В этой статье мы собрали самое важное: основные термины, комментарии эксперта и рекомендации, как проверить, готова ли ваша компания к проверке регулятора. Кратко: что же такое персональные данные? 7 мая 2021 года в Беларуси принят Закон № 99-З «О защите персональных данных». Практически каждая организация имеет дело с ПД: обрабатывает данные о клиентах, работниках или партнерах. Поэтому Закон № 99-З «О защите персональных данных» — неотъемлемая составляющая работы компаний в Беларуси, которые обязаны соблюдать ряд требований: правовых, организационных и технических. Для начала договоримся об основных терминах. → Персональные данные или ПД — любая информация, с помощью которой можно установить личность и оказать на нее влияние. → Оператор ПД — организация или физическое лицо, включая самозанятых и индивидуальных предпринимателей, которые по своей инициативе или во взаимодействии с третьими лицами определяют порядок и производят обработку персональных данных. → Уполномоченное лицо — сторонняя организация для обработки данных, например SMS-рассыльщик, хостинг-провайдер, техническое сопровождение 1С, бухгалтерский аутсорс и так далее. → Субъект ПД — любой человек, чьи данные обрабатывает компания: работник, клиент, пользователь личного кабинета, контрагент и даже посетитель сайта. А какие данные относятся к персональным? Фамилия, имя и отчество. Дата рождения. Номер телефона. Адрес электронной почты. Фото и видео. Адрес доставки. Должность. Место работы. Логин и пароль. Номер договора. Платежная информация. История покупок. К ПД также относится и, на первый взгляд, сугубо техническая информация: ID пользователя, cookie-файлы, данные GPS, IP и др. Важно: ни категории обрабатываемых ПД, ни их количество (например, данные только 10 клиентов) роли не играют. Компания обязана реализовать все меры по их защите в полном объеме. Организация правомерной обработки персональных данных в компании: 5 основных моментов Первое. Назначение ответственных за защиту персональных данных В каждой организации должны быть назначен Data Protection Officer — работник (или структурное подразделение), который контролирует обработку ПД. Важно: функции DPO не может выполнять бухгалтер, кадровый специалист, HR-менеджер из-за конфликта интересов. Второе. Приведение бизнес-процессов в соответствие с требованиями законодательства о ПД Определение правовых оснований для обработки персональных данных и определить допустимый перечень ПД, установление сроков хранения ПД и реализация механизмов их удаления как на бумажных носителях, так и в информационных ресурсах, надлежащее оформление отношений с привлекаемыми уполномоченными лицами и другие. Третье. Подготовка и введение обязательных документов — Политики обработки ПД. — Порядка доступа к персональным данным. — Перечня информационных ресурсов и систем, где обрабатываются ПД. — Списка уполномоченных лиц. Четвертое. Работа с сотрудниками Организация обучения работников по теме работы с персональными данными, фиксация его результатов и способность сотрудников отвечать на вопросы по ПД, связанные с их функцией. Пятое. Обеспечение технической и криптографической защиты Компания должна принять меры по технической и криптографической защите персональных данных. Уровень защиты должен соответствовать классу информационных ресурсов (систем), где осуществляется обработка ПД. Комментарий нашего эксперта — Из практики могу назвать самые частые нарушения в сфере персональных данных: 1. Отсутствие необходимых документов по ПД или несоответствие описанных в них процессов реальности и требованиям законодательства. При близком рассмотрении проблемы можно выяснить, что политика была просто скопирована у другой компании. 2. Хранение ПД без временного ограничения. Вне зависимости от того, есть ли необходимость в их использовании. 3. Полное отсутствие или ненадлежащее правовое основание для обработки ПД, что делает ее незаконной. 4. Некорректное оформление отношений с уполномоченными лицами, например, с бухгалтерией на аутсорсе, или отсутствие контроля за ними. Банально компания не следит, удаляют ли УЛ переданные персданные. Могу сказать, что у множества компаний есть ошибочное представление о том, что работа с персональными данными — это подготовка шаблона и размещение на сайте нескольких документов. Хотя это только начало. От штрафа до приостановки деятельности: ответственность за нарушение Закона о персональных данных Национальный центр персональных данных — регулятор в Беларуси, который проводит проверки и рассматривает жалобы субъектов ПД, принимает по их результатам обязательные требования к организациям, готовит материалы для привлечения к ответственности. Мы собрали актуальные санкции в наглядную таблицу: Вид ответственности Санкция Условия и нюансы Административная Штраф 1. Для организаций. Несоблюдение обязательных мер, например отсутствие DPO, обязательных документов, аттестата, обучения работников и др. – штраф до 50 б.в. Примечание: санкции могут применяться неоднократно в случае несоблюдения мер. 2. Для физических лиц. Распространение ПД – штраф до 200 б.