Кто подпадает под действие Закона №99-З
Под закон попадает практически любой бизнес, который работает с информацией о людях. Если вы храните базу клиентов, ведёте кадровый учёт, собираете заявки на сайте или рассылаете маркетинговые письма, вы оператор, и правила касаются вас напрямую.
Закон №99-З действует в Беларуси с 15 ноября 2021 года. Он распространяется на государственные органы, частные компании, индивидуальных предпринимателей и даже на физлиц, если те работают с чужими сведениями вне личных и семейных нужд. Размер организации значения не имеет: требования к ИП с одним сотрудником и к холдингу различаются только объёмом работы, но не сутью.
Регулятором выступает Национальный центр защиты персональных данных, сокращённо НЦЗПД. Именно он разъясняет нормы, ведёт реестры, рассматривает жалобы граждан и инициирует проверки.
Что закон относит к персональным сведениям
Персональные данные — это любая информация, по которой можно прямо или косвенно узнать конкретного человека. Фамилия, телефон, адрес, фото, номер машины, IP в связке с другими признаками идентифицируют личность, а значит, охраняются.
Закон выделяет особую категорию: специальные сведения. К ним относят информацию о здоровье, судимости, национальности, религиозных взглядах, биометрию (отпечаток, скан лица) и генетику. Работать с такими записями можно только при отдельном письменном согласии и при усиленной защите.
Чтобы не запутаться, держите в голове простой ориентир по категориям.
| Категория | Примеры | Особенности |
|---|---|---|
| Обычные | ФИО, телефон, e-mail, должность | Согласие в любой допустимой форме |
| Специальные | Здоровье, биометрия, судимость | Письменное согласие, повышенные требования |
| Обезличенные | Записи без привязки к личности | Под закон, как правило, не подпадают |
Согласие субъекта: когда нужно и когда можно без него
Согласие — основной, но не единственный законный повод собирать чужую информацию. Оно должно быть свободным, конкретным и осознанным: человек понимает, кто, зачем и какие его сведения берёт. Молчание или заранее проставленная галочка разрешением не считаются.
Форма зависит от ситуации. Для обычных сведений подойдёт отметка на сайте, ответ по SMS или подпись на бумаге. Для специальных категорий нужна именно письменная форма. Субъект вправе в любой момент отозвать разрешение без объяснения причин, и тогда работу с его записями придётся прекратить.
При этом закон называет случаи, когда разрешение не требуется:
- работа со сведениями нужна для исполнения договора, где субъект является стороной;
- информация обрабатывается на основании другого законодательного акта;
- речь идёт о защите жизни и здоровья человека;
- сведения уже сделаны общедоступными самим субъектом.
Обязанности оператора: базовый чек-лист
Закон сводит требования к нескольким понятным блокам. Выполнив их, компания закрывает основную часть нагрузки и спокойно проходит проверку.
Вот что должен сделать оператор по порядку:
- получить законное основание (чаще согласие) до начала сбора;
- сообщить субъекту цель и объём сбора;
- назначить ответственного за внутренний контроль;
- разработать политику и положения по работе со сведениями;
- принять технические и организационные меры защиты;
- хранить информацию не дольше, чем нужно для заявленной цели;
- реагировать на запросы граждан и на инциденты.
Дальше разберём ключевые пункты подробнее.
Какие документы должна оформить организация
Минимальный пакет документов — это фундамент, без которого остальные меры повисают в воздухе. Регулятор ожидает увидеть как минимум политику в отношении обработки, положение о порядке доступа и формы согласий.
Политика является публичным документом. Её размещают на сайте, чтобы посетитель видел, какие сведения о нём собирают и зачем. НЦЗПД выпустил рекомендации по её содержанию, поэтому шаблон из интернета лучше адаптировать под реальные процессы компании, а не копировать вслепую.
Внутренние положения, наоборот, для служебного пользования. Они описывают, кто из сотрудников имеет доступ к базе, как организовано хранение и что делать при запросе субъекта. Полезно завести и журнал учёта, где фиксируются цели сбора и сроки.
Ответственный за внутренний контроль: кто это и зачем
Назначить ответственного обязана каждая организация, которая системно работает с чужими сведениями. Это может быть отдельный сотрудник, руководитель или привлечённый специалист: закон не требует создавать целый отдел, если объём небольшой.
Задача этого человека в том, чтобы реальная практика совпадала с документами. Он контролирует доступ, обучает коллег, готовит ответы на запросы и держит связь с регулятором. В крупных компаниях роль вырастает до полноценного подразделения по информационной безопасности.
Формально назначение оформляют приказом. Но одной бумаги мало: ответственный должен понимать процессы и иметь полномочия их менять, иначе контроль остаётся на словах.
Технические и организационные меры защиты
Меры делятся на две группы: организационные (правила и доступ) и технические (программы и оборудование). Закон не диктует конкретный софт, он требует, чтобы уровень защиты соответствовал рискам.
К организационным относят разграничение доступа, режим коммерческой тайны, инструктаж персонала, договоры о конфиденциальности с подрядчиками. К техническим — шифрование, резервное копирование, антивирус, журналирование действий, защиту каналов связи.
Компаниям, которые работают с большими массивами чувствительной информации, имеет смысл выстроить систему управления по стандарту ISO/IEC 27001. Это снижает риск инцидента и упрощает диалог с проверяющими.
Права субъекта и как на них реагировать
Человек, чьи сведения вы храните, наделён конкретными правами, и компания обязана их обеспечивать. Игнорировать обращение гражданина нельзя: это прямой путь к жалобе в НЦЗПД.
Закон даёт субъекту несколько возможностей:
- получить информацию о том, какие записи и зачем собраны;
- узнать, кому их передавали;
- потребовать исправить ошибку;
- отозвать ранее данное согласие;
- требовать прекращения сбора и удаления.
Удобнее заранее прописать регламент: кто принимает обращение, как его проверяют и в какой форме отвечают. На большинство запросов закон отводит срок для ответа, и его лучше не нарушать, тогда ситуация не превращается в аврал.
Что делать при утечке информации
При утечке счёт идёт на часы. Если посторонние получили доступ к базе, оператор обязан без промедления уведомить уполномоченный орган в установленный законодательством срок и принять меры, чтобы остановить распространение.
Первым делом фиксируют факт: что произошло, какой объём сведений затронут, кто пострадал. Затем перекрывают канал утечки, оценивают последствия и при необходимости информируют самих граждан. Скрывать инцидент опасно, это отягчает положение компании при разбирательстве.
Чтобы не действовать вслепую, порядок реагирования прописывают заранее: ответственные лица, шаблоны уведомлений, контакты регулятора. Тогда в критический момент команда не теряет драгоценное время.
Ответственность за нарушения
За нарушение правил предусмотрена ответственность вплоть до уголовной. Самый частый риск для бизнеса — административный штраф по статье 23.7 КоАП, который налагается на должностных лиц и саму организацию.
В тяжёлых случаях, например при умышленном незаконном сборе или распространении сведений, причинившем вред, наступает уголовная ответственность. Размер санкции зависит от состава нарушения и последствий, поэтому точные суммы здесь приводить некорректно: их определяет суд по конкретному делу.
| Вид ответственности | За что | К кому применяется |
|---|---|---|
| Дисциплинарная | Нарушение работником порядка | Сотрудник |
| Гражданско-правовая | Причинённый субъекту вред | Организация |
| Административная | Статья 23.7 КоАП | Должностное лицо, юрлицо |
| Уголовная | Умышленные незаконные действия | Физическое лицо |
Помимо наказания от государства, есть и репутационный счёт. Потеря клиентской базы бьёт по доверию сильнее любого взыскания, а вернуть расположение людей труднее, чем заплатить штраф.
С чего начать малому бизнесу
Малому бизнесу необязательно сразу строить сложную систему: достаточно закрыть базовые требования и двигаться от главного. НЦЗПД прямо отмечает, что объём мер должен быть соразмерен реальным рискам.
Начните с инвентаризации: какие сведения вы собираете, где они хранятся и кто к ним прикасается. Уже этот шаг показывает большинство уязвимых мест. Затем оформите согласия и политику, назначьте ответственного и наведите порядок в доступе.
Дальше идёт техническая часть: пароли, резервные копии, разграничение прав. Для микробизнеса хватает аккуратной организации процессов, крупные компании докупают специализированные решения.
Как привести обработку в соответствие с законом
Проще всего разобраться с требованиями под руководством специалиста, который уже проходил этот путь. Мы помогаем компаниям пройти аудит, подготовить пакет документов и выстроить защиту так, чтобы проверка не стала сюрпризом.
Объём и сроки работ зависят от размера компании и того, с какими сведениями она работает, поэтому стоимость рассчитывается индивидуально после оценки текущей ситуации. Начать можно с услуги защиты персональных данных: специалист проверит ваши процессы и подскажет, что исправить в первую очередь. Если бизнес завязан на ИТ-инфраструктуре, имеет смысл рассмотреть и сертификацию по ISO 27001 или другие решения из нашего каталога услуг.
