Персональные данные в бизнесе: какие документы должны быть у юрлиц, ИП и самозанятых

Бизнес часто игнорирует документы, необходимые для работы с персональными данными. Это грозит штрафами, проверками НЦЗПД и другими неприятностями. Юрий Медведев, DPO, советник по защите персональных данных ООО «БиЭлБи Юридические услуги», и Илья Латышев, юрист, заместитель директора ООО «БиЭлБи Юридические услуги», рассмотрели, зачем бизнесу нужны документы по персональным данным, какие именно бумаги должны быть в каждой компании, ответили на самые острые актуальные вопросы.

Закон Республики Беларусь «О защите персональных данных» (далее – Закон) действует с 2021 года, то есть ему уже пять лет. Казалось бы, времени на адаптацию было достаточно, но многие представители малого и среднего бизнеса до сих пор живут по принципу: «Пока проверка не пришла, зачем вообще эти документы разрабатывать?». Однако практика показывает, что игнорирование этого вопроса обходится дорого.

Зачем бизнесу документы по защите персональных данных

Статья 17 Закона так и называется: «Обязательные меры по защите персональных данных». В ней прописано, что одной из правовых и организационных мер является издание оператором, а это любая компания на рынке, документов, описывающих политику работы с персональными данными (ПД). В подп.3.5 п.3 Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» (далее – Указ № 422) приведен перечень иных документов по защите персональных данных, которые обязательно должны быть в организации. Следовательно, иметь эти документы – прямая обязанность по законодательству.

Что будет, если документов нет

Базовый пакет документов о защите ПД для юрлиц

Законодательство построено на риск-ориентированном подходе. Это значит, что конкретный список документов зависит от размера бизнеса и объема обрабатываемых данных. Однако за 5 лет сформировался минимальный базовый перечень, который должен быть у каждого юрлица. В реальной жизни пакеты, которые необходимы юрлицам, содержат порядка 15-20 документов, но вот абсолютный минимум.

• Политики обработки персональных данных. Законодатель требует, чтобы политик было несколько. Это необходимо для соблюдения принципа прозрачности. Должны быть отдельные документы: общая политика, политика обработки данных персонала, политика использования файлов cookie (если есть сайт), политика для розничных клиентов (физлиц) и политика для представителей контрагентов.

• Перечень информационных систем. Это требование подп.3.5 п.3 Указа № 422. Документ, описывающий все ПО (серверное, 1С, CRM), где хранятся персональные данные работников, клиентов или контрагентов.

• Реестр уполномоченных лиц. Это подрядчики (бухгалтерия на аутсорсе, типография, печатающая визитки с Ф.И.О. сотрудников, маркетологи), которые обрабатывают данные по вашему поручению. За утечку сведений ответственность в первую очередь несет руководитель предприятия, поэтому вести их учет обязательно.

• Порядок доступа к персональным данным. Локальный акт, разграничивающий доступ сотрудников к системам. Маркетолог должен иметь доступ только к CRM, а не к 1С с зарплатами. Главбух, напротив, имеет доступ почти ко всему. За нарушение порядка доступа также предусмотрена ответственность.

• Внутреннее положение об обработке персональных данных. Документ, детально прописывающий для персонала процессы работы с данными.

• Положение об осуществлении внутреннего контроля. В компании должен быть назначен DPO (Data Protection Officer, то есть лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных). Данное положение регламентирует его полномочия, порядок проведения проверок и устранения нарушений. Проверяющие из НЦЗПД первым делом спрашивают акты этих проверок.

• Формы согласий и положение об их учете. Не все данные можно обрабатывать без согласия (например, рекламные рассылки физлицам требуют согласия по Закону о рекламе). Нужны формы и регламент их учета, контроля и отзыва.

• Формы заявлений субъектов и положение о работе с ними. По закону у людей есть 4 права: на отзыв согласия, на прекращение обработки, на получение информации об обработке и о предоставлении данных третьим лицам за год. Эти заявления учитываются отдельно от поступивших согласно Закону об обращениях граждан.

• Положение о порядке удаления, блокирования и обезличивания данных. Данные должны храниться ровно до тех пор, пока не достигнута цель их обработки. Процесс удаления должен быть регламентирован.

• Реестр обработок персональных данных (ROPA). Инструмент DPO, в котором прописываются все процессы: где данные размещаются, кем получаются, сколько хранятся и когда удаляются.

Какие документы по персональным данным должны быть у ИП

Индивидуальные предприниматели также обязаны соблюдать Закон, но для них есть небольшие послабления. Главное из них - ИП могут не назначать DPO (лицо, ответственное за внутренний контроль). Часто ИП не имеет штата, поэтому функции DPO он выполняет сам, и документы, связанные с его полномочиями, разрабатывать не нужно.

В остальном комплект аналогичен комплекту юрлиц:

• Политики (общая, для сайта, для розничных клиентов, если работаете с физлицами).

• Перечень информационных систем.

• Реестр уполномоченных лиц (для ИП это суперактуально, так как продажники, бухгалтеры, SMM-щики обычно работают на аутсорсе).

• Регламент или раздел в Политике об удалении, блокировании и обезличивании данных.

• Реестр обработок персональных данных (желательно вести для внутреннего учета).

Штрафы за отсутствие документов для ИП абсолютно те же (ст.23.7 КоАП).

Как самозанятым, ремесленникам и агроусадьбам работать с персональными данными

Многие ошибочно полагают, что Закон касается только крупных компаний. Однако в ст.1 Закона четко сказано: оператором являются в том числе физические лица. Как только ремесленник открывает сайт и начинает собирать данные клиентов для доставки, он становится оператором персональных данных. И для него начинают действовать требования об обязательных мерах.

Что нужно подготовить этой категории:

Назначать DPO самозанятым и ремесленникам не нужно.

Вопрос-ответ для малого и среднего бизнеса

Имеет ли право компания пересылать расчетные листки работников банку для начисления зарплаты?

Да, имеет. Банк здесь выступает уполномоченным лицом для компании-нанимателя. Он обрабатывает данные, чтобы выполнить услугу по зарплатному проекту. Наниматель сам определяет форму расчетного листка и то, насколько детализировать сведения. Отправка этих данных – законная обязанность по Трудовому кодексу.

Как организовать обучение работников, обрабатывающих персональные данные?

Это обязательное требование (ст.17 Закона). У вас должен быть ЛПА - Положение об обучении персонала. Обучение необходимо проводить регулярно: объяснять, кто такие уполномоченные лица, как учитывать согласия и разъяснять права субъектам. Обучать может DPO (очно или через онлайн-курсы) либо можно отправлять сотрудников на курсы повышения квалификации. Главное - результат обучения нужно фиксировать тестами. В случае несдачи тест пересдают. Результаты тестирования сохраняют для проверяющих.

Как DPO должен проводить внутренние проверки?

Процесс следующий: DPO составляет план проверок (минимум раз в год по всем подразделениям), утверждает его у руководителя. Затем приходит в отдел и задает неудобные вопросы: «На каком основании собираете данные? Почему без согласия? Почему не соблюдаете локальные регламенты?». Задача DPO – найти нарушения раньше, чем это сделает регулятор, и помочь их устранить.

Можно ли хранить копии паспортов и военных билетов в личных делах работников?

Нельзя. Это одно из самых типичных нарушений. Хранить такие копии, «потому что так удобно бухгалтеру» (например, для сверки с военкоматом), нельзя – это избыточная обработка. У вас есть право попросить работника актуализировать данные, но не хранить саму копию. И никакое письменное согласие работника здесь не спасет, так как цель хранения неправомерна. Если прямого указания в Законе на хранение копии нет, вы обязаны ее удалить.

Клиент удален с сайта, но данные о продажах остались в 1С. Как быть с требованием об удалении?

Правило универсальное: удаляться должны все данные, позволяющие идентифицировать человека, из всех систем. Если технически удалить клиента из 1С невозможно без поломки системы, применяйте временную меру – обезличивание. Но помните, что обезличенные данные можно восстановить, поэтому это все равно считается обработкой. В конечном итоге систему придется дорабатывать, чтобы данные удалялись полностью. В самом акте об удалении писать Ф.И.О. удаленных клиентов не нужно. Достаточно формулировки: «Удалена база клиентов-физлиц за 2022-2026 годы в количестве 100 единиц».

Можно ли хранить персональные данные просто в таблице Excel? Хватит ли пароля на Windows для защиты?

Можно. Excel просто прикладная программа, часть вашей информационной системы. Однако к ней применяются требования Приказа ОАЦ от 20.02.2020 № 66 о технической и криптографической защите. Если вы собрали базу из общедоступных источников в интернете, аттестовывать систему не нужно, достаточно базовых мер: антивируса и пароля ограничения доступа. Но если есть специальные данные (биометрия, генетика и т. д.), то защита должна быть повышенной.

Законно ли, когда медцентр, страховая или банк отказываются заключать договор, пока клиент не подпишет отдельное согласие на обработку персональных данных?

Это незаконно. Если вы заключаете договор, то именно он является правовым основанием для обработки данных. Согласие – это самостоятельное основание, оно не должно препятствовать заключению сделки, только если в согласии не оглашена какая-то иная цель, например рекламная рассылка. При таких отказах смело жалуйтесь руководству компании, а затем – в НЦЗПД.

Зачем нужна Политика обработки данных работников, если все данные обрабатываются на основании трудового договора?

Для соблюдения принципа прозрачности (ст.4 Закона). Вы обязаны разъяснить своим работникам в доступной форме, как именно, где и для каких целей обрабатываются их данные.