Вопросы/ответы, технические и административные действия в вашей компании для соблюдения Закона Республики Беларусь "О защите персональных данных" № 99-З от 07.05.2021
1. Пользуясь сервисами Платформы ABCP, вы автоматически поручаете Платформе принять роль Третьей стороны (обработчика персональных данных) – лица, которое обрабатывает данные по поручению Оператора (ст. 1 Закона № 99-З).
2. Разработать внутренние документы:
2.1. “Положение об обработке и обеспечении безопасности персональных данных”, в котором прописаны цели, задачи, обязанности и процедуры внутреннего контроля;
2.2. “Регламент по доступу к персональным данным”.
2.3. “Обязательство о неразглашении персональных данных”.
2.4. Приказ о назначении конкретного лица или лиц на роль ответственного за внутренний контроль при обработке персональных данных.
2.5. Должностную инструкцию, описывающую обязанности и полномочия назначенного ответственного лица.
3. Ознакомить всех сотрудников компании с документом:
3.1. “Положение об обработке и обеспечении безопасности персональных данных”;
3.2. “Регламент по доступу к персональным данным”.
4. Подписать индивидуально с сотрудниками, имеющими доступ к персональным данным:
4.1. “Обязательство о неразглашении персональных данных”.
5. В случае наличия интеграций с внешними сервисами или использования API платформы:
5.1. Убедиться, что при использовании любых подключенных к сайту сервисов не происходит трансграничной передачи персональных данных.
5.2. Трансграничная передача возможна, но с ограничениями: если страна, куда передаются данные, не обеспечивает адекватный уровень защиты, требуется согласие субъекта данных или специальное разрешение Оперативного аналитического центра при Президенте (ОАЦ). Страны ЕАЭС (Россия, Казахстан, Армения, Кыргызстан) считаются обеспечивающими достаточную защиту.
5.3. Как для зарубежных, так и для белорусских сервисов, подключённых к вашему сайту (CRM, системы аналитики и рекламы, коллтрекинг, телефония и т. д.), — убедиться, что между вами и сервисом существует (или подписано) поручение (в виде договора или оферты) на обработку персональных данных, и текст поручения определяет действия с данными в рамках Закона О защите персональных данных и не противоречит законодательству Республики Беларусь.
5.4. Провести ревизию использования API (вами или сервисами, подключенными с вашего согласия) и убедиться, что не происходит трансграничной передачи данных и существует поручение на обработку персональных данных.
5.5. В любом случае проверяйте, какие данные передаются сторонним сервисам. Например, Яндекс в своей политике конфиденциальности запрещает передавать идентификационную информацию в Метрику и рекомендует правильно настраивать используемые инструменты Яндекса, перекладывая всю ответственность за сбор персональных данных Метрикой на владельца сайта.
Вопросы и ответы
1. У нас на сайте работают франчайзи партнеры и у них отдельные юр.лица. Что им нужно делать?
Ответ: не имеет значения, что вы и ваши франчайзи используют одно доменное имя. Каждому партнеру нужно выполнить все действия точно так же как и головной компании.
2. Доменное имя сайта оформлено на физическое лицо, нужно ли переоформлять на юридическое лицо, которое становится оператором персональных данных?
Ответ: не нужно, в Беларуси нет прямого требования о том, что доменное имя сайта, обрабатывающего персональные данные, должно быть оформлено именно на юридическое лицо. Закон РБ не связывает регистрацию домена с оператором персональных данных.
3. У нас на сайте несколько юридических лиц, как быть?
Ответ: Каждое юридическое лицо, представленное на вашем сайте, несет самостоятельную ответственность как оператор персональных данных. Однако возникает сложность: при первоначальном взаимодействии с посетителем сайта невозможно заранее определить, какое именно из ваших юридических лиц будет обрабатывать его персональные данные – это становится очевидным только после оформления заказа.
В данной ситуации рекомендуем следующий алгоритм действий:
1) на сайте указать основное (наиболее часто используемое) юридическое лицо в качестве первичного оператора;
2) заключить между всеми вашими юридическими лицами официальное соглашение о передаче персональных данных;