Общие вопросы защиты персональных данных

1. Настоящие Разъяснения подготовлены на основании абзаца восьмого пункта 3 статьи 18 Закона Республики Беларусь от 7 мая 2021 г. ”О защите персональных данных“ (далее, если не указано иное, – Закон) в целях формирования единообразных подходов к структуре и форме документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных (далее – Политика).
2. Для целей настоящих Разъяснений применяются термины в значениях, определенных в Законе.
3. Издание Политики предусмотрено абзацем третьим пункта 3 статьи 17 Закона в качестве обязательной меры по обеспечению защиты персональных данных для юридических лиц Республики Беларусь, иных организаций, индивидуальных предпринимателей, которые являются операторами или уполномоченными лицами, и направлено на обеспечение прозрачного характера обработки персональных данных (пункт 6 статьи 4 Закона).

Политика должна позволять субъектам персональных данных понимать, кем, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются. В этой связи в Политике необходимо обеспечить соотношение целей обработки персональных данных, категорий субъектов, чьи данные подвергаются обработке, перечня обрабатываемых персональных данных, правовых оснований их обработки и сроков хранения персональных данных.

Кроме того, Политика должна отражать имеющиеся у субъектов персональных данных права и механизмы их реализации.

4. Оператор (уполномоченное лицо) может подготовить либо одну общую Политику , либо несколько политик по отдельным направлениям деятельности или в отношении отдельных категорий субъектов персональных данных.

Издание одного документа может иметь место при отсутствии у операторов (уполномоченных лиц) большого количества бизнес-процессов, целей обработки персональных данных.

В иных случаях целесообразно издание нескольких документов (Политик), которые могут отражать отдельные процессы обработки персональных данных или быть предназначены для отдельных категорий субъектов персональных данных, например:

Политики в отношении обработки персональных данных (общие процессы обработки персональных данных (приложение 1 к настоящим Разъяснениям);

Политики обработки персональных данных в процессе трудовой деятельности (приложение 2 к настоящим Разъяснениям);

Политики обработки файлов cookie, если оператор (уполномоченное лицо) осуществляет обработку не только технических cookie-файлов (приложение 4 к настоящим Разъяснениям);

Политики видеонаблюдения (приложение 3 к настоящим Разъяснениям);

Политики обработки персональных данных участников программы лояльности;

Политики обработки персональных данных пользователей мобильного приложения и т.п.

При подготовке нескольких Политик необходимо обеспечить их согласованность между собой и соответствие локальным правовым актам оператора (уполномоченного лица).

5. Политика должна быть написана простым, ясным, доступным языком и отражать особенности обработки персональных данных у конкретного оператора (уполномоченного лица).

Следует избегать абстрактных или неоднозначных формулировок, не позволяющих субъекту персональных данных понять суть и параметры обработки персональных данных, в частности, таких слов, как ”может“, ”вероятно“, ”некоторый“, ”часто“, ”возможно“, ”в зависимости от ситуации“, а также излишнего цитирования актов законодательства, использования большого числа специальных терминов, подробного описания технических аспектов обработки персональных данных.

Политика должна быть доступной для восприятия. При наличии технической возможности целесообразно использовать многоуровневый подход (раскрытие раздела (рубрики) информации при нажатии на него), что позволит субъекту персональных данных перейти к определенному разделу Политики, к которому он хочет получить доступ, вместо того, чтобы просматривать большие объемы текста в поисках интересующих его сведений.

При необходимости для большей наглядности и доступности содержащейся в Политике информации, в том числе для облегчения понимания информации определенными категориями лиц (дети, пожилые люди и т.п.), могут использоваться:

табличные или графические (инфографики, схемы и т.п.) варианты ее представления;

возможность поиска по тексту Политики слов, интересующих субъекта персональных данных;

сокращения повторяющихся терминов, процессов, категорий, перечней и т.п.

6. Оператор (уполномоченное лицо) обязан (обязано) обеспечить неограниченный доступ к Политике. Способ обеспечения такого доступа определяется, в том числе, с учетом категорий субъектов персональных данных, для которых Политика предназначена.

При наличии у оператора (уполномоченного лица) официального сайта (далее – сайт) Политика  должна размещаться на сайте, как правило, на странице не ниже второго уровня или в элементе структуры сайта со сквозным отображением (футере сайта), что позволит обеспечить доступ к Политике с любой страницы сайта.

При наличии у оператора (уполномоченного лица) нескольких сайтов для разных направлений деятельности Политика размещается на каждом сайте. При этом при наличии у оператора (уполномоченного лица) отдельных Политик по соответствующим направлениям деятельности допускается размещение  на каждом сайте Политики по соответствующему отдельному направлению деятельности (например, на одном сайте предлагаются товары оптом для бизнеса, а на другом – в розницу для физических лиц), содержащей в том числе ссылку на Политику, комплексно описывающую обработку персональных данных у оператора (уполномоченного лица).

