Защита данных и конфиденциальность сотрудников в Беларуси

1) Какие существуют законодательные акты в Беларуси, регулирующие защиту персональных данных сотрудников, и как они соотносятся с международными стандартами?

В целях защиты персональных данных работников в Беларуси приняты следующие акты законодательства:

1. Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (Закон о персональных данных).

2. Указ Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных».

3. Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 20.02.2020 № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449».

4. Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных».

5. Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 01.06.2022 № 94 «О государственном информационном ресурсе «Реестр операторов персональных данных».

Дополнительно, Национальным центром по защите персональных данных Республики Беларусь разработаны Рекомендации об обработке персональных данных в связи с трудовой (служебной) деятельностью.   

За основу при разработке Закона о персональных данных был взят Общий Регламент защиты персональных данных (GDPR). Вместе с тем, например, в Беларуси недопустима обработка персональных данных для целей, вытекающих из легитимных интересов. 

При трансграничной передаче персональных данных используется критерий “надлежащего уровня защиты прав субъектов персональных данных”, под которым понимаются стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также члены ЕАЭС. 

2) Какие типы персональных данных обычно защищаются трудовым законодательством?

В белорусском законодательстве нет установленного типа персональных данных, которые обрабатываются в трудовых отношениях. 

На практике при приеме на работу наниматель обрабатывает следующие персональные данные работника:

• фамилия, имя и отчество;
• идентификационный номер;
• номер паспорта;
• адрес места регистрации и (или) места проживания;
• воинская обязанность и учетный военкомат (для мужчин);
• опыт работы (места предыдущей работы и должности);
• образование;
• медицинские сведения;
• сведения о судимости, номер персонифицированного учета;
• сведения из направления на работу.

Обработка иных персональных данных работников может признаваться избыточной, в том числе при наличии согласия на их обработку.

3) Как обеспечить соблюдение законодательства о защите персональных данных при передаче персональных данных сотрудников третьим лицам (например, подрядчикам, партнерам)?

Если наниматель поручает обработку персональных данных работников третьим лицам, необходимо заключить договор (например, на ведение кадрового и (или) бухгалтерского учета). В таком договоре между нанимателем и другой организацией должно быть отражены условия, указанные в ст. 7 Закона о персональных данных. Например, цели обработки персональных данных; обязанности по соблюдению конфиденциальности персональных данных, перечень действий, которые будут совершаться с персональными данными третьим лицом.

Если наниматель передает персональные данные иным третьим лицам (например, подрядчикам), то в законодательстве не установлены требования к договору между ними в части передачи персональных данных.

4) В каком виде получается согласие на обработку персональных данных сотрудников?

Согласие на обработку персональных данных может быть дано в любой форме, позволяющей подтвердить факт его получения от работника. Оно может быть получено как на бумажном носителе, так и в электронной форме (например, заполнение данных в личном аккаунте программного обеспечения с проставлением галочки в “чек-боксе”). Для каждой цели обработки персональных данных необходимо получить отдельное согласие.

5) Какие персональные данные сотрудников не могут запрашиваться и обрабатываться со стороны работодателя?

В белорусском законодательстве не установлен  перечень персональных данных, которые не могут запрашиваться у работника. Законодательство о защите персональных данных закрепляет основный принцип обработки персональных данных любого субъекта, в том числе работника - соразмерность заявленным нанимателем целям их обработки и обеспечение на всех этапах такой обработки справедливого соотношения интересов работника и нанимателя.

6) Каковы последствия нарушения законодательства о защите персональных данных сотрудников?

Нарушение законодательства о защите персональных данных может повлечь ответственность нанимателя в лице самой компании, так и руководителя и лица, ответственного за обработку персональных данных, работника, который занимается обработкой персональных данных. В законодательстве предусмотрена гражданско-правовая, административная, уголовная и дисциплинарная ответственность. 

• Дисциплинарная ответственность в виде увольнения за нарушение порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных предусмотрена по п. 10 ч. 1 ст. 47 Трудового кодекса Республики Беларусь;
• Гражданско-правовая ответственность предусмотрена в виде компенсации работнику морального вреда вследствие незаконной обработки его персональных данных;
• Административная ответственность предусмотрена по ст. 23.7, 24.11 Кодекса Республики Беларусь об административных правонарушениях с уплатой штрафа от 45 до 1130 евро;
• Уголовная ответственность предусмотрена по ст. 203-1, 203-2 Уголовного кодекса Республики Беларусь с применением штрафа, ареста, ограничения или лишения свободы до 5 лет. К таким преступлениям, например, относится несоблюдение мер по защите персональных данных, приведшее к несанкционированному распространению персональных данных, иным тяжким последствиям; умышленный незаконный сбор персональных данных без согласия, причиняющее значительный вред правам и интересам личности.

Авторы: Антон Мозоль, Полина Сачава