15.11.2021 вступает в силу Закон о защите персональных данных в Беларуси.
Мы подготовили для Вас чек-лист для проверки, готов ли Ваш бизнес к изменениям законодательства в сфере защиты персональных данных.
1. Что регулирует новый Закон?
2. Какая ответственность за нарушение регулирования по защите персональных данных?
3. Как проверить, готова ли ваша компания работать по новому Закону?
2. Ответственность
2 |
АДМИНИСТРАТИВНАЯ УГОЛОВНАЯ
Ст. 23.7 КоАП
(Нарушение законодательства о
защите персональных данных)
«Специфические» составы
(авиаперевозки/деятельность
пунктов коллективного
пользования интернет-услугами
Ст. 203-1 УК
(Незаконные действия в отношении
информации о частной жизни и ПД) -
вплоть до лишения свободы до 5 лет
Ст. 203-2 УК
(Несоблюдение мер обеспечения
защиты ПД) — вплоть до лишения
свободы до 1 года
Размер штрафов - от 2 БВ до 200 БВ (BYN 58 - BYN 5800)
!
3. 3 |
Права субъектов данных
Принципы и основания для
обработки ПД
Обязанности оператора
Перечень обязательных мер по
защите ПД
Требования к трансграничной
передаче ПД
Требования к обработке спец.
категорий ПД
«Документирование» отношений
между оператором и
уполномоченными лицами
Создание надзорного органа
Закон о защите персональных данных (ПД) от 07.05.2021 N 99-З
(вступает в силу с 15.11.2021)
ЗАКРЕПЛЕНО
4. 4 |
ШАГ 1: АНАЛИЗ ПРОЦЕССОВ ОБРАБОТКИ ПД
АНАЛИЗИРУЕМ
1
2
3
Какие данные собираются и
обрабатываются: перечень, цели,
сроки хранения (по отдельным
направлениям)?
Перечень ПД будет открыт.
! ФИО, email, телефон, cookies,
IP-адреса и др.
Где хранятся ПД (в какой стране,
кто обслуживает сервера/
хранилища, используются услуги
провайдеров)?
Куда и кому передаются/кто
имеет доступ к обрабатываемым
ПД?
5. 5 |
ШАГ 2: Базовые требования к обработке ПД
ПРОВЕРЯЕМ СООТВЕТСТВИЕ
1
2
3
Есть конкретные основания
для обработки ПД (согласие, договор
или др. основание) (ст. 5,6 Закона)
ПД обрабатываются для конкретных
заранее заявленных целей
Объем обрабатываемых ПД
соответствует заявленным целям
Объем обрабатываемых ПД
соответствует заявленным целям
4
6. 6 |
Получить согласие субъекта
данных либо использовать одно
из исключений из п. 2 ст. 8 Закона
Принять меры предупреждения
рисков обработки специальных
ПД
ШАГ 2: Обработка специальных ПД
1
НУЖНО:
2
Перечень спец. ПД - закрыт.
Включает биометрические и
генетические данные, сведения о
национальной/расовой
принадлежности и др.).
См. ст. 1 и 8 Закона.
7. 7 |
Субъект данных предварительно
получил разъяснение по обработке ПД:
о его правах, последствиях и
ответственности от дачи/отказа в даче
согласия
Субъект данных предоставляет свое
согласие свободно, однозначно и на
основании своей информированности
Согласие субъекта данных оформлено
в установленной форме
ШАГ 4: Получение согласия на обработку ПД
ПРОВЕРЯЕМ
2
Согласие - ключевое (но не
единственное) основание для
обработки ПД. См. ст. 5 и 6 Закона
1
3
8. 8 |
Есть ответственное лицо/
подразделение для внутреннего
контроля обработки ПД
Есть «актуальная» политика
обработки ПД
Работники ознакомлены с
законодательством и политикой
обработки ПД
До начала обработки
опубликована политика
Техническая/крипто-защита - в
установленном порядке
ШАГ 5: Меры по обеспечению защиты ПД
1
2
3
4
5
9. 9 |
Есть договор между вами
(оператором) и уполномоченным
лицом.
Оператор несет ответственность
за действия уполномоченного
лица перед субъектом данных.
Указаны необходимые условия
такого договора:
цели обработки ПД
действия, совершаемые с ПД
обязательство о
конфиденциальности
меры по защите ПД
ШАГ 6: Обработка ПД третьими лицами
2
1
Уполномоченные лица:
сервисы аналитики, рекламы,
платежей, провайдеры с
доступом к ПД
10. 10 |
Юрисдикция получателя:
«адекватная» или нет.
В адекватные юрисдикции
передача—свободно.
ШАГ 7: Трансграничная передача ПД
ПРОВЕРЯЕМ
Есть основание для
трансграничной передачи ПД
в «неадекватную»
юрисдикцию (т.е. согласие/
договор и др.)
Субъекту данных разъяснены
риски из-за «ненадлежащего»
уровня защиты данных при
передаче в третью страну.
2
3
Пример трансграничной передачи ПД:
хранение данных на серверах за
пределами РБ. См. ст. 9 Закона
1
11. 11 |
Отзыв согласия
Получение информации и
изменение ПД
Получение информации о
предоставлении ПД третьим
Прекращение обработки
и/или удаления ПД
Обжалование (без) действий,
решений оператора
ШАГ 8: Соблюдение прав субъектов ПД
1
2
3
4
В СИСТЕМЕ ОПЕРАТОРА
СОБЛЮДЕНЫ ПРАВА НА:
5
Срок реагирования на запросы субъектов
- 15 календарных дней, по праву на
информацию - 5 рабочих дней
12. 12 |
Обеспечивать защиту ПД
Прекращать обработку ПД при
отсутствии (утрате) оснований для
обработки
Вносить изменения в ПД, которые
являются неполными и
неактуальными
Уведомлять надзорный орган о
нарушениях систем защиты ПД в
течение 3 рабочих дней со дня
выявления оператором
общие требования к обработке ПД
требования к передаче ПД
меры по обеспечению защиты ПД
ШАГ 9: Соблюдение обязанностей при обработке
СОБЛЮДАТЬ В ТЕЧЕНИЕ
ВСЕГО СРОКА ОБРАБОТКИ ПД:
ОПЕРАТОР ОБЯЗАН:
1
2
3
4
13. 13 |
Анализ процессов обработки ПД проведен
Базовые требования к обработке ПД
соблюдаются (ст. 4, 5, 6 Закона)
Порядок обработки специальных ПД
(ст. 1, 8 Закона) соблюден
Условия получения согласия на обработку ПД
соблюдены (ст. 5, 6 Закона)
Меры по обеспечению защиты ПД внедрены
(ст. 17 Закона)
1
2
3
4
5
ЧЕК-ЛИСТ: Готовность к Закону о защите ПД
ДА НЕТ
14. 13 |
Порядок привлечения уполномоченных лиц для
обработки ПД (ст. 7 Закона) соблюден
Порядок осуществления трансграничной
передачи ПД (ст. 9 Закона) соблюден
Процедура обработки данных обеспечивает
соблюдение прав их субъектов (ст. 10-16 Закона)
Процедура обработки данных обеспечивает
соблюдение обязанностей оператора
(ст. 16 Закона)
6
7
8
9
ЧЕК-ЛИСТ: Готовность к Закону о защите ПД
ДА НЕТ
ЕСЛИ У ВАС 9 «ДА» - ВЫ ПРОШЛИ КОМПЛАЙЕНС
15. ОСТАЛИСЬ ВОПРОСЫ? СВЯЖИТЕСЬ С НАМИ
Налоги
и M&A
Регулирование Судебная практика IPR
belarus@legaltax.by @LegaltaxBot
15|