Обработка и хранение персональных данных в Беларуси: как подготовиться к проверке и избежать штрафов?
Дата публикации: 19.08.2023

Если вы ведете бизнес в интернете (маркетплейс, интернет-магазин, онлайн-школа или любая другая компания), то у вас есть собственный сайт, который используется как для продажи товаров и услуг, так и для сбора информации о клиентах, подписчиках и лидах. А значит важно обеспечить конфиденциальность этих данных, их правильный сбор, обработку и хранение.
Руководитель нашего агентства Владимир Андриенко, а также менеджеры команды побеседовали с белорусской юристкой частной практики Анастасией Жаврид на тему персональных данных.
По результатам встречи мы написали эту статью, в которой рассказываем, какие шаги нужно предпринять, чтобы соблюсти законодательство о защите персональных данных, и какие документы необходимо оформить всем, кто планирует собирать, хранить и использовать информацию о пользователях и клиентах.
Содержание
Согласие на обработку персональных данных
Политика конфиденциальности (или Политика обработки персональных данных)
Положение об обработке и защите персональных данных
Приказ об утверждении документов и назначении ответственного
Введение
Закон «О защите персональных данных» вступил в силу в конце 2021 года. В течение 2022-го юристы и бизнес уже пользовались им, складывалась практика правоприменения.
Также прошли первые проверки на предмет соблюдения Закона «О защите персональных данных» в крупных торговых сетях. У больших брендов, как правило, есть программы лояльности, а также большая аудитория покупателей. Именно поэтому мониторинг начали с этого сегмента. Но наверняка проверки продолжатся. Рекомендуем к ним подготовиться заранее.
Персональные данные с точки зрения белорусского законодательства – это любая информация, позволяющая идентифицировать физическое лицо. Любые сведения, которые помогают связаться с человеком – телефон, email, адрес, имя пользователя в мессенджере – являются персональными. Поэтому полное информированное согласие лица на сбор и обработку его данных является обязательным. |
Сегодня одной галочки на сайте, чтобы получить почту или телефон пользователя, уже недостаточно. Полное информированное согласие лица включает в себя:
-
права лица, прописанные понятным языком,
-
цели сбора данных.
Права лица и цели сбора, в том или ином виде, отражаются в четырех документах. В публикации мы познакомим вас ними и покажем примеры.
Наши образцы документов не является универсальными и должны быть адаптированы под ваш бизнес и ваши цели, но точно могут быть основой, от которой можно оттолкнуться.
_________________________________________________________
Согласие на обработку персональных данных
Как может выглядеть такой документ:
Требования к содержанию Согласия на обработку данных
В документе необходимо указать:
-
какие персональные данные собираем,
-
для каких целей они нужны,
-
срок хранения данных (обычно пишут три года),
-
как будут обрабатываться данные,
-
какие у физического лица есть права (стандартные из закона).
Технические требования к Согласию на обработку данных
Согласие на обработку данных размещается в анкете или форме для сбора данных на сайте. В конце документа должна стоять галочка. Можно сделать его гиперссылкой или еще в каком-то виде, но обязательно должна быть возможность прочесть полную версию текста.
Пример, когда ссылка на Согласие на обработку данных размещена в форме подписки для получения имела с целью проморассылок |
Важно помнить, что несогласие предоставить персональные данные не должно ухудшать положение лица (например, возможность воспользоваться скидками и акциями у человека должна оставаться).Просто мы не сможем с ним связаться, чтобы сообщить ему о распродаже по почте или по телефону. |
_________________________________________________________
Политика конфиденциальности (или Политика обработки персональных данных)
Как может выглядеть такой документ:
Требования к содержанию Политики конфиденциальности
-
Перечисляем цели сбора данных, прописываем конкретный перечень (общих фраз недостаточно).
Фрагмент образца Политики конфиденциальности: пример, когда цель сбора данных – проморассылка по имейл |
Некоторые компании делают разные политики для разных целей. Например, для подписчиков – одну политику конфиденциальности, а для сотрудников (для деятельности, не связанной с трудовыми отношениями) – другую.
-
Оформляем раздел о передачи данных третьим лицам.
Например, если вы берете имейл подписчика для последующей коммерческой email-рассылки, то его данные нужно будет предоставить некоторым сервисам (компаниям), которые вы будете использовать: сервисы рассылок (Unisender, SendPulse), сервисы аналитики (Яндекс, Google) и так далее. А значит нужно указать эти юрлица в Политике обработки персональных данных.
Важно соблюдать безопасность передачи данных и заботиться об этом. Информация о клиентах не должна попасть в открытый доступ и не должна быть «слита». |
-
Оформляем раздел с разъяснением прав физического лица, у которого берем данные.
Позже эти права переносятся в Согласие на обработку персональных данных. Также нужно объяснить понятным языком, что необходимо сделать субъекту, чтобы его персональные данные удалили. Физическое лицо имеет на это право. Как правило, для удаления данных достаточно запроса на электронный адрес компании.
Технические требования к Политике конфиденциальности
Ссылка на Политику конфиденциальности размещается на главной странице (часто в подвале), а также в анкете или форме для сбора данных на сайте.
Это открытый документ, который может посмотреть каждый желающий у любого юридического лица.
Помимо открытых документов, есть еще и внутренние локальные акты, которые также должны быть оформлены в соответствии с законодательством.
_________________________________________________________
Положение об обработке и защите персональных данных
Как может выглядеть такой документ:
Требования к содержанию Положения об обработке персональных данных
Типовой документ скачать в интернете не получится. Положение должно быть весьма подробным и написано под цели вашей компании. Содержание у разных юридических лиц будет отличаться.
Этот документ создается исключительно для внутреннего использования. В нем мы также прописываем категории субъектов персональных данных, цели и правила обработки, права и обязанности субъектов.
Технические требования к Положению об обработке персональных данных
Положение создается, регистрируется и подписывается в установленном в организации порядке.
Проверяющие органы в первую очередь беседуют о содержании локально-нормативного акта с должностным лицом, ответственным за обработку и хранение персональных данных.
Практика показывает, что многие компании нанимают отдельного сотрудника, который будет заниматься вопросами персональных данных. Крупные сети уже имеют целый отдел по защите и обработке персональных данных.
_________________________________________________________
Приказ об утверждении документов и назначении ответственного
Как может выглядеть такой документ:
Требования к содержанию Приказа об утверждении документов и назначении ответственного
Пожалуй самый простой документ, который также является внутренним. Приказом мы утверждаем Политику конфиденциальности и Положение об обработке и защите персональных данных, а также возлагаем обязанности по обработке на какое-то должностное лицо.
Технические требования к Приказу об утверждении документов и назначении ответственного
Приказ создается, регистрируется и подписывается в установленном в организации порядке.
Надеемся, теперь вопрос обработки и хранения данных не кажется вам таким уж сложным. Важно разложить процесс на части, назначить ответственных, определить цели и оформить все необходимые документы. И тогда вы не будете переживать из-за грядущих проверок.
Вам также будет интересно
Что такое реактивационные письма и могут ли они принести пользу для бизнеса?
Если в вашей базе собрано много клиентов, которые ранее совершали покупки, но по какой-то причине перестали это делать — эта статья для вас. Мы расскажем, как вернуть их обратно с помощью реактивации.
Как увеличить доходимость до вебинара
Эксперты, бизнесы и компании часто используют вебинары как инструмент повышения лояльности аудитории и узнаваемости бренда, а также для стимулирования продаж. Чем больше человек посетит вашу онлайн-встречу, тем лучше будут результаты. В статье мы расскажем, как увеличить показатель доходимости до вебинара.