Обработка и хранение персональных данных в Беларуси: как подготовиться к проверке и избежать штрафов?

Обработка и хранение персональных данных в Беларуси: как подготовиться к проверке и избежать штрафов?

 

Если вы ведете бизнес в интернете (маркетплейс, интернет-магазин, онлайн-школа или любая другая компания), то у вас есть собственный сайт, который используется как для продажи товаров и услуг, так и для сбора информации о клиентах, подписчиках и лидах. А значит важно обеспечить конфиденциальность этих данных, их правильный сбор, обработку и хранение.

 

Руководитель нашего агентства Владимир Андриенко, а также менеджеры команды побеседовали с белорусской юристкой частной практики Анастасией Жаврид на тему персональных данных. 

 

фото 1

фото 2

 

По результатам встречи мы написали эту статью, в которой рассказываем, какие шаги нужно предпринять, чтобы соблюсти законодательство о защите персональных данных, и какие документы необходимо оформить всем, кто планирует собирать, хранить и использовать информацию о пользователях и клиентах.

 

Содержание

 

Введение

Согласие на обработку персональных данных

Политика конфиденциальности (или Политика обработки персональных данных)

Положение об обработке и защите персональных данных

Приказ об утверждении документов и назначении ответственного

 

Введение

 

Закон «О защите персональных данных» вступил в силу в конце 2021 года. В течение 2022-го юристы и бизнес уже пользовались им, складывалась практика правоприменения. 

 

Также прошли первые проверки на предмет соблюдения Закона «О защите персональных данных» в крупных торговых сетях. У больших брендов, как правило, есть программы лояльности, а также большая аудитория покупателей. Именно поэтому мониторинг начали с этого сегмента. Но наверняка проверки продолжатся. Рекомендуем к ним подготовиться заранее.



Персональные данные с точки зрения белорусского законодательства это любая информация, позволяющая идентифицировать физическое лицо. Любые сведения, которые помогают связаться с человеком телефон, email, адрес, имя пользователя в мессенджере являются персональными. 


Поэтому полное информированное согласие лица на сбор и обработку его данных является обязательным. 

 

Сегодня одной галочки на сайте, чтобы получить почту или телефон пользователя, уже недостаточно. Полное информированное согласие лица включает в себя:

 

  • права лица, прописанные понятным языком,

  • цели сбора данных.

 

Права лица и цели сбора, в том или ином виде, отражаются в четырех документах. В публикации мы познакомим вас ними и покажем примеры. 

 

Наши образцы документов не является универсальными и должны быть адаптированы под ваш бизнес и ваши цели, но точно могут быть основой, от которой можно оттолкнуться. 

_________________________________________________________

Согласие на обработку персональных данных 

 

Как может выглядеть такой документ:

Фрагмент образца информированного Согласия

Фрагмент образца информированного Согласия на обработку данных

 

 

Требования к содержанию Согласия на обработку данных

 

В документе необходимо указать:

 

  • какие персональные данные собираем,

  • для каких целей они нужны,

  • срок хранения данных (обычно пишут три года),

  • как будут обрабатываться данные, 

  • какие у физического лица есть права (стандартные из закона).

 

Фрагмент образца

Фрагмент образца информированного Согласия на обработку данных

 

 

Технические требования к Согласию на обработку данных

 

Согласие на обработку данных размещается в анкете или форме для сбора данных на сайте. В конце документа должна стоять галочка. Можно сделать его гиперссылкой или еще в каком-то виде, но обязательно должна быть возможность прочесть полную версию текста. 

 

Пример

Пример, когда ссылка на Согласие на обработку данных размещена в форме подписки для получения имела с целью проморассылок

 

Важно помнить, что несогласие предоставить персональные данные не должно ухудшать положение лица (например, возможность воспользоваться скидками и акциями у человека должна оставаться).Просто мы не сможем с ним связаться, чтобы сообщить ему о распродаже по почте или по телефону. 



_________________________________________________________

Политика конфиденциальности (или Политика обработки персональных данных)

Как может выглядеть такой документ:

Фрагмент образца Политики конфиденциальности

Фрагмент образца Политики конфиденциальности

 

 

Требования к содержанию Политики конфиденциальности 

 

  • Перечисляем цели сбора данных, прописываем конкретный перечень (общих фраз недостаточно).

 

Фрагмент образца Политики конфиденциальности

Фрагмент образца Политики конфиденциальности: пример, когда цель сбора данных – проморассылка по имейл

 

Некоторые компании делают разные политики для разных целей. Например, для подписчиков – одну политику конфиденциальности, а для сотрудников (для деятельности, не связанной с трудовыми отношениями) – другую. 

 

  • Оформляем раздел о передачи данных третьим лицам.

 

Например, если вы берете имейл подписчика для последующей коммерческой email-рассылки, то его данные нужно будет предоставить некоторым сервисам (компаниям), которые вы будете использовать: сервисы рассылок (Unisender, SendPulse), сервисы аналитики (Яндекс, Google) и так далее. А значит нужно указать эти юрлица в Политике обработки персональных данных.  

 

Фрагмент образца 2

Фрагмент образца Политики конфиденциальности

 

Важно соблюдать безопасность передачи данных и заботиться об этом. Информация о клиентах не должна попасть в открытый доступ и не должна быть «слита».

 

  • Оформляем раздел с разъяснением прав физического лица, у которого берем данные.

 

Позже эти права переносятся в Согласие на обработку персональных данных. Также нужно объяснить понятным языком, что необходимо сделать субъекту, чтобы его персональные данные удалили. Физическое лицо имеет на это право. Как правило, для удаления данных достаточно запроса на электронный адрес компании. 

 

Фрагмент образца

Фрагмент образца Политики конфиденциальности

 

 

Технические требования к Политике конфиденциальности

 

Ссылка на Политику конфиденциальности размещается на главной странице (часто в подвале), а также в анкете или форме для сбора данных на сайте.

 

Пример

Пример, когда Политика обработки персональных данных размещена на главной странице сайта

 

Это открытый документ, который может посмотреть каждый желающий у любого юридического лица. 

 

Пример 2

Пример, когда ссылка на Политику обработки персональных данных размещена в подвале сайта



Помимо открытых документов, есть еще и внутренние локальные акты, которые также должны быть оформлены в соответствии с законодательством.

 

_________________________________________________________

Положение об обработке и защите персональных данных

Как может выглядеть такой документ:

Фрагмент образца 3

Фрагмент образца Положения об обработке персональных данных

 

 

Требования к содержанию Положения об обработке персональных данных 

 

Типовой документ скачать в интернете не получится. Положение должно быть весьма подробным и написано под цели вашей компании. Содержание у разных юридических лиц будет отличаться.

 

Этот документ создается исключительно для внутреннего использования. В нем мы также прописываем категории субъектов персональных данных, цели и правила обработки, права и обязанности субъектов. 

 

пример 5

Фрагмент образца Положения об обработке персональных данных

 

 

Технические требования к Положению об обработке персональных данных

 

Положение создается, регистрируется и подписывается в установленном в организации порядке.

 

Проверяющие органы в первую очередь беседуют о содержании локально-нормативного акта с должностным лицом, ответственным за обработку и хранение персональных данных. 

 

Практика показывает, что многие компании нанимают отдельного сотрудника, который будет заниматься вопросами персональных данных. Крупные сети уже имеют целый отдел по защите и обработке персональных данных. 

 

_________________________________________________________

 

Приказ об утверждении документов и назначении ответственного

Как может выглядеть такой документ:

Пример приказа

Образец Приказа об утверждении документов и назначении ответственного

 

 

Требования к содержанию Приказа об утверждении документов и назначении ответственного

 

Пожалуй самый простой документ, который также является внутренним. Приказом мы утверждаем Политику конфиденциальности и Положение об обработке и защите персональных данных, а также возлагаем обязанности по обработке на какое-то должностное лицо.

 

 

Технические требования к Приказу об утверждении документов и назначении ответственного

 

Приказ создается, регистрируется и подписывается в установленном в организации порядке.


Надеемся, теперь вопрос обработки и хранения данных не кажется вам таким уж сложным. Важно разложить процесс на части, назначить ответственных, определить цели и оформить все необходимые документы. И тогда вы не будете переживать из-за грядущих проверок.