Что нужно знать турбизнесу о реестре операторов персональных данных

С 2024 года в Беларуси заработал реестр операторов персональных данных. Эта инициатива, направленная на обеспечение прозрачности и соблюдения правил обработки персональных данных, требует от организаций, работающих с личной информацией, регистрации в реестре до 15 января 2023 года. Регистрация в реестре является обязательной для организаций, которые обрабатывают персональные данные более 100 000 человек или 10 000 детей до 16 лет, а также для тех, кто осуществляет трансграничную передачу персональных данных. РСТИ пообщался со старшим юристом юридической компании “Аврора” Валерией Павловой и узнал кому необходимо подавать сведения в реестр и что будет, если данные не были поданы вовремя.

Закон о защите персональных данных действует уже давно, но внимание общества привлек новый реестр, который стал действовать с января 2024 года. Это отнюдь не новость: требования к информационным ресурсам, подлежащим включению в реестр, известны уже более года. Главное, не впадать в панику. Хотя в первую очередь это касается крупных компаний, банков и медицинских учреждений, работающих с большим количеством персональных данных, мелким предприятиям также стоит внимательно изучить свою базу данных клиентов и спокойно разобраться, действительно ли вступление в реестр им необходимо.

Что входит в понятие информационный ресурс и за какой период нужно считать количество обрабатываемых данных: за год или за весь период работы? Касается ли это туроператоров или гостиниц?

Обязанность внести сведения в реестр распространяется на всех юрлиц, независимо от сферы деятельности. Если компания обрабатывает данные более 100 тысяч человек (и/или 10 тысяч детей до 16 лет), она обязана пройти регистрацию. Обработка - это не только сбор и систематизация, но и хранение, предоставление, распространение персональных данных. Допустим, если вы используете информационный ресурс - Битрикс, Мастер-Тур либо другую CRM-систему или систему онлайн-бронирования, в которой за все время деятельности компании хранится информация о ваших клиентах, их номера телефонов, ФИО, это все будет считаться обработкой персональных данных.

Даже если эти данные хранятся в таблице Excel на рабочем столе?

Да, если организация ведет базу данных клиентов в Microsoft Excel, то такой файл уже будет считаться информационным ресурсом. Данный кейс приведен в качестве примера Национальным центром по защите персональных данных на официальном сайте. Если турист вернулся из путешествия, все условия договора выполнены и иных правовых оснований для дальнейшей обработки его данных в информационном ресурсе не имеется, его данные из вашей системы должны быть удалены. В таком случае останутся только договор и иные документы, заключенные с клиентом в рамках оказания услуг, которые впоследствии будут переданы в архив. Если же эта информация хранится в системе на протяжении длительного времени, это считается обработкой персональных данных. Субъекты бизнеса понимают, что каждый бывший клиент может стать потенциальным клиентом на ряд других услуг, поэтому сохранить контакт представляется рациональным с точки зрения прибыли. Возможно, исходя из этого, многие эту информацию хранят. Но тут нужно взвесить все "за" и "против": вносить свои информационные ресурсы в реестр операторов или лучше привести в порядок свою базу. Как бы то ни было, даже если вы решите не расставаться с персональными данными бывших клиентов, важно понимать, правомерно ли вы храните эти данные, были ли получены соответствующие согласия от субъектов, а также обеспечивать соответствующую защиту этих данных от утечек.

Если организация зарегистрирована в реестре операторов персональных данных, должен ли быть специалист, ответственный за контроль этого процесса?

Это обязательно для всех организаций, которые обрабатывают персональные данