НЦЗПД дополнил Рекомендации, которыми руководствуются операторы и уполномоченные лица при обработке персональных данных
В конце октября Национальный центр защиты персональных данных Республики Беларусь (НЦЗПД) внес корректировки в Рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных (далее – Рекомендации).
Как отмечает регулятор, дополнения подготовлены с учетом практики применения законодательства о персональных данных в целях обеспечения единообразных подходов к определению статуса лиц, участвующих в обработке персональных данных.
Оператор – это юридическое или физическое лицо (включая ИП), которые самостоятельно или совместно с другими организуют и осуществляют обработку персональных данных.
Сегодня оператором является любая компания, у которой есть сотрудники/клиенты/контрагенты.
Уполномоченное лицо – это сторонняя организация, которой бизнес поручает обработку данных (например, бухгалтерская компания или IT–компания на аутсорсе, колл-центр, сервис по рассылке SMS-сообщений, хостинг-провайдер и т.д.).
Дополнения, которые появились в Рекомендациях о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных можно разделить на две группы:
1) Дополнения, описывающие правовые аспекты работы с иностранным подрядчиком.
В Рекомендациях разобраны примеры, когда оператор привлекает к обработке персональных данных уполномоченных лиц, являющихся резидентами иностранных государств.
Ситуация: Белорусская компания намеревается заказать маркетинговое исследование у иностранной компании с целью проанализировать рынок, провести анализ потребителей и конкурентов, а также разработать маркетинговую стратегию.
Рекомендации НЦЗПД
(А) Фиксируем отношения оператора и иностранного уполномоченного лица по вопросам обработки персональных данных самостоятельным договором или отдельными положениями.
Для соблюдения белорусского Закона «О защите персональных данных» (далее – Закон) в договор с уполномоченным лицом-нерезидентом должны быть включены все обязательные условия, указанные в ст.7 Закона: цель обработки, перечень передаваемых персональных данных и др.
Рекомендуем дополнительно указывать право белорусской компании привлекать третьих лиц, включая иностранные компании, для обработки персональных данных и осуществления действий, связанной с ней (например, прекратить обработку по окончании отношений или удалить персональные данные).
(Б) Запрашиваем у иностранного уполномоченного лица подтверждение и гарантии соблюдения им требований законодательства Республики Беларусь.
По Рекомендациям НЦЗПД уполномоченному лицу, являющемуся иностранной организацией, необходимо представить подтверждение и гарантии соблюдения им требований законодательства Республики Беларусь о персональных данных.
Поэтому при согласовании условий договора важно определить не только порядок оказания услуг и ее оплату, но и запросить подтверждение и гарантии соблюдения требований белорусского законодательства в части обработки персональных данных, в том числе, в части технической и криптографической защиты.
Если иностранный подрядчик не может обеспечить исполнение требований белорусского законодательства, важно понимать, что в данном случае нести ответственность за деятельность иностранного подрядчика (уполномоченного лица) в части обработки персональных данных по договору будет белорусская компания (оператор).
2) Дополнения, описывающие особенности определения статуса лица, привлекаемого оператором к работе, напрямую не связанной с обработкой персональных данных, но обработка теоретически возможна.
Передача части своих функций, связанных с обработкой персональных данных, на аутсорсинг другой организации является распространенной бизнес-моделью в Беларуси. На практике, возникает сложность с определением статуса лиц, привлекаемых оператором.
Ситуация: IT-компания, работая на аутсорсинге, оказывает услуги по техническому обслуживанию ООО «N».
Вопрос: Является ли IT-компания уполномоченным лицом, если напрямую работы не связанны с обработкой персональных данных ООО «N»?
Для определения статуса контрагента необходимо оценить, имеют ли работники IT-компании доступ к персональным данным, в том числе гипотетический. Если все данные скрыты, статуса уполномоченного лица нет. В случае, когда IT-компания может видеть макеты документов с заполненными бланками клиентов, фамилиями их работников, то она будет являться уполномоченным лицом.
Таким образом, при наличии у исполнителя по соответствующему договору (например, по техническому обслуживанию и (или) ремонту техники) доступа к персональным данным в ходе оказания услуги оператору, такой исполнитель выступает уполномоченным лицом. При этом способ получения доступа к персональным данным (удаленно или непосредственно по месту нахождения оператора) на наличие указанного статуса не влияет.
В договоре с исполнителем должен появиться соответствующий тематический раздел, отсутствие которого грозит штрафом до 2100,00 белорусских рублей.
