Что такое персональные данные, и что необходимо помнить, имея свое дело в Беларуси?
Персональные данные – это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (т.е. прямо или косвенно определено), например:
Персональные данные включают в себя также специальные персональные данные, касающиеся:
расовой либо национальной принадлежности
политических взглядов
членства в профессиональных союзах
религиозных или других убеждений
здоровья или половой жизни
привлечения к административной или уголовной ответственности
биометрические и генетические персональные данные (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое).
фамилия
собственное имя
отчество
дата рождения
идентификационный номер
поведенческие данные и информация об устройстве пользователя, собираемые веб-сайтами;
любые иные данные, посредством которых можно выделить лицо среди остальных, указать его и использовать в отношении него особую модель взаимодействия.
Как это связано с деятельностью самозанятого?
Самозанятый, который организовывает и/или осуществляет обработку персональных данных (даже если речь идет только о данных его работников или контрагентов), будет являться оператором персональных данных.
Под обработкой понимается любое действие или их совокупность, совершаемые с персональными данными, например, сбор, систематизация, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление.
Требования Закона не распространяются на случаи обработки персональных данных в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью, а также на государственные секреты.
Вот несколько примеров обработки персональных данных самозанятым:
ведение клиентской базы с персональными данными клиентов, с которыми заключены договоры
использование электронных адресов клиентов для новостной рассылки
использование номеров мобильных телефонов для информирования о выгодных предложениях
Что нужно делать, чтобы соответствовать Закону?
Во-первых, провести анализ обрабатываемых персональных данных. Это позволит определить необходимые меры защиты и поможет в дальнейшей разработке обязательных документов.
По результатам анализа самозанятый должен:
Во-вторых, необходимо осуществлять обработку персональных данных только на законных основаниях.
Согласие физического лица (субъекта персональных данных) на обработку его данных не всегда является обязательным или первостепенным основанием.
Для персональных данных (в том числе специальных) определен список случаев, когда они могут обрабатываться без получения предварительного согласия на обработку, например:
сформировать перечень всех персональных данных, которые обрабатывает;
выделить цели обработки;
составить список лиц, имеющих доступ к обрабатываемым персональным данным;
определить, каким третьим лицам и в какие страны передаются персональные данные;
установить порядок и сроки хранения персональных данных.
в научных, иных исследовательских целях при условии обязательного обезличивания персональных данных;
при получении персональных данных на основании договора, заключенного с субъектом персональных данных, в целях совершения действий, установленных этим договором;
при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
в отношении распространенных ранее персональных данных - до того момента, когда субъект персональных данных потребует прекратить их обработку, или до их удаления при отсутствии иных оснований для обработки персональных данных;
в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.
Иногда согласие субъекта персональных данных все же необходимо получить. Согласие субъекта – свободное, однозначное, информированное выражение воли, посредством которого субъект разрешает обработку своих персональных данных.
Закон устанавливает, что согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа (то есть с использованием ЭЦП) или в иной электронной форме. Это может быть подпись в анкете, заполнение google формы, проставление галочки о согласии на обработку данных и т.п.
Для получения согласия необходимо в письменной или электронной форме предоставить субъекту персональных данных информацию, содержащую:
фамилию, имя, отчество и адрес самозанятого, выступающего в роли оператора
цели обработки
перечень персональных данных, на обработку которых дается согласие
срок, на который дается согласие
информацию об уполномоченных лицах в случае, если обработка передается на аутсорс
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных
иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных
На самозанятого возлагается обязанность разъяснить субъекту его права, связанные с обработкой персональных данных, а также последствия дачи или отказа в даче согласия.
В-третьих, необходимо обеспечить защиту персональных данных.
Обязательной мерой по обеспечению защиты персональных данных для самозанятого является осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
Ответственность за нарушение законодательства о персональных данных
Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, влекут наложение штрафа в размере до 50 базовых величин.
Причинение вреда правам или законным интересам субъекта персональных данных может повлечь уголовную ответственность ремесленника, а также необходимость возмещения материального ущерба и морального вреда.