варианте, у назначенного работника должна быть объективная возможность выполнять соответствующие функции с учетом уже имеющихся должностных обязанностей.

Представляется нецелесообразным возложение соответствующих функций исключительно на ответственного за обеспечение защиты информации или инженера (программиста, системного администратора, специалиста по информационной безопасности и т.п.).

Не соответствует цели введения рассматриваемого института практика тех организаций, в которых лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, назначаются в каждом структурном подразделении. Это приводит к сложностям при их взаимодействии, конкуренции, возможности появления различных подходов по реализации законодательства о персональных данных в различных подразделениях. Кроме того, это может приводить к конфликту интересов, а также потребовать дополнительных временных и финансовых затрат на обучение таких лиц (например, на базе Национального центра защиты персональных данных).

Требуется ли от нанимателя какие-то дополнительные усилия для обеспечения деятельности лица, ответственного за осуществление внутреннего контроля?

В целях надлежащего выполнения организацией возложенных на нее Законом обязанностей рекомендуется обеспечить независимость лица, ответственного за осуществление внутреннего контроля, посредством:

  • предоставления доступа к документам и информации, в том числе обрабатываемой в информационных системах (ресурсах) в объеме, необходимом для выполнения возложенных на него обязанностей;
  • организации непосредственной подчиненности руководителю организации или его заместителю.
Влияет ли назначение лица, ответственного за осуществление внутреннего контроля, на вопрос о привлечении к ответственности за нарушение законодательства о персональных данных?

Важно обратить внимание, что в связи с назначением ответственного за осуществление внутреннего контроля ни оператор, ни уполномоченное лицо, ни работники организации, непосредственно осуществляющие обработку персональных данных, не освобождаются от ответственности, предусмотренной законодательными актами, за допущенные ими нарушения.

Общие вопросы законодательства о персональных данных

Я увидела свои персональные данные на сайте одной компании, а согласие на это не давала. Что делать для их удаления?

Следует обратиться к владельцу интернет-сайта с заявлением об удалении своих персональных данных.

Такое заявление надо направить  в письменной форме или в виде электронного документа. В нем необходимо указать:

  • ФИО,
  • адрес места жительства,
  • дату рождения,
  • требование об удалении персональных данных,
  • личную подпись или электронную цифровую подпись.

Ваше заявление должно быть рассмотрено оператором в 15-дневный срок после его получения.

В случае игнорирования требований или нарушения срока рассмотрения такого заявления Вы вправе обратиться в Национальный центр защиты персональных данных с жалобой.

В штате нашей компании работает психолог, который проводит тестирование сотрудников, к примеру, на выявление уровня стресса и профессионального выгорания. Имеет ли он право сообщать результаты психологической диагностики, содержащие персональные данные сотрудников, директору организации?

Нет. В соответствии с Законом о защите персональных данных в случае, если законодательным актом, устанавливающим правовой режим охраняемой законом тайны, предусматриваются особенности обработки персональных данных (ПД), входящих в состав охраняемой законом тайны, применяются положения этого законодательного акта.

Законом об оказании психологической помощи определено, что информация, полученная при оказании психологической помощи, а также факт обращения за ее оказанием являются профессиональной тайной, охраняемой Законом.

Документация психолога об оказании психологической помощи применяется только для служебного пользования.

Сведения, составляющие профессиональную тайну, могут быть сообщены психологом третьим лицам только с согласия гражданина, обратившегося за оказанием помощи, или его законного представителя (за исключением случаев, предусмотренных частями третьей и четвертой 15 статьи Закона)

Можно ли на сайте учреждения образования размещать фото учащихся? Нужно ли в этом случае брать согласие на обработку персональных данных?

В данном случае Центр рекомендует  руководствоваться Положением о порядке функционирования интернет-сайтов государственных органов и организаций, утвержденным постановлением Совета Министров Республики Беларусь от 29 апреля 2010 г. № 645.

Размещение по решению руководителя учреждения образования на интернет-сайте, в соцсетях школы фотографий и видеозаписей с изображением участников мероприятия (в том числе несовершеннолетних) без получения их согласия в рамках новостного контента, освещения  мероприятий не является нарушением Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“.

Но важно помнить о соразмерности обработки ПД и исключении избыточности обработки этих данных. К примеру, если съемка производится на публичном мероприятии или в месте, открытом для свободного посещения, изображение ребенка не должно быть основным объектом на снимке, фотография должна отражать именно проводимое мероприятие.

В случае, если акцент делается на изображении ребенка, то для размещения такого фото или видео необходимо получать согласие участника мероприятия (в отношении несовершеннолетнего в возрасте до 16 лет – согласие одного из его законных представителей).