Если наряду с сайтом у оператора (уполномоченного лица) имеется мобильное приложение, неограниченный доступ к Политике должен быть предоставлен посредством такого приложения, например, из его главного меню.

При отсутствии у оператора (уполномоченного лица) сайта обеспечение неограниченного доступа к Политике осуществляется посредством ее размещения на информационных стендах или иными способами.

Так, при наличии страницы в социальной сети, посредством которой осуществляется коммуникация с субъектами персональных данных для оказания им услуг либо реализации товаров, Политика может быть размещена с использованием  предоставляемых этой социальной сетью инструментов (например, в случае использования Инстаграм – в Reels либо закрепленных постах).

В случае обработки персональных данных посредством видеонаблюдения соответствующая Политика может быть также размещена в общедоступных местах (например, при входе в здание, в фойе и т.п.) на бумажном носителе или в виде ссылки (QR-кода) на её текст на сайте.

С учетом категории субъектов персональных данных, для которых предназначена Политика обработки персональных данных в процессе трудовой деятельности, неограниченный доступ к такой Политике может быть обеспечен без ее размещения на сайте (например, путем размещения ее текста в общедоступной папке на локальном сетевом хранилище, на информационном  стенде оператора (уполномоченного лица), на странице корпоративного информационного ресурса).

7. Необходимо учитывать, что ознакомление с Политикой является правом, а не обязанностью субъекта персональных данных. В этой связи не допускается требовать ознакомления с Политикой, согласия с ней или ее принятия для получения доступа к сервису, оказания услуги, реализации товара. Такие действия субъекта персональных данных не могут рассматриваться в качестве его согласия на обработку персональных данных, в том числе на условиях, изложенных в Политике.
8. Политика должна поддерживаться в актуальном состоянии. Если в содержание Политики вносятся существенные изменения, включая изменение целей обработки, сроков хранения, порядка реализации прав субъектов персональных данных, условий трансграничной передачи, их следует доводить до сведения субъектов персональных данных заблаговременно до вступления в силу таких изменений.
9. В Политику включается следующая информация:

9.1. общие положения;

9.2. порядок и условия обработки персональных данных;

9.3. об уполномоченных лицах;

9.4. о трансграничной передаче персональных данных;

9.5. права субъектов персональных данных и механизмы их реализации.

10. В общих положениях отражается наименование оператора (уполномоченного лица), его контактные данные, сферы (бизнес-процессы), на которые распространяется действие Политики (например, обработка персональных данных пользователей сайта, приложения, лиц, претендующих на трудоустройство), используемые сокращения.

В целях обеспечения простоты и доступности изложения Политики в общих положениях не следует дублировать положения Закона (например, статей 1 и 4 Закона) без раскрытия особенностей их применения оператором (уполномоченным лицом).

11. При определении порядка и условий обработки персональных данных указываются:

перечень осуществляемых оператором (уполномоченным лицом) действий с персональными данными, источник получения персональных данных;

цели обработки персональных данных, а также применительно к каждой такой цели:

– категории субъектов персональных данных, чьи данные подвергаются обработке;

– перечень обрабатываемых персональных данных;

– правовые основания обработки персональных данных;

– срок хранения персональных данных.

При осуществлении оператором (уполномоченным лицом) распространения персональных данных необходимо указать цель такой обработки, а также источник, посредством которого такое распространение осуществляется.

В Политике могут указываться принимаемые правовые, организационные и технические меры по обеспечению защиты персональных данных, например, как персональные данные защищены от неправомерных действий третьих лиц, механизм контроля за уполномоченным (субуполномоченным) лицом.

12. Цели обработки персональных данных должны быть конкретными, законными и формулироваться до начала такой обработки. Они могут основываться на требованиях законодательства, положениях договоров, вытекать из осуществляемой оператором (уполномоченным лицом) деятельности.

Не допускается указание абстрактных или общих целей, которые не определяют пределы обработки и не позволяют субъекту персональных данных понять, для чего будут обрабатываться его персональные данные.

В частности, не соответствуют критерию конкретности следующие формулировки:

”для совершенствования деятельности организации“;

”для разработки новых услуг“;

”в исследовательских целях“ (за исключением случаев, когда речь идет об обработке обезличенных персональных данных);

”для обеспечения реализации Устава“;

”для обеспечения соблюдения законодательства“.

13. В качестве категорий субъектов персональных данных в Политике могут быть, в частности, указаны:

посетители;

покупатели (заказчики);

пациенты;

абитуриенты;

студенты, лица, проходящие практику;

кандидаты на трудоустройство;

работники, в том числе уволенные, а также их родственники (члены семьи);

граждане, подавшие (подающие) обращения;

граждане, обратившиеся (обращающиеся) за осуществлением административной процедуры;

пользователи интернет-сайта (мобильного приложения) оператора и иные конкретные категории субъектов персональных данных и др.

14. Перечень обрабатываемых персональных данных определяется с учетом заявленной цели. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленной цели (пункт 5 статьи 4 Закона).

Перечень обрабатываемых персональных данных может отражаться в Политике путем их перечисления, отсылки к акту законодательства, перечисляющему персональные данные или устанавливающему соответствующую форму, посредством закрепления критериев, очерчивающих объем обрабатываемых данных, и т.п.

15. Правовые основания обработки персональных данных указаны в статьях 5, 6 и пункте 2 статьи 8 Закона.

Если обработка персональных данных  необходима для выполнения обязанностей (полномочий), предусмотренных законодательными актами, наряду со ссылкой на соответствующий абзац статьи 6 или пункта 2 статьи 8 Закона в качестве правового основания также указывается законодательство, которое содержит соответствующую обязанность (полномочие). При этом с учетом имеющихся у оператора (уполномоченного лица) специфики бизнес-процессов или отдельных целей обработки персональных данных допускается указание на законодательство без ссылки на конкретные структурные элементы (например, законодательство о труде, о защите прав потребителей, об архивном деле и делопроизводстве, об обращениях граждан и юридических лиц, об административных процедурах, о государственных закупках и т.п.). В таком случае информация о конкретном нормативном правовом акте и (или) его структурном элементе подлежит уточнению при учете и систематизации обработок, а также представлению субъекту персональных данных при поступлении от него соответствующего заявления о реализации прав или Национальному центру защиты персональных данных при поступлении от него соответствующего запроса.

16. Срок хранения персональных данных отражается с указанием на дату или период времени либо критерии, используемые для определения такого срока.
17. В случае если оператор поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), в Политике отражается:

наименование и местонахождение уполномоченного лица (уполномоченных лиц), а при невозможности указания данной информации из-за  большого количества уполномоченных лиц, динамичности или краткосрочности договорных отношений – категории уполномоченных лиц. При этом следует избегать общих формулировок, таких как ”подрядчики“, ”партнеры“, ”контрагенты“ без указания конкретных сфер их деятельности. Допускается указание в Политике ссылки (QR-кода) на информацию, размещенную в открытом доступе, например, на сайте, и содержащую перечень уполномоченных лиц;

цели обработки персональных данных, для реализации которых привлекается уполномоченное лицо (уполномоченные лица). В случае, если уполномоченному лицу оператором предоставлено право привлекать к обработке персональных данных третьих (субуполномоченных) лиц, соответствующая информация отражается  в Политике.

18. При осуществлении трансграничной передачи персональных данных в Политике применительно к каждой цели передачи персональных данных отражаются:

субъекты (категории субъектов) в иностранных государствах, которым персональные данные передаются;

иностранные государства, на территории которых находятся такие субъекты (категории субъектов);

правовые основания трансграничной передачи;

передаваемые персональные данные.

В качестве правовых оснований трансграничной передачи персональных данных могут быть указаны:

основания, предусмотренные статьями 5, 6 и пунктом 2 статьи 8 Закона (в случае передачи персональных данных в иностранные государства, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных);

основания, предусмотренные пунктом 1 статьи 9 Закона (в случае передачи персональных данных в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных).

Кроме того, в Политике указывается, отнесены ли иностранные государства, куда осуществляется трансграничная передача персональных данных, к государствам, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных.

Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определен приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14.

Если трансграничная передача персональных данных осуществляется в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, или определить государства, в которые она осуществляется, невозможно, в Политике допускается указание обобщенного перечня государств (например, иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных), а также может быть отражена информация о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты.

Если трансграничная передача персональных данных не осуществляется, информация об этом также отражается в Политике.

19. Права субъектов персональных данных закреплены в главе 3 Закона.

При перечислении прав субъектов персональных данных в Политике описывается, как субъекты персональных данных могут подать заявления о реализации своих прав и порядок их рассмотрения (приложение 5 к настоящим Разъяснениям). Указываются также контактные данные лица (структурного подразделения) оператора, ответственного за осуществление внутреннего контроля за обработкой персональных данных (например, адрес электронной почты и (или) контактный номер телефона) .

Оператор вправе предусмотреть в Политике возможность подачи субъектом персональных данных заявления о реализации его прав посредством информационного ресурса (системы) без соблюдения требований статьи 14 Закона. При этом предоставление такой возможности не является для оператора обязательным.

Скачать документ