Работа с персональными данными у субъектов малого предпринимательства: разъяснения НЦЗПД

Кажется, в современном мире невозможно представить ни одну бизнес-схему, в которой не обрабатывались бы персональные данные. В Законе «О защите персональных данных» и Указе №422 закреплен ряд мер, которые должны соблюдаться операторами (по GDPR – контролер), однако в силу специфики деятельности часто это сложно реализуемо или очень трудозатратно. 

НЦЗПД разработал рекомендации для субъектов малого предпринимательства с учетом их специфики деятельности и реальных возможностей. 

Напомним, к субъектам малого предпринимательства относят две категории лиц: 

• физические лица, осуществляющие индивидуальную предпринимательскую деятельность (например, ИП, плательщики НПД, единого налога, ремесленники); 
• малые организации – зарегистрированные в Беларуси коммерческие организации со средней численностью работников за календарный год до 100 человек включительно.

Несколько пунктов, на которые хотелось бы обратить внимание: 

1. Часто от субъектов малого предпринимательства можно услышать, что они не осуществляют обработку персональных данных, с ними не работают и требования к ним не применимы. Однако это не так. К персональным данным мы относим не только фамилию, имя и паспортные данные, но и номер телефона, почту, IP-адрес и др. Если проанализировать деятельность, можно выделить следующие примеры обработок: 

• ведение блога в социальных сетях о своей деятельности (например, выкладывание рилсов с незнакомыми людьми на улице, например, когда задают вопросы; выкладывание своих работ как фотограф или визажист), 
• ведение клиентской базы данных (например, в файле Excel на компьютере),
• анализ информации, полученной из формы обратной связи на сайте (например, путем оставления адреса электронной почты или номера телефона), 
• направление рассылок (например, в мессенджерах или по электронной почте), 
• направление напоминаний в почте, СМС или в мессенджере (например, о предстоящем визите, о новых акциях);
• использование облачных хранилищ для ведения реестра клиентов, 
• запись клиентов через боты в мессенджерах, 
• публикация отзывов клиентов. 

Важно помнить, что каждая цель обработки требует своего правового основания. Как правило, это связано с исполнением договора (например, напоминание о предстоящем визите или об оплате) или необходимость получения согласия в письменной или электронной форме (например, путем проставления ✅)

2. Помимо определения правового основания обработки необходимо выявлять и случаи трансграничной передачи персональных данных. Для этого необходимо пройти простой тест: 

• Определить страну регистрации компании, предоставляющей иностранные сервисы с точки зрения отнесения ее к государствам, обеспечивающим надлежащий уровень защиты прав субъектов персональных данных.
• Если государство не находится в перечне, то необходимо описывать дополнительные риски при получении согласия на обработку персональных данных (например, нет единого законодательства, нет надлежащего уполномоченного органа и иное)

Несколько примеров трансграничной передачи персональных данных: хранение сведений о клиентах на серверах, размещенных за пределами Республики Беларусь (Google Drive, Dropbox, iCloud, Яндекс Диск и др.); онлайн-запись через сервисы YClient, Telegram-бот и др., Direct социальной сети; публикация материалов клиентов в социальных сетях. 

По мнению НЦЗПД, использование ряда сервисов должно носить исключительный характер с предоставлением возможности клиентам использовать иной способ связи, например, посредством мобильной связи.

3. Несмотря на то, что малый бизнес не характеризуется масштабностью, привлечение уполномоченных лиц реально. Примером может быть аутсорсинг бухгалтерских услуг, IT-поддержка, аренда сервера у хостинг-провайдера, транспортные услуги.

Это требует указания в договоре с таким субъектом следующих пунктов: 

• Цели обработки (например, ведение бухгалтерского учета, подача налоговых деклараций в ИМНС, подача ПУ-2, 3 и др.) 
• Перечень действий уполномоченного лица с персональными данными (сбор, систематизация, предоставление в ИМНС и др.) 
• Обязанность по соблюдению конфиденциальности персональных данных
• Меры по обеспечению защиты персональных данных по ст. 17 Закона о защите персональных данных (например, издание политики в отношении обработки персональных данных, установление порядка доступа к персональным данным и др.). 

Важно, что субъект малого предпринимательства не просто прописывает эту информацию в договоре, но и проверяет ее соблюдение, несет ответственность перед субъектом персональных данных. 

4. Как правило, на сайте есть файлы cookie, например, технические, рекламные, аналитические. В зависимости от их вида может потребоваться получение согласия клиента на этапе посещения сайта без нарушения цветового восприятия информация (например, без выделения кнопки «согласен») с размещением политики их обработки. В качестве иных примеров нарушений могут быть невозможность отказаться от обработки, отсутствие политики обработки файлов сookie, отсутствие механизма отзыва согласия. 

5. Для физических лиц, осуществляющих индивидуальную предпринимательскую деятельность, не требуется назначать лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных. 

6. Основной документ, который определяет порядок обработки персональных данных – это политика в отношении обработки персональных данных. Обязанность по ее размещению предусмотрена только для малых организаций и ИП, иным физическим лицам размещать ее не надо. Однако если они обрабатывают большой массив данных, то это рекомендуется (например, для агроэкотуризма). 

7. Установление порядка доступа к персональным данным при наличии работников, например, путем настроек в программном обеспечении, предоставив максимальные права администратору. Отсутствие порядка приведет к получению доступа к персональным данным работниками, трудовая функция которых не связана с обработкой персональных данных (например, работники, осуществляющие техническое обслуживание здания), а также сторонних лиц. 

Важно! В анонсируемых изменениях в законодательство о персональных данных отдельно отмечаем о возможности передачи функций, связанных с функционалом DPO, на аутсорсинг, что для иных форм предпринимательства не рекомендуется!