Вступление
При заключении трудового договора наниматель сталкивается с обработкой персональных данных. Раньше этот вопрос мало кого волновал, но 15.11.2021 г. в Беларуси начал действовать закон «О защите персональных данных», где собраны и описаны все необходимые меры для соблюдения требований по хранению и обработке персональных данных в Республике Беларусь. Данная статья поможет Вам на языке закона Республики Беларусь понять какие существуют требования, предъявляемые к персональным данным.
Определение
Давайте с начала разберемся что такое персональные данные. Согласно этому закону персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано. Чтобы лучше понять это определение обратимся к статье 8 и 10 Закона Республики Беларусь от 21 июля 2008 г. № 418-З «О регистре населения» согласно которому к основным персональным данным относятся:
1.1. идентификационный номер;
1.2. фамилия, собственное имя, отчество (если таковое имеется);
1.3. пол;
1.4. число, месяц, год (далее – дата) рождения;
1.5. место рождения;
1.6. цифровой фотопортрет;
1.7. данные о гражданстве (подданстве);
1.8. данные о регистрации по месту жительства и (или) месту пребывания;
1.9. данные о смерти или объявлении физического лица умершим, признании безвестно отсутствующим, недееспособным, ограниченно дееспособным.
А к дополнительным персональным данным относятся данные:
1.1. о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях) физического лица;
1.4. о высшем образовании, ученой степени, ученом звании;
1.5. о роде занятий;
1.6. о пенсии, ежемесячном денежном содержании по законодательству о государственной службе (далее – ежемесячное денежное содержание), ежемесячной страховой выплате по обязательному страхованию от несчастных случаев на производстве и профессиональных заболеваний;
1.7. о налоговых обязательствах;
1.8. об исполнении воинской обязанности;
1.9. об инвалидности;
1.10. о наличии исполнительного производства на исполнении в органах принудительного исполнения.
Любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных называется обработка персональных данных. Обработка осуществляется с согласия субъекта, но существуют исключения в статьях 6 и 8.
Важный момент
Важным моментом в обработке персональных данных играет цель, ради которой обрабатываются эти данные. Цель влияет на содержание и объем обрабатываемых данных, на сроки их хранения. Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки. В случае необходимости изменения первоначально заявленных целей обработки персональных данных оператор обязан получить согласие субъекта персональных данных на обработку его персональных данных (далее – согласие субъекта персональных данных) в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных настоящим Законом и иными законодательными актами. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
Согласие субъекта
Как же получить согласие субъекта на обработку персональных данных? Статья 5 закона говорит, что согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных. Согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме. В иной электронной форме согласие субъекта персональных данных может быть получено посредством:
1) указания (выбора) субъектом персональных данных определенной информации (кода) после получения CMC-сообщения, сообщения на адрес электронной почты;
2) проставления субъектом персональных данных соответствующей отметки на интернет-ресурсе;
3) других способов, позволяющих установить факт получения согласия субъекта персональных данных.
Законодательными актами может быть предусмотрена необходимость получения согласия субъекта персональных данных только в письменной форме или в виде электронного документа.
До получения согласия субъекта персональных данных оператор в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязан предоставить субъекту персональных данных информацию, содержащую:
1) наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора, получающего согласие субъекта персональных данных;
2) цели обработки персональных данных;
3) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
4) срок, на который дается согласие субъекта персональных данных;
5) информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
6) перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
7) иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
Предоставление перечисленной информации субъекту персональных данных до получения его согласия дает ему возможность определить, кому он предоставляет свои персональные данные и с какой целью, стоит ему давать согласие на обработку персональных данных или нет.
До получения согласия субъекта персональных данных оператор обязан простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации. Субъект персональных данных при даче своего согласия оператору указывает свои фамилию, собственное имя, отчество (если таковое имеется), дату рождения, идентификационный номер, а в случае отсутствия такого номера – номер документа, удостоверяющего его личность. Операторы могут заранее готовить бланки на получения согласия. Их нужно заполнить и подписать. Каждый оператор с учетом своей специфики сам разрабатываает форму такого бланка. Если цели обработки персональных данных не требуют обработки информации, то эта информация не подлежит обработке оператором даже при получении согласия субъекта персональных данных на ее обработку.
Отзыв субъекта
Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие посредством подачи оператору заявления в определенном порядке, либо в форме, посредством которой получено его согласие. Такое заявление подается оператору в письменной форме либо в виде электронного документа. Заявление субъекта персональных данных должно содержать:
1)фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
2)идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
4)изложение сути требований субъекта персональных данных;
5)личную подпись либо электронную цифровую подпись субъекта персональных данных.
Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные рассматриваемым законом и иными законодательными актами. При отсутствии технической возможности удаления персональных данных оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок. Окончание срока действия договора, в соответствии с которым осуществлялась обработка персональных данных, или его расторжение также влекут прекращение обработки персональных данных и их удаление. Отзыв согласия субъекта персональных данных не имеет обратной силы, то есть обработка персональных данных до ее прекращения не является незаконной. Печатные издания, аудио- либо видеозаписи программ, радио-, телепрограммы, кинохроникальные программы, иная информационная продукция, содержащие персональные данные, выпущенные до момента отзыва согласия субъекта персональных данных, не подлежат изъятию из гражданского оборота.
Право на получение информации
Субъект персональных данных имеет право на получение информации, касающейся обработки своих персональных данных, содержащей:
1)наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора;
подтверждение факта обработки персональных данных оператором (уполномоченным лицом);
2) его персональные данные и источник их получения;
3) правовые основания и цели обработки персональных данных;
4) срок, на который дано его согласие;
5) наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;
6) иную информацию, предусмотренную законодательством.
Для получения названной информации субъект персональных данных подает оператору заявление. При этом субъект персональных данных не должен обосновывать свой интерес к запрашиваемой информации. Оператор обязан в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию, либо уведомить его о причинах отказа в ее предоставлении. Данная информация не предоставляется:
1)если персональные данные могут быть получены любым лицом посредством направления запроса в порядке, установленном законодательством, либо доступа к информационному ресурсу (системе) в глобальной компьютерной сети Интернет;
2)если обработка персональных данных осуществляется:
а) в соответствии с законодательством о государственной статистике;
б) в соответствии с законодательством в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь;
в) в соответствии с законодательством об оперативно-розыскной деятельности, процессуально-исполнительным законодательством об административных правонарушениях, уголовно-процессуальным, уголовно-исполнительным законодательством;
г) по вопросам ведения криминалистических учетов;
д) в иных случаях, предусмотренных законодательными актами.
Внесения изменения
Субъект персональных данных вправе требовать от оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает оператору заявление в установленном порядке, с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные. Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных внести соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами.