Остались вопросы?
Мы с удовольствием вам поможем
Спасибо! Ваша заявка принята.
Ваша заявка принята. Наш менеджер скоро с вами свяжется
Заказать звонок
Спасибо! Ваша заявка принята.
Спасибо за обращение.
Мы обязательно свяжемся с вами

Время работы офиса
Пн-Пт: 8:00 — 18:00
Сб: 10:00 — 16:00
Вс: выходной

Защита персональных данных. Что нужно знать организациям?

Никита Лебедь
26.11.2024
12 мин. читать

Утечки чувствительной информации — серьезная угроза для проектов любого масштаба. За последние пару лет белорусские компании из разных отраслей теряли сотни тысяч персональных данных. Помимо юридических последствий, такие утечки могут нанести репутационный и финансовый ущерб. Рассказываем, что нужно знать о персональных данных, и как обеспечить им надежную защиту. 


Какие данные относятся к персональным? 

Закон Республики Беларусь № 99-З «О защите персональных данных» затрагивает все проекты, в информационных системах которых обрабатываются персональные данные (ПД). А относится к таким данным любая информация, с помощью которой можно идентифицировать человека. 

  • Контактные данные: ФИО, номер телефона, место жительства, электронная почта. 
  • Информация о семье и родственниках: супругах, детях, родителях и др. 
  • Идентификаторы: личный идентификатор, онлайн-идентификатор, IP-адрес, номер водительского удостоверения, страхового полиса, паспорта, банковского счета и карты. 
  • Сведения о трудовой деятельности: место работы и должность, характеристики, периоды отпусков, заработная плата, переписка в рабочих мессенджерах, подписи на рабочих документах; 
  • Информация об образовании: оконченные учреждения и курсы, оценки, дипломы и прочие. 
  • Сведения об имуществе: недвижимости, транспортных средствах, приобретенных или планируемых к приобретению товарах и услугах; 
  • Онлайн-активность: история посещения сайтов, поисковых запросов, переписка в сети, файлы cookie и другие. 
  • А также медицинские, биометрические и генетические данные, геолокационные сведения, фотографии людей и множество другой информации о человеке. 


Что относится к обработке персданных? 

Обработку и хранение включают все действия с персональными данными: например, сбор различной информации о клиентах, отправка рассылок, обработка заказов.  Многие организации ошибочно полагают, что не работают с ПД и игнорируют меры по их защите. А между тем обработка чувствительной информации затрагивает множество рабочих процессов в самых разных компаниях. 

  • При найме сотрудника любая организация забирает на хранение трудовую книжку и вносит в нее данные, добавляет в бухгалтерию платежные сведения. 
  • Школы, университеты, онлайн-курсы и другие образовательные организации взаимодействуют со свидетельствами о рождении, сведениями об успеваемости, справками о состоянии здоровья, банковскими счетами и множеством других документов и данных. 
  • Учреждения здравоохранения используют в работе сведения о здоровье пациентов, результаты исследований и другую чувствительную информацию. 
  • Торговые организации, включая интернет-магазины и маркетплейсы, активно взаимодействуют с платежной и контактной информацией клиентов. 
  • Букмекерские конторы, онлайн-казино и другие организации из сфер беттинга и гемблинга собирают платежные и геолокационные данные пользователей и используют дополнительную валидацию. 
  • Приложения банков, онлайн-магазины и множество других веб-сервисов и систем обрабатывают данные аккаунтов и платежные сведения. Надежно разместить такие проекты можно, например, в сертифицированной облачной инфраструктуре. Это позволит компании не только соблюсти требования законодательства, но и воспользоваться гибкой тарификаций — с оплатой выделенных ресурсов по факту потребления. 


Что нужно сделать компании для правомерной обработки персданных? 

  1. Назначить ответственных за обработку ПД. Это может быть один или несколько сотрудников и даже подразделение. Важно: в связи с наличием конфликта интересов такие функции, как правило, не могут осуществляться специалистами по информационной безопасности. 
  2. Разработать политику компании по обработке ПД и разместить ее на сайте организации. 
  3. Установить порядок доступа к ПД. 
  4. Разработать документы:
    - перечень информационных ресурсов и систем, в которых обрабатываются персональные данные;
    - перечень уполномоченных лиц. 
  5.  Проинформировать персонал о законе и политике компании в обработке ПД, обучить сотрудников, взаимодействующих с ПД. 
  6.  Обеспечить техническую и криптографическую защиту персональных данных в соответствии с классификацией информационных ресурсов и систем, содержащих ПД.


