С этого года в Беларуси заработал реестр операторов персональных данных. Все, кто работает с личной информацией людей, должны были добавить данные о своих информационных системах в реестр до 15 января. Это касается любой компании, если объем обрабатываемых ею данных превышает 100 тысяч человек и/или 10 тысяч детей до 16 лет. Есть и другие критерии, но для туристической деятельности они не актуальны. Кому нужно поспешить в реестр и что делать, если не успел вовремя подать данные? Разбираемся вместе со старшим юристом юридической компании “Аврора” Валерией Павловой.
· Закон о защите персональных данных действует уже давно, но внимание общества привлек новый реестр, который стал действовать с января 2024 года. Это отнюдь не новость: требования к информационным ресурсам, подлежащим включению в реестр, известны уже более года . Главное, не впадать в панику. Хотя в первую очередь это касается крупных компаний, банков и медицинских учреждений, работающих с большим количеством персональных данных, мелким предприятиям также стоит внимательно изучить свою базу данных клиентов и спокойно разобраться, действительно ли вступление в реестр им необходимо.
· Что входит в понятие информационный ресурс и за какой период нужно считать количество обрабатываемых данных: за год или за весь период работы? Касается ли это туроператоров или гостиниц?
· Обязанность внести сведения в реестр распространяется на всех юрлиц, независимо от сферы деятельности. Если компания обрабатывает данные более 100 тысяч человек (и/или 10 тысяч детей до 16 лет), она обязана пройти регистрацию. Обработка - это не только сбор и систематизация, но и хранение, предоставление, распространение персональных данных. Допустим, если вы используете информационный ресурс - Битрикс, Мастер-Тур либо другую CRM-систему или систему онлайн-бронирования, в которой за все время деятельности компании хранится информация о ваших клиентах, их номера телефонов, фио, это все будет считаться обработкой персональных данных.
· Даже если эти данные хранятся в таблице excel на рабочем столе?
· Да, если организация ведет базу данных клиентов в Microsoft Excel, то такой файл уже будет считаться информационным ресурсом. Данный кейс приведен в качестве примера Национальным центром защиты персональных данных на официальном сайте. Если турист вернулся из путешествия, все условия договора выполнены и иных правовых оснований для дальнейшей обработки его данных в информационном ресурсе не имеется, его данные из вашей системы должны быть удалены. В таком случае останутся только договор и иные документы, заключенные с клиентом в рамках оказания услуг, которые впоследствии будут переданы в архив. Если же эта информация хранится в системе на протяжении длительного времени, это считается обработкой персональных данных. Субъекты бизнеса понимают, что каждый бывший клиент может стать потенциальным клиентом на ряд других услуг, поэтому сохранить контакт представляется рациональным с точки зрения прибыли. Возможно, исходя из этого, многие эту информацию хранят. Но тут нужно взвесить все "за" и "против": вносить свои информационные ресурсы в реестр операторов или лучше привести в порядок свою базу. Как бы то ни было, даже если вы решите не расставаться с персональными данными бывших клиентов, важно понимать, правомерно ли вы храните эти данные, были ли получены соответствующие согласия от субъектов, а также обеспечивать соответствующую защиту этих данных от утечек.
-· Если организация зарегистрирована в реестре операторов персональных данных, должен ли быть специалист, ответственный за контроль этого процесса?
- Это обязательно для всех организаций, которые обрабатывают персональные данные, независимо от того, входят они в реестр или нет. Такое требование было закреплено в Законе о защите персональных данных. Например, при приеме на работу также происходит обработка персональных данных: заполняется личный листок с паспортными данными, заключается контракт с указанием фамилии и инициалов работника. По сути, все юридические лица и индивидуальные предприниматели должны назначить такого ответственного, если имеют дело с персональными данными. И как раз это и есть главная проблема: часто некому контролировать эту работу и в компаниях отсутствуют документы, которые бы регламентировали процессы обработки персональных данных и устанавливали меры по их защите.
· Какие обязанности у такого специалиста и может ли эту должность совмещать с основной работой кто-то из штатных сотрудников?
· Эти обязанности можно возложить на действующего сотрудника. Но это не должен быть специалист ради галочки, а он ни сном, ни духом, как этот контроль персональных данных осуществляется. Чаще всего в качестве надлежащих кандидатов рассматривается человек с техническим или юридическим образованием. Например, системный администратор либо юрисконсульт. Но важно! Его должность не должна быть связана с обработкой персональных данных. Например, менеджер по продажам, который работает с документами, не может контролировать свою собственную работу. Важный нюанс, касающийся также организаций, осуществляющих турдеятельность и гостиничное обслуживание (по приказу ОАЦ от 23.11.2023 № 218), - такой специалист должен пройти обучение в Национальном центре защиты персональных данных. Его задачи - следить за надлежащим хранением данных, своевременным удалением информации, предотвращением избыточной обработки данных (например, хранения копий паспортов и других личных данных без наличия на то правовых оснований). Он также будет анализировать процессы компании и определять необходимость дополнительных мер по защите персональных данных, таких как приобретение специальных программ для защиты информационной системы компании. Законодательно пока не закреплено, какое именно образование и навыки должен иметь такой специалист, но уже планируют ввести отдельную специальность в вузе и будут готовить конкретно, как их называют на Западе, - DPO (Data Protection Officer).
· Какие основные ошибки в работе с персональными данными допускают?
· Например, когда компании прямо в договоре указывают согласие клиента на обработку персональных данных в целях, не связанных непосредственно с оказанием услуг по договору (хранение, передача в целях информирования об акциях и пр.), и человек оказывается в замкнутом круге: подписал — получил услугу и рассылку в придачу, отказался — остался без нее и без услуг. Если вы через форму обратной связи на сайте или еще каким-то способом собираете контакты, а потом используете их для маркетинговой рассылки без согласия их владельцев - это нарушение Закона о защите персональных данных. Таких нюансов много, о которых нужно знать. Один из клиентов пожаловался в центр по защите персональных данных, что бронировал через какую-то программу отель, а его данные каким-то образом попали сторонней компании, которая предложила допуслуги. Так не должно происходить. Одним словом, реестр – это капля в море, которая в основном касается гигантов бизнеса, крупных ритейловых сетей, владельцев приложений, а вот правильное обращение с персональными данными - это касается каждого.
· Какие штрафы предусмотрены для компаний, которые не соблюдают законодательство о персональных данных, или вовремя не внесли данные в реестр?· На данный момент у нас действует довольно лояльная система ответственности за нарушения в сфере защиты персональных данных. Тем не менее, Национальный центр по защите персональных данных стремится ужесточить эти нормы. В настоящий момент в Кодексе Республики Беларусь об административных правонарушениях есть лишь одна статья, посвященная нарушению законодательства о защите персональных данных (ст. 23.7), которая предусматривает санкции в виде штрафов до 200 базовых величин за нарушение требований по обработке персональных данных. Эти санкции применяются при незаконном обращении с данными, в том числе за их умышленное безосновательное распространение, или несоблюдении мер по их защите. Важно отметить, что такая ответственность касается всех юрлиц, независимо от того, входят они в реестр операторов персональных данных или нет. Если же вы не внесли свои данные в реестр, вас могут оштрафовать на сумму до 20 базовых величин (ст. 24.11 КоАП). Однако, каким образом будет осуществляться контроль за внесением в реестр, пока не ясно. Принцип заявительный, и точно узнать количество обработанных данных организацией можно только в результате проверки, которая включает доступ к серверам и информационным системам компании. Для ритейлов это может быть проще, оценив количество пользователей программы лояльности. В случае турфирм, особенно с онлайн-бронированием, методика расчета может быть менее очевидной. Так или иначе, если 1 января информационный ресурс вашей организации не соответствовал критериям, то вам не требовалось вносить сведения в реестр до 15 числа. Если же ваша информационная система достигла показателя в 100 тысяч позже, то вам нужно будет внести информацию в реестр в течение 10 рабочих дней с момента соответствия. Этот шаг направлен на укрепление контроля за обработкой персональных данных и призван обеспечить большую прозрачность в сфере работы с личной информацией физических лиц.
пресс-служба РСТИ
P.S. По вопросам работы с персональными данными можете обращаться в РСТИ или юридическую компанию “Аврора”, которая является давним партнером Республиканского союза туриндустрии.