в. Уголовная Лишение свободы Несоблюдение обязательных мер – лишение свободы до 1 года; распространение ПД – до 3 лет. Иные меры ответственности Запрет использования информационных ресурсов с ПД Невозможность использования ресурсов для обработки ПД для получения заявок от клиентов на товары (услуги), для регистрации в программе лояльности, ведения бухгалтерского учета и др. Примечание: может привести к фактической остановке деятельности всей организации. Как определить уровень защищенности персональных данных в компании? Любой грамотный юрист скажет: лучший способ избежать штрафов — выявить недостатки и устранить их прежде, чем нарушения выявит регулятор. Мы разобрались во всех тонкостях правовых, организационных и технических требований законодательства и предлагаем комплексное решение — аудит персональных данных. Это комплексное решение, в ходе которого наши эксперты: 1. Оценивают бизнес-процессы компании на соответствие требованиям закона о персональных данных. 2. Объясняют, как минимизировать риски утечек данных и возможных штрафов за несоблюдение законодательства. 3. Осуществляют легализацию использования различных сервисов, в том числе иностранных. Как проходит аудит ПД от hoster.by? Главные этапы 1. Оставить заявку. Далее с вами свяжется наш специалист. 2. Согласовать с ним детали и получить индивидуальное коммерческое предложение. 3. Подписать договор на оказание услуг. 4. Предоставить необходимую информацию нашим экспертам для проведения аудита и через месяц получить детальное описание нарушений и пошаговый алгоритм их устранения. Кому в первую очередь нужно проводить аудит ПД? Не только гигантам вроде интернет-магазинов или банков. Чтобы вы могли быстро сориентироваться, мы собрали сферы, где обработка персданных встречается чаще всего, — и, соответственно, где риск нарушений выше всего. 1. Компании, у которых есть сайты и приложения, где имеются личные кабинеты, онлайн-чаты, формы обратной связи и др. 2. Те, кто для работы с клиентами используют различные CRM-системы и иные информационные ресурсы, где размещаются персональные данные клиентов. 3. Организации, которые оказывают услуги по обзвону клиентов, направлению различных коммерческий предложений с использованием различных каналов для связи. 4. Те, кто имеют материнские компании за рубежом, а бизнес ведут на территории Беларуси. Кейс аудита ПД в Республике Беларусь: как за месяц узаконить использование сторонних сервисов и создать бизнес-процесс по работе с ПД Клиент: компания ежедневно получает заявки клиентов через форму обратной связи на сайте (средний бизнес, сегмент B2C). В форме пользователи указывают: ФИО, телефон и электронную почту. Средство обработки ПД: зарубежный облачный сервис, через него же компания рассылает email с рекламой своих услуг. При этом компания не знает о точном местоположении серверов, а значит, не представляет, куда передают данные (риск утечки персональных данных). Запросы: проанализировать бизнес-процессы на предмет соответствия требованиям законодательства в сфере ПД в связи с возможной проверкой регулятора. Результаты работы: 1. Описанный бизнес-процесс по работе с персданными: обработка, хранение, удаление. 2. Подготовленный механизм получения согласия на обработку ПД для всех случаев. 3. Узаконенное использование сторонних сервисов, расположенных на территории других стран. Резюме: что важно запомнить? Закон о персональных данных (ПД) касается любой компании. Это значит, что, работая с ПД, организация обязана: назначить DPO, разработать обязательные документы, аттестовать информационные ресурсы, обучить работников, а также привести свои бизнес-процессы в соответствие с требованиями законодательства о ПД и так далее. Игнорирование требований грозит не только штрафами, но и блокировкой ресурсов, что фактически останавливает деятельность компании. Лучшая профилактика — аудит, в ходе которого наши эксперты проверят, насколько все процессы соответствуют законодательству в сфере ПД, подготовят механизм работы с ПД для всех случаев, что снизит риски утечек. Больше полезных материалов Подробный гайд, как компании минимизировать юридические и репутационные риск: защищенный контур, аттестация СЗИ и другие требования законодательства Материал о преимуществах защищенного хостинга Статья о том, кому подойдет защищенный выделенный сервер ]]>
В этой статье мы собрали самое важное: основные термины, комментарии эксперта и рекомендации, как проверить, готова ли ваша компания к проверке регулятора. Кратко: что же такое персональные данные? 7 мая 2021 года в Беларуси принят Закон № 99-З «О защите персональных данных». Практически каждая организация имеет дело с ПД: обрабатывает данные о клиентах, работниках или партнерах. Поэтому Закон № 99-З «О защите персональных данных» — неотъемлемая составляющая работы компаний в Беларуси, которые обязаны соблюдать ряд требований: правовых, организационных и технических. Для начала договоримся об основных терминах. → Персональные данные или ПД — любая информация, с помощью которой можно установить личность и оказать на нее влияние. → Оператор ПД — организация или физическое лицо, включая самозанятых и индивидуальных предпринимателей, которые по своей инициативе или во взаимодействии с третьими лицами определяют порядок и производят обработку персональных данных. → Уполномоченное лицо — сто