Любой владелец интернет-ресурса, использующий формы обратной связи, инструменты веб-аналитики, собирающий телефоны, электронную почту и другие сведения о посетителях, становится оператором персональных данных.

Для таких лиц 15 ноября 2021 года вступил в силу Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных».

Он установил новые обязательные правила — от содержания Политики обработки данных до порядка трансграничной передачи информации за рубеж. Несоблюдение грозит административной ответственностью: по статье 23.7 КоАП общая сумма взысканий может достигать 200 базовых величин.

Что такое персональные данные?

Персональными данными признается любая информация, которая позволяет установить личность человека. Исчерпывающего перечня в законодательстве нет.

Например, сведения о музыкальных предпочтениях без привязки к конкретному лицу обычно не считаются персональными данными, а адрес e‑mail или номер телефона — уже да.

Определение из Закона № 99-З:

Персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Часто используемые персональные данные

Бизнес получает сведения о посетителях двумя путями: через формы, заполняемые пользователем осознанно (регистрация, заказ), и автоматически, без активных действий человека.

В формах чаще всего оставляют:

• адрес электронной почты;
• номер телефона;
• фамилию, имя, отчество;
• почтовый адрес;
• дату рождения;
• фотографию;
• ссылки на личный сайт или профили в соцсетях.

Автоматический сбор происходит через cookie‑файлы — небольшие текстовые записи, сохраняемые браузером на устройстве пользователя. В cookie могут фиксироваться:

• IP-адрес;
• геолокация;
• история действий на сайте;
• товары, добавленные в корзину, и т.д.

Cookie используются для аналитики, таргетированной рекламы, повышения удобства.

Национальный центр защиты персональных данных (НЦЗПД) разъяснил, что

Обработка информации с помощью cookie‑файлов является обработкой персональных данных и должна сопровождаться выполнением всех требований законодательства.

Я не обрабатываю персональные данные, а только собираю

Распространённое заблуждение: если данные просто сохраняются и никак не используются, это не обработка. В действительности закон даёт широкое определение:

Обработка охватывает сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление.

То есть даже кратковременное нахождение сведений в базе или лог-файле без дальнейших операций — уже обработка.

Определение из Закона № 99-З:

Обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

Кого могут оштрафовать?

Штрафные санкции применяются к операторам. Это физические лица (в том числе индивидуальные предприниматели), организации либо государственные органы, которые самостоятельно или совместно с другими лицами организуют и/или осуществляют обработку персональных данных.

Например, рассылка по электронной почте уже делает отправителя оператором.

Определение из Закона № 99-З:

Оператор — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных.

Как владельцам сайтов не нарушать закон и избежать штрафов

1. Разработайте и опубликуйте Политику обработки персональных данных

Наличие этого документа — одна из обязательных мер по обеспечению защиты персональных данных (абзац третий пункта 3 статьи 17 Закона № 99-З).

Политика размещается на отдельной странице сайта и раскрывает полную картину работы с данными: какие сведения собираются, для каких целей, как долго хранятся, кто имеет к ним доступ.

Политика должна содержать:

• сведения об операторе (для организации — наименование и место нахождения, для физлица, в т.ч. ИП, — Ф.И.О. и адрес места жительства);
• цели обработки;
• перечень обрабатываемых персональных данных;
• категории субъектов (посетители сайта, сотрудники, соискатели вакансий и др.);
• правовые основания обработки;
• способы и сроки обработки и хранения;
• порядок уничтожения данных после достижения целей или при наступлении иных законных оснований;
• информацию об уполномоченных лицах, если обработка поручается сторонним компаниям;
• наличие трансграничной передачи (если данные уходят за рубеж);
• права субъектов данных и механизм их реализации.

Ответственность за отсутствие Политики как несоблюдение мер защиты: для физлица — до 10 базовых величин, для ИП — до 25, для юрлица — до 50 базовых величин по статье 23.7 КоАП.

2. Обеспечьте доступ к Политике со всех страниц сайта

Проще всего разместить ссылку в подвале (футере). Так она будет видна посетителю независимо от того, на какую страницу он зашёл.

3. Добавьте чек-бокс о согласии под каждой формой сбора данных

Рядом с кнопкой отправки нужно расположить поле для отметки (checkbox) и сопроводить его фразой, например: «Даю согласие на обработку своих персональных данных». Само согласие оформляется в соответствии с пунктом 5 статьи 5 Закона № 99-З и должно включать:

• сведения об операторе;
• цели обработки;
• перечень обрабатываемых персональных данных;
• срок действия согласия;
• данные об уполномоченных лицах (если они есть, а при большом или меняющемся перечне — категории таких лиц);
• перечень действий с персональными данными; при наличии трансграничной передачи — государства, куда данные направляются, и если там не обеспечен надлежащий уровень защиты — указание на возможные риски;
• общее описание способов обработки;
• иную информацию, необходимую для прозрачности.

Перед получением согласия оператор обязан простым и ясным языком разъяснить субъекту данных его права, механизм их реализации, а также последствия дачи согласия или отказа от него.

Нарушение порядка получения согласия (фактически незаконные сбор, обработка, хранение или распространение персональных данных) влечёт штраф до 50 базовых величин, а если сведения стали известны в связи с профессиональной или служебной деятельностью — до 100 базовых величин.

4. Уведомляйте новых посетителей об использовании cookie-файлов

При первом заходе на сайт пользователь должен увидеть всплывающий баннер с информацией о сборе cookie и получить возможность выразить согласие.

Баннер может содержать кнопку «Принять» или фразу о том, что продолжение использования сайта означает согласие на обработку данных веб-аналитикой. Рядом обязательно помещается ссылка на Политику обработки персональных данных.

5. Уведомите НЦЗПД для включения в реестр операторов

Оператор обязан направить уведомление об обработке персональных данных в Национальный центр защиты персональных данных — уполномоченный орган, созданный Указом Президента Республики Беларусь от 28 октября 2021 г. № 422. Порядок подачи и форма уведомления определяются НЦЗПД.

6. Подготовьте регламент ответов на обращения субъектов данных

Физические лица вправе запрашивать информацию о том, какие их данные обрабатываются, для чего и как.

Оператор обязан ответить в течение 5 рабочих дней с момента получения заявления (статья 12 Закона № 99-З). Требование о прекращении обработки должно быть выполнено в срок до 15 календарных дней.

Пропуск сроков или отсутствие ответа — основание для административной ответственности.

Заранее пропишите внутренний порядок реагирования на такие запросы и обучите сотрудников.

7. Оцените необходимость трансграничной передачи данных

Трансграничная передача — это отправка персональных данных за пределы Беларуси: иностранным органам власти, физическим или юридическим лицам. По общему правилу она запрещена на территорию государств, где не обеспечивается надлежащий уровень защиты прав субъектов.

Перечень стран с надлежащим уровнем защиты включает государства‑стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также страны ЕАЭС. Среди них: Австрия, Бельгия, Болгария, Венгрия, Германия, Греция, Дания, Ирландия, Исландия, Испания, Италия, Кипр, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Нидерланды, Норвегия, Польша, Португалия, Россия, Румыния, Словакия, Словения, Турция, Финляндия, Франция, Хорватия, Чехия, Швейцария, Швеция, Эстония, а также члены ЕАЭС (Армения, Казахстан, Кыргызстан, Россия).

Передача в государства, не обеспечивающие надлежащий уровень, возможна только в исключительных случаях:

• при наличии явно выраженного согласия субъекта, проинформированного о рисках;
• если данные получены в рамках договора, заключённого (заключаемого) с субъектом;
• для защиты жизни, здоровья или иных жизненно важных интересов субъекта.

Планируя передачу в «небезопасные» страны, необходимо получить разрешение НЦЗПД.

8. Заключите договор поручения обработки с подрядчиками

Если для обработки данных привлекаются сторонние организации (маркетинговые агентства, дата-центры, IT-аутсорсеры), в договоре с ними должно быть отдельное поручение на обработку. В нём необходимо чётко определить:

• перечень персональных данных;
• все действия, которые будут совершаться с этими данными;
• цели обработки;
• гарантии конфиденциальности и безопасности;
• обязанность обработчика по запросу оператора отчитываться о соблюдении требований защиты;
• иные условия, предусмотренные Законом № 99-З.

Отсутствие такого поручения в договоре грозит ответственностью по статье 23.7 КоАП.

Что ещё нужно сделать, если вы — юридическое лицо

К организациям применяются дополнительные требования, закреплённые в статье 17 Закона № 99-З.

1. Назначение ответственного и разработка внутренней документации.
   Юрлицо обязано определить лицо, ответственное за организацию обработки персональных данных, и утвердить пакет локальных правовых актов, регламентирующих все процессы сбора, хранения, использования, защиты и уничтожения данных.
2. Оформление отношений с работниками.
   Со всеми сотрудниками необходимо подписать письменное согласие на обработку их персональных данных и под роспись ознакомить с внутренними документами по защите данных.
3. Техническая и организационная защита.
   Следует внедрить антивирусное программное обеспечение, системы межсетевого экранирования, настроить разграничение прав доступа к информационным ресурсам, содержащим персональные данные.
4. Уведомление об утечках.
   Если произошла утечка персональных данных, оператор обязан незамедлительно (но не позднее трёх рабочих дней с момента обнаружения) проинформировать об этом НЦЗПД. Непредоставление такого уведомления либо нарушение срока влечёт административную ответственность.

Чек-лист для владельцев сайта

1. Инвентаризация данных: выясните, какие именно персональные данные поступают на ваш сайт и через какие каналы.
2. Аудит Политики: убедитесь, что на ресурсе размещена Политика обработки персональных данных и её содержание полностью соответствует требованиям Закона № 99-З.
3. Единая ссылка: добавьте ссылку на Политику в футер, чтобы она отображалась на всех страницах.
4. Согласие под формами: проверьте наличие чек-бокса с предупреждающей надписью о согласии и ссылкой на полный текст согласия.
5. Cookie-уведомление: настройте баннер, информирующий посетителей об использовании cookie-файлов.
6. Реестр НЦЗПД: подайте уведомление о включении в реестр операторов персональных данных.
7. Регламент ответов: разработайте внутренний порядок обработки запросов субъектов данных и обучите персонал.
8. Избыточность данных: для интернет-магазинов — проанализируйте оферту и формы, исключите сбор сведений, не являющихся необходимыми для исполнения договора.
9. Трансграничная передача: если данные направляются за рубеж, определите, в страны какого уровня защиты они попадают, и при необходимости получите разрешение НЦЗПД.
10. Комплекс мер для юрлица: сформируйте пакет внутренних документов, получите согласия сотрудников, обеспечьте техническую защиту данных и пропишите процедуру уведомления об инцидентах.

Тема персональных данных в Беларуси только набирает обороты, и вопросов всегда больше, чем ответов в одной статье. Пишите в комментариях, что осталось непонятным, — помогу разобраться.