Согласие на обработку персональных данных 

При отсутствии иных оснований для обработки персональных данных для правомерной работы с ПД компания должна получить у пользователя соответствующее разрешение. Согласие на обработку ПД может быть выражено в письменной или электронной форме. Например, в онлайн-сервисах часто используется поле для галочки напротив пунктов с описанием цели обработки ПД. 

Согласие на обработку персданных должно быть однозначным и свободным. 
Цель — конкретной. Пользователь должен четко понимать, какие персональные данные и с какой целью он разрешает использовать. Если запрашивается номер телефона для обратного звонка, слать на него SMS с рекламой нельзя. Если нужно отправить рассылку на электронный адрес — необходимо запросить и получить на это разрешение. 

При изменении цели использования персданных нужно повторное согласие. 

Также должна быть предусмотрена и возможность отзыва согласия. Например, через подачу заявления или в той форме, в которой ранее было предоставлено разрешение на обработку чувствительных сведений. 


Когда не требуется согласие на обработку персональных данных? 

Ситуации, когда согласие на обработку ПД не требуется, описаны в статье 6 Закона «О защите персональных данных». Указанные случаи включают реализацию функций государственных органов: осуществление правосудия, исполнение судебных постановлений, реализацию норм законодательства, связанных с проведением выборов, и множество других. Согласие на обработку ПД также не требуется и в ряде иных ситуаций, например: 

  • при оформлении и реализации трудовых, в том числе служебных отношений; 
  • при заключении или исполнении договора с субъектом ПД; 
  • для ранее распространенных ПД; 
  • в исследовательских целях при обезличивании ПД; 
  • при выполнении обязанностей и полномочий, предусмотренных законодательными актами. 


Ответственность за несоблюдение требований законодательства в сфере защиты персональных данных 

Нарушение требований законодательства при работе с персданными предусматривает дисциплинарную, административную и уголовную ответственность, а также приостановление обработки персональных данных. 

Административная ответственность. Статья 23.7 КоАП предусматривает наложение штрафа: 

  • до 50 базовых величин за умышленные незаконные сбор, обработку, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой ПД; 
  • до 200 базовых величин — за умышленное незаконное распространение ПД физлиц; 
  • до 50 базовых величин — за несоблюдение мер обеспечения защиты персданных. 

Уголовная ответственность

  • Статья 203-1 УК предусматривает до 5 лет лишения свобода за незаконные действия в отношении информации о частной жизни и персональных данных. 
  • Статья 203-2 УК предусматривает до 1 года лишения свободы за несоблюдение мер обеспечения защиты персданных, повлекшее по неосторожности их распространение и причинение тяжких последствий. 

Также законодательством предусмотрено приостановление обработки персональных данных. Эта мера может быть применена Национальным центром защиты персональных данных и фактически приостанавливает деятельность организации. 

Дисциплинарная ответственность: 

Согласно статье 47 Трудового кодекса договор с сотрудником может быть прекращен за нарушение им правовых и технических норм в работе с персданными. 


Как мы можем помочь? 

Мы предоставляем сертифицированные услуги в сфере информационной безопасности на правах первого в стране коммерческого центра кибербезопасности, аттестованного Оперативно-аналитическим центром при Президенте Республики Беларусь. Наши специалисты подберут для вашего проекта наиболее релевантный вариант, который поможет вам минимизировать риски и оптимизировать расходы на сопровождение информационных систем. 

 

Поделиться:
Подпишитесь на email-рассылку!

Будьте в курсе новостей. Отправляем полезные письма каждый месяц.

Пожалуйста, введите адрес электронной почты
Пожалуйста, подтвердите согласие с условиями обработки персональных данных.
article mailing picture
Вы подписались на нашу рассылку!

Скоро вы получите новое письмо.

article mailing picture