Что такое биометрические персональные данные и есть ли особенности их обработки?

Биометрическими ПД является информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации.

Например:

  • отпечатки пальцев рук
  • отпечатки ладоней
  • радужная оболочка глаза
  • характеристики лица
  • изображение лица и другое.

Особенностью обработки биометрических ПД является осуществление оператором уникальной идентификации субъекта ПД путем сопоставления с помощью технических средств отпечатка пальца/ видеоизображения/ фотоизображения с образом (образцом отпечатка пальца, видео или фото субъекта ПД), который хранится в информационном ресурсе оператора.

Биометрические ПД являются специальными ПД и подлежат особой охране при их обработке оператором согласно Закону о защите персональных данных (п. 3 ст. 8).

Был в организации, вносил жалобу в «Книгу замечаний и предложений» и обратил внимание, что в ней уже много записей, в том числе содержащих персональные данные (ПД) иных лиц, с которыми я спокойно мог ознакомиться. Должна ли организация ограничить просмотр внесённых иными лицами записей?

Организации при предъявлении  книги замечаний и  предложений  обязаны обеспечить нераспространение  ПД предыдущих заявителей, содержащихся в данной книге, приняв для этого все необходимые меры.

Одним из способов по  нераспространению ПД предыдущих заявителей может быть закрытие их записей (например, бумагой) с оставлением для  заявителя только страницы книги, предназначенной для внесения его  замечаний и предложений.

Я являюсь членом садового товарищества (СТ) и за определенный период у меня накопилась небольшая задолженность. Руководитель СТ вывесил списки должников товарищества, где были и мои персональные данные. Имеет ли он право размещать информацию о должниках для всеобщего обозрения?

Распространение персональных данных (ПД)  граждан в связи с задолженностью по платежам СТ не относится к случаям, когда получение согласия на обработку ПД не требуется. Соответственно их распространение без согласия субъекта ПД является нарушением пункта 3 статьи 4 Закона о Защите персональных данных.

Вы вправе требовать от оператора прекращения обработки своих ПД, для этого Вам необходимо  подать оператору заявление в установленном  порядке (статья 14 Закона).

Поэтому Вам следует обратиться в СТ с требованием об удалении Ваших персональных данных, размещенных публично.

Одновременно с этим Вы вправе инициировать начало  административного процесса по статье 23.7 ”Нарушение законодательства о защите персональных данных“ КоАП.

Также, если СТ не удовлетворит Ваше требование, Вы можете направить жалобу в Центр.

Каким нормативным документом регулируется необходимость размещения на сайте всплывающего сообщения для пользователей по согласию или не согласию в отношении обработки куки файлов? Обязательно ли это делать на Интернет-ресурсе организации?

Специализированного правового регулирования обработки куки файлов в законодательстве нет. При этом с учетом определения персональных данных в Законе «О защите персональных данных» как любой информации, относящейся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано, куки файлы относятся к персональным данным.

При обработке куки файлов необходимо соблюдение требований статей 4, 5 и 17 Закона.

Я направил в госорган обращение. Мне пришел ответ, где было сказано, что мой вопрос изучен, в том числе путем получения необходимой информации в других инстанциях. Правильно ли это? Ведь запрашиваемая информация содержала, в том числе мои персональные данные.

Да, требования законодательства соблюдены.

Обязанность государственного органа, равно как и любой другой организации, индивидуального предпринимателя, принимать меры для полного, объективного, всестороннего и своевременного рассмотрения обращений установлена статьей 9 Закона Республики Беларусь «Об обращениях граждан и юридических лиц».

Поэтому для выполнения этой обязанности согласие заявителя на обработку персональных данных, необходимых для рассмотрения его обращения, не требуется в силу абзаца двадцатого статьи 6 Закона Республики Беларусь «О защите персональных данных».

Ответственность за нарушение законодательства о защите персональных данных

В соответствии со статьей 19 Закона Республики Беларусь ”О защите персональных данных“ лица, виновные в нарушении настоящего Закона, несут ответственность, предусмотренную законодательными актами. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных настоящим Законом, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

За нарушение законодательства о защите персональных данных, незаконные действия в отношении персональных данных, несоблюдение мер обеспечения их защиты установлена дисциплинарная, административная и уголовная ответственность.

Дисциплинарная ответственность:

Статья 47 ТК (с 29.06.2021)
Трудовой договор с работником может быть прекращен в случаях нарушения им порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных.

Кроме того, за нарушение должностных обязанностей в сфере обработки персональных данных может наступать также дисциплинарная ответственность и другие меры ответственности, предусмотренные Трудовым кодексом.

Административная ответственность:

Статья 23.7 КоАП (с 01.03.2021)

Нарушение законодательства о защите персональных данных

  1. Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, –влекут наложение штрафа в размере до пятидесяти базовых величин.
  2. Деяния, предусмотренные частью 1 настоящей статьи, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, – влекут наложение штрафа в размере от четырех до ста базовых величин.
  3. Умышленное незаконное распространение персональных данных физических лиц – влечет наложение штрафа в размере до двухсот базовых величин.
  4. Несоблюдение мер обеспечения защиты персональных данных физических лиц – влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя – от десяти до двадцати пяти базовых величин, а на юридическое – от двадцати до пятидесяти базовых величин.

Протоколы об административных правонарушениях по статье 23.7 КоАП имеют право составлять уполномоченные должностные лица органов внутренних дел, дела рассматриваются единолично судьей районного (городского) суда.

Уголовная ответственность:

Статья 203-1 УК (с 19.06.2021)

Незаконные действия в отношении информации о частной жизни и персональных данных

  1. Умышленные незаконные сбор, предоставление информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина наказываются общественными работами, или штрафом, или арестом, или ограничением свободы на срок до двух лет, или лишением свободы на тот же срок.

    Важно!!!!

    Уголовная ответственность по части первой статьи 203-1 УК возможна при наличии выраженного в установленном уголовно-процессуальным законом порядке требования лица, пострадавшего от преступления.

  2. Умышленное незаконное распространение информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшее причинение существенного вреда правам, свободам и законным интересам гражданина, наказывается ограничением свободы на срок до трех лет или лишением свободы на тот же срок со штрафом.
  3. Действия, предусмотренные частями 1 или 2 настоящей статьи, совершенные в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга, наказываются ограничением свободы на срок до пяти лет со штрафом, или лишением свободы на тот же срок со штрафом.

Статья 203-2 УК (с 19.06.2021)

Несоблюдение мер обеспечения защиты персональных данных

Несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий,- наказывается штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или исправительными работами на срок до одного года, или арестом, или ограничением свободы на срок до двух лет, или лишением свободы на срок до одного года.

Важно!!!!
Национальный центр защиты персональных данных не уполномочен на привлечение к ответственности за нарушение законодательства о защите персональных данных.

Предоставление информации третьим лицам: исчисление сроков

Гражданин может потребовать от оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено законодательными актами. При этом информация предоставляется за год, предшествующий дате подачи заявления.

Например, если заявление поступило 15 ноября 2022 г., то оператор предоставляет заявителю информацию о предоставлении его персональных данных третьим лицам за период с 15 ноября 2021 г. по 15 ноября 2022 г.

Вместе с тем у оператора отсутствует обязанность передавать информацию о предоставлении персональных данных третьим лицам второй раз в календарный год, в том числе за плату, если иное не предусмотрено законодательными актами.

Примечание: согласно части первой пункта 7 статьи 26 Закона Республики Беларусь от 21 июля 2008 г. № 418-З ”О регистре населения“ предоставление справок (выписок) из регистра населения, запрашиваемые физическим лицом более одного раза в пределах календарного года осуществляется на платной основе.

Кроме того, оператор вправе самостоятельно устанавливать размер и порядок взимания платы за второе и последующее, в пределах календарного года, обращение к нему за получением информации о предоставлении персональных данных третьим лицам, если в законодательстве не предусмотрены ограничения на возможность оказания таким оператором платных услуг.

Какой объем персональных данных следует включать в список аффилированных лиц хозяйственного общества?

В силу положений пункта 5 статьи 4 Закона о защите персональных данных обрабатываемые данные не должны быть избыточными по отношению к заявленным целям их обработки.

Требования к содержанию информации, включаемой в список аффилированных лиц хозяйственного общества, установлены только положениями Инструкции о порядке раскрытия информации на рынке ценных бумаг, утвержденной постановлением Министерства финансов Республики Беларусь от 13 июня 2016 г. № 43.

Согласно пункту 8 указанной Инструкции открытыми акционерными обществами (ОАО) представляется информация об аффилированных лицах, которая включает в отношении физического лица следующие сведения:

фамилия, собственное имя, отчество (если таковое имеется);

место жительства (указывается только с согласия физического лица);

основание (основания), в силу которого лицо признается аффилированным;

доля аффилированного лица в уставном фонде.

В соответствии с частью второй пункта 1 статьи 71 Закона о нормативных правовых актах до внесения изменений в нормативные правовые акты либо принятия (издания) новых нормативных правовых актов устранение пробелов в законодательстве (правовом регулировании) может осуществляться путем применения институтов аналогии закона.

В этой связи, применяя аналогию закона к рассматриваемым правоотношениям, Центр разъясняет, что объем персональных данных, включаемый в список аффилированных лиц хозяйственного общества, должен быть ограничен указанным выше перечнем.

При удержании алиментов на основании письменного заявления лица, уплачивающего их, наниматель осуществляет обработку указанных в заявлении персональных данных бывшей супруги. Нужно ли получать ее согласие на обработку персональных данных?

Частью первой статьи 105 Кодекса Республики Беларусь о браке и семье предусмотрена обязанность нанимателя, выплачивающего заработную плату, как на основании исполнительного листа, так и на основании письменного заявления лица, уплачивающего алименты, ежемесячно удерживать из его заработной платы денежные суммы установленных размеров с учетом ограничений, предусмотренных законодательными актами, и выплачивать (перечислять на счет, переводить по почте за счет средств лица, уплачивающего алименты) не позднее чем в трехдневный срок со дня выплаты заработной платы, пенсии, пособия, стипендии и осуществления других выплат лицу, указанному в заявлении или исполнительном листе.

Учитывая, что необходимость указания сведений о лице, которому осуществляется перечисление удержаний, вытекает из положений законодательного акта, а рассматриваемые правоотношения возникают в процессе трудовой деятельности заявителя, обработка персональных данных, указанных в заявлении лица, уплачивающего алименты, осуществляется на основании абзаца восьмого статьи 6 Закона без согласия субъектов персональных данных.

О праве субъекта персональных данных получать от оператора информацию о предоставлении своих персональных данных третьим лицам

В соответствии с пунктом 1 статьи 12 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон) субъект персональных данных вправе получать от оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами.

Предоставление такой информации субъекту персональных данных направлено на обеспечение понимания им пределов и характера обработки персональных данных и является необходимым компонентом реализации принципа прозрачности обработки персональных данных (пункт 6 статьи 4 Закона). Кроме того, получение этой информации обеспечивает возможность эффективной реализации прав субъектов персональных данных, в том числе права требовать прекращения обработки персональных данных.

В ходе осуществления контрольной деятельности Национальный центр защиты персональных данных столкнулся с проблемой неоднозначного понимания случаев, когда оператор должен предоставлять субъекту персональных данных информацию о предоставлении персональных данных третьим лицам, а также ее объема.

Согласно пункту 3 статьи 12 Закона информация о предоставлении персональных данных конкретного субъекта третьим лицам может не предоставляться в случаях, предусмотренных этим пунктом и пунктом 3 статьи 11 Закона. Таким образом, информация о предоставлении персональных данных субъекта персональных данных третьим лицам может не предоставляться:

1) если обработка персональных данных осуществляется в соответствии с законодательством об исполнительном производстве, при осуществлении правосудия и организации деятельности судов общей юрисдикции;

2) если персональные данные могут быть получены любым лицом посредством направления запроса в порядке, установленном законодательством, либо доступа к информационному ресурсу (системе) в глобальной компьютерной сети Интернет;

3) если обработка персональных данных осуществляется:

в соответствии с законодательством о государственной статистике;

в соответствии с законодательством в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь;

в соответствии с законодательством об оперативно-розыскной деятельности, процессуально-исполнительным законодательством об административных правонарушениях, уголовно-процессуальным, уголовно-исполнительным законодательством;

по вопросам ведения криминалистических учетов;

4) в иных случаях, предусмотренных законодательными актами.

Наибольшие сложности вызывает определение иных случаев, предусмотренных законодательными актами, как оснований для непредоставления запрашиваемой информации.

Наряду со случаями, когда в законодательном акте прямо предусмотрено, что информация о предоставлении персональных данных конкретного субъекта третьим лицам может не предоставляться, под иными случаями, в которых информирование субъекта персональных данных не производится, следует также понимать ситуации, когда в законодательном акте напрямую предусмотрено обязательство (обязанность) предоставления персональных данных с определенной периодичностью (без поступления соответствующих запросов).

Примеры.

а) В соответствии с абзацем шестым пункта 1 статьи 21 Закона Республики Беларусь от 15 июля 2021 г. № 118-З ”О взносах в бюджет государственного внебюджетного фонда социальной защиты населения Республики Беларусь“ организация, являющаяся плательщиком обязательных страховых взносов, обязана представлять в органы Фонда социальной защиты населения Министерства труда и социальной защиты установленные законодательством сведения и отчетность, обеспечивать своевременность выплаты пособий в счет начисленных обязательных страховых взносов.

б) Согласно статье 10 Закона Республики Беларусь от 12 июля 2013 г. № 57-З ”О бухгалтерском учете и отчетности“ организация, обязанная вести бухгалтерский учет и составлять отчетность, оформляет каждую хозяйственную операцию первичным учетным документом с указанием всех необходимых сведений, включая должности лиц, ответственных за совершение хозяйственной операции и (или) правильность ее оформления, их фамилии, инициалы и подписи.

в) В соответствии со статьей 22 Закона Республики Беларусь от 21 июля 2008 г. № 418-З ”О регистре населения“ государственные организации, вносящие персональные данные в регистр, в пределах своей компетенции обеспечивают внесение в регистр достоверных персональных данных, их актуализацию. При этом статьей 13 этого Закона предусмотрено, что внесение персональных данных в регистр осуществляется непрерывно в режиме реального времени через систему каналов связи в хронологическом порядке.

Данные ситуации следует отличать от случаев, когда оператор предоставляет персональные данные конкретных субъектов персональных данных по запросам государственных органов или иных организаций при реализации в конкретных ситуациях их полномочий, предусмотренных законодательными актами. Операторам необходимо вести учет таких фактов предоставления персональных данных третьим лицам.

Примеры.

а) В соответствии с абзацем вторым статьи 81Закона Республики Беларусь от 18 июля 2011 г. № 300-З ”Об обращениях граждан и юридических лиц“ организации, индивидуальные предприниматели имеют право запрашивать в установленном порядке документы и (или) сведения, необходимые для решения вопросов, изложенных в обращениях.

б) Пунктом 4 Положения о порядке организации и проведения проверок, утвержденного Указом Президента Республики Беларусь от 16 октября 2009 г. № 510 ”О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь“, предусмотрено, что контролирующие (надзорные) органы и проверяющие в пределах своей компетенции вправе в рамках вопросов, подлежащих проверке, требовать и получать от проверяемого субъекта, участников контрольного обмера необходимые для проверки документы (их копии), в том числе в электронном виде, иную информацию, касающуюся его деятельности и имущества.

Право на получение информации о предоставлении своих персональных данных третьим лицам может быть реализовано субъектом персональных данных:

один раз в календарный год (то есть один раз в период с 1 января по 31 декабря текущего года).

Пример.

Субъект персональных данных получил от оператора информацию о предоставлении его персональных данных третьим лицам 15 августа 2022 г. Таким образом, в 2022 году он реализовал свое право, предусмотренное статьей 12 Закона и, соответственно, не может требовать от оператора предоставления ему в течение 2022 года обновленной информации. Такое право может быть реализовано им не ранее 1 января 2023 г.;

бесплатно.

Пример.

Субъект персональных данных получил от оператора информацию о предоставлении его персональных данных третьим лицам бесплатно 15 августа 2022 г. Таким образом, в 2022 году он реализовал свое право, предусмотренное статьей 12 Закона и, соответственно, не может требовать от оператора предоставления ему в течение 2022 года обновленной информации на платной основе.

Законодательными актами могут быть предусмотрены иные условия предоставления информации, например:

возможность получения соответствующей информации с иной периодичностью;

возможность получения такой информации только на платной основе;

возможность получения информации однократно бесплатно, а в дальнейшем без ограничений на платной основе.

Пример.

В соответствии со статьей 13 Закона Республики Беларусь от 10 ноября 2008 г. № 441-З ”О кредитных историях“ субъекту кредитной истории кредитный отчет, в том числе в части сведений о запросах пользователей кредитной истории (банков, государственных органов и др.), предоставляется по его заявлению на получение кредитного отчета без уплаты вознаграждения один раз в течение календарного года и неограниченное количество раз в течение календарного года за вознаграждение.

Что касается объема предоставляемой субъекту персональных данных информации, то в соответствии с пунктом 2 статьи 12 Закона при получении от субъекта персональных данных соответствующего заявления оператор обязан предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления. При этом указанию подлежат конкретные данные (например, фамилия, собственное имя, отчество; адрес места жительства; сведения о заработной плате за период с… по… и т.п.), а также конкретные организации, которым такие данные предоставлялись.

При наличии однотипных случаев предоставления информации субъект персональных данных может быть проинформирован об этом без указания перечня конкретных дат, но с указанием на период и (или) периодичность такой передачи (например, 2 раза в ноябре текущего года; 3 раза в период с… по… и т.п.).

Применение закона "О защите персональных данных" в отношении иностранных организаций

Распространяется ли действие Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон) на иностранные организации, осуществляющие деятельность на территории Республики Беларусь?

Закон не содержит специальных положений, определяющих его действие в пространстве и по кругу лиц. В этой связи подлежат применению общие положения законодательства Республики Беларусь о нормативных правовых актах.

С учетом статьи 67 Закона Республики Беларусь от 17 июля 2018 г. № 130-З ”О нормативных правовых актах“ требования Закона не распространяются на обработку персональных данных иностранной организацией за пределами Республики Беларусь. Однако действие Закона распространяется на иностранные организации, осуществляющие свою деятельность на территории Республики Беларусь через представительства, открытые в порядке, предусмотренном законодательством Республики Беларусь, в части деятельности такого представительства.

Признается ли иностранная организация, осуществляющая свою деятельность на территории Республики Беларусь через представительство, оператором в соответствии с Законом?

Принимая во внимание то, что представительство иностранной организации не является самостоятельным юридическим лицом, а выступает в качестве обособленного подразделения иностранной организации, действует от имени и в интересах оператора, оператором, исходя из положений Закона, признается сама иностранная организация.

Необходимо ли иностранной организации, осуществляющей свою деятельность на территории Республики Беларусь, назначать ответственного за осуществление внутреннего контроля за обработкой персональных данных?

Назначение оператором структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, отнесено Законом к числу обязательных мер по обеспечению защиты персональных данных. При этом в целях эффективного выполнения оператором обязанностей, возложенных на него Законом, а также учитывая, что обработка персональных данных на территории Республики Беларусь будет осуществляться непосредственно представительством иностранной организации, целесообразным видится назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, именно в представительстве иностранной организации.

Будет ли иметь место трансграничная передача персональных данных в случае, если иностранная организация, расположенная за пределами Республики Беларусь, обрабатывает персональные данные, полученные от своего представительства в Республике Беларусь?

Исходя из положений Закона, ключевым критерием трансграничной передачи персональных данных является факт ее перемещения на территорию иностранного государства.

В случае передачи персональных данных иностранной организации, расположенной за пределами Республики Беларусь, ее представительством имеет место трансграничная передача, которая должна осуществляться представительством иностранной организации в соответствии со статьей 9 Закона.

Организация (оператор), являющаяся резидентом Республики Беларусь, при обработке персональных данных использует зарубежные программные продукты, применяемые также ее иностранным партнером, осуществляющим от имени этой организации или в ее интересах обработку персональных данных ее работников и клиентов, а также хранит эти персональные данные в облачных хранилищах данных и (или) на серверах, размещенных за пределами Республики Беларусь. Необходимо ли такой белорусской организации заключать в соответствии со статьей 7 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон) договоры поручения с иностранной организацией с учетом того, что действие этого Закона на них не распространяется?

Исходя из содержания Закона и статуса в отношениях, связанных с обработкой персональных данных, такая иностранная организация является уполномоченным лицом.

Поручение оператором уполномоченному лицу обработки персональных данных осуществляется на основании заключаемого между ними договора, акта законодательства либо решения государственного органа.

В этой связи при отсутствии акта законодательства или решения государственного органа отношения между оператором и уполномоченным лицом по поводу обработки персональных данных должны закрепляться договором.

В соответствии со статьей 7 Закона в таком договоре должны быть определены:

цели обработки персональных данных;

перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;

обязанности по соблюдению конфиденциальности персональных данных;

меры по обеспечению защиты персональных данных в соответствии со статьей 17 Закона, включая осуществление технической и криптографической защиты персональных данных.

При этом оператор, оставаясь ответственным перед субъектом персональных данных за действия уполномоченного лица, должен иметь возможность, при необходимости, подтвердить принятие уполномоченным лицом мер по обеспечению защиты персональных данных.

Понятие персональных данных

Что можно отнести к персональным данным?

В соответствии с Законом персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Закон не предусматривает ограничений или требований к носителям информации для признания такой информации персональными данными. Таким образом, форма представления информации значения не имеет. Это может быть текстовая информация на бумажном или электронном носителе, фотоизображение, видеозапись и др.

Кроме того, информация, составляющая персональные данные, охватывает как объективные данные (например, имя, возраст, место работы), так и субъективные мнения или оценки (например, уровень платежеспособности, результаты аттестации нанимателем работника)[1].

Прежде всего, для признания информации персональными данными необходимо, чтобы эта информация «относилась» к лицу. Этот признак призван ограничить всеобъемлющий характер определения персональных данных.

Информация относится к лицу, когда эта информация:

  • о каком-то лице (например, фото лица, история его болезни, обстоятельства рождения, место работы и др.);
  • не о самом лице, но она может быть использована для его оценки или влияния на поведение, реализации его прав и обязанностей (например, сведения GPS, определяющие место нахождения транспортного средств, могут быть использованы для оценки маршрута водителя, история звонков с рабочего телефона – для оценки использования средств связи нанимателя работником в личных целях).

Рассматриваемый признак исключает отнесение к персональным данным информации, когда такая информация является случайной по отношению к цели ее обработки и не может оказать влияния на субъекта персональных данных. Например, случайное изображение на фотографии, иллюстрирующей открытие нового магазина, транспортных средств с различимыми номерами. В данном случае целью обработки является не оценка владельца транспортного средства или оказание на него определенного влияния. Соответственно такие данные не должны признаваться персональными данными.

Иная ситуация, когда на специальном интернет-ресурсе размещаются фотографии автомобилей с различимыми номерами, которые демонстрируют нарушение автовладельцами правил дорожного движения (так называемые «доски позора»). Целью размещения таких фото как раз и является привлечение внимания к допущенному нарушению, оказание влияния на лицо в целях недопущения последующих нарушений. Кроме того, соответствующие данные могут использоваться и правоохранительными органами для привлечения владельца транспортного средства к ответственности. Поэтому в этом случае размещение фотографии транспортного средства следует рассматривать как обработку персональных данных.

При решении вопроса о том, относится ли информация к конкретному лицу, следует учитывать различные обстоятельства, в том числе:

  • содержание информации;
  • цель обработки;
  • возможное влияние обработки на конкретного субъекта.

Но не вся информация, которая касается лица или может оказать на него влияние, будет считаться персональными данными, а лишь та, на основании которой лицо идентифицировано или может быть идентифицировано.

[1] Article 29 Working Party Opinion 4/2007 on the concept of personal data // 01248/07/EN, WP136, 20.06.2007. P. 6.

Какое физическое лицо считается идентифицированным?

Идентифицированным является лицо, личность которого известна, которое однозначно выделено среди других лиц (мы на него указали, к нему можно обратиться, мы уже контактировали с данным лицом, знаем его и др.).

Наиболее распространенным вариантом такой ситуации на сегодняшний день является указание ФИО лица в совокупности с другими данными, которые однозначно выделяют лицо среди других лиц. Например, Ковалев Михаил Александрович, который приходил на личный прием 15.02.2022 в 10.30 по вопросу незаконной перепланировки жилого помещения, или Ковалев Михаил, который проживает по адресу г. Минск, ул. Руссиянова, 3-24.

Но даже если мы не знаем ФИО лица, то информация о нем может относиться к персональным данным как информация о физическом лице, которое может быть идентифицировано.

В чем отличие понятий: физическое лицо, которое может быть идентифицировано, и физическое лицо, которое может быть прямо или косвенно определено?

Физическое лицо, которое может быть идентифицировано, – физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

Данная формулировка Закона предусматривает отнесение к персональным данным информации о лице, которое может быть:

  • прямо определено;
  • косвенно определено.

Физическое лицо, которое может быть прямо определено, – это лицо – личность которого можно установить на основании той информации, которую мы рассматриваем, без использования дополнительных сведений.

Например, заведующий кафедрой криминалистики юридического факультета БГУ, менеджер ООО «Астра» и номер его телефона, одинокий пенсионер, проживающий по адресу, ул. Никифорова, д.18, кв.47, лучший бомбардир футбольного клуба «Минск» в 2020-2021 г., электрик Сергей Валерьевич из ЖЭС-110 и др.

Физическое лицо, которое может быть косвенно определено – это лицо, личность которого нельзя установить на основании той информации, которую мы рассматриваем, но это можно сделать путем объединения такой информации с иными сведениями, которыми мы располагаем или которые могут быть получены из других источников.

Так, поскольку в большинстве случаев имя и фамилия не являются уникальными (например, фамилия и имя Михаил Ковалев могут носить несколько десятков или даже сотен человек), то для определения конкретного лица может потребоваться получение дополнительной информации, например, даты и места рождения, информации о месте работы, учебы, месте жительства. И наоборот, знание места работы (например, юрисконсульт такой-то организации) зачастую недостаточно для идентификации лица, если соответствующих работников в организации несколько и может потребоваться дополнительная информация (например, имя).

Когда мы говорим о возможности получения дополнительной информации, речь идет о легальной возможности, а не о незаконных «пробивах» по базам или других «серых» схемах. При этом для признания сведений персональными реальная идентификация не требуется. Достаточно самой возможности идентификации. Кроме того, если идентификация лица зависит от объединения нескольких блоков информации, каждый из таких блоков в отдельности должен рассматриваться как персональные данные.

Закон предусматривает ряд идентификаторов, наличие которых может свидетельствовать о возможности прямого или косвенного определения лица:

  • ФИО;
  • дата рождения;
  • идентификационный номер;
  • один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

Так, например, к признакам, характерным для физической идентичности, могут относиться пол, рост, вес, цвет волос, состояние здоровья (например, дефект речи, инвалидность, фотографии, звукозаписи голосов и др.). Об экономической идентичности может свидетельствовать владение транспортным средством, объектами недвижимости, уровень заработной платы, номер кредитной карточки и др.). Социальная идентичность может характеризоваться посредством ссылок на вероисповедание, национальность, политические взгляды, социальные связи, высказывания и комментарии, сексуальная ориентация.

Это не полный перечень соответствующих идентификаторов. Можно выделить и дополнительные сведения, которые используются для прямого или косвенного определения лица:

  • номер телефона, почтовый адрес, адрес электронной почты;
  • номер паспорта и дата его выдачи;
  • история посещения сайтов, поисковые запросы;
  • IP-адрес, идентификатор файла cookie и др.

Важно учитывать, что вопрос об отнесении сведений к персональным данным должен решаться лишь в отношении конкретной ситуации. Информация, которая позволяет идентифицировать человека в одном контексте, может не идентифицировать человека в другом контексте. Так, например, имя Михаил Ковалев является весьма распространенным. Таких данных вполне достаточно для идентификации лица в небольшом коллективе, например, классе или даже в школе, но явно недостаточно для идентификации лица среди всего населения города или страны.

На то, можно ли идентифицировать человека с помощью конкретной информации, в значительной степени будет влиять, кто владеет информацией и имеет к ней доступ. Когда информация публикуется публично, доступ к ней может получить кто угодно в мире. Это может затруднить определение того, к какой дополнительной информации люди могут иметь доступ и какие у них могут быть мотивы для идентификации человека.

Является ли адрес электронной почты персональными данными?

Адреса электронной почты может быть достаточно, чтобы идентифицировать кого-то, когда в электронном адресе отражаются данные о лице (ФИО, дата рождения, место работы и др.) (например, Kovalev12.10.1983@cpd.by). В этом случае обработка такой информации, когда она «привязана» к лицу, является обработкой персональных данных.
В других ситуациях информация в электронном адресе лишь теоретически может быть связана с лицом и у субъекта может не быть реальных законных рычагов получения информации с целью идентификации лица. В таком случае данные не могут признаваться персональными. Например, info@cpd.by, 1237@gmail.com.

Можно ли отнести номер мобильного телефона к персональным данным?

Что касается номера мобильного телефона, то данная информация имеет специфику по сравнению с иными персональными данными, обусловленную возможностью связаться непосредственно с субъектом независимо от его желания. Такая возможность может использоваться не только для выяснения личности такого лица, но и в иных целях (оказания влияния на принятие решений (например, участвовать в голосовании и голосовать определенным образом), рассылки рекламных или иных нежелательных сообщений. Это может причинять беспокойство, вызывать раздражение, недовольство попытками завладеть вниманием лица.
Как следствие, даже не зная конкретного лица (например, не владея информацией о его ФИО лица и местоположении), которому принадлежит номер телефона, оператор может стремиться использовать данные способы связи для оказания влияния на него. Это может заставить субъекта изменить контактные данные или поменять оператора, по вине которого произошло нарушение его прав. Кроме того, неправомерное использование контактных данных может нарушить интересы третьих лиц, например, семьи субъекта.
В этой связи, если обработка номера телефона может иметь воздействие на лицо, причинять ему беспокойство и др., то такую обработку следует рассматривать как обработку персональных данных. Это позволяет делать внешние коммуникации ожидаемыми и предсказуемыми.

VIN-номер транспортного средства является персональными данными?

Много вопросов вызывает на практике и отнесение к персональным данным VIN-номера. Сейчас довольно распространена практика использования VIN-номера транспортного средства для проверки его истории (наличие аварий и др.). Использование такой информации имеет прямое влияние на владельца транспортного средства, когда покупатель откажется от сделки после проверки истории машины, то есть эта информация «относится» к лицу. При этом во многих случаях существуют легальные возможности «связать» транспортное средство с его владельцем. Подобные сведения содержатся в реестре движимого имущества, обремененного залогом, доступ к которому может получить любой желающий при условии внесения платы. Кроме того, широко распространена практика указания VIN-номера в объявлениях о продаже транспортных средств, где наряду с VIN-номером отражается информация о продавце и его контактные данные – номер телефона и (или) электронной почты. Таким образом, обработка VIN-номера в подобном случае должна рассматриваться как обработка персональных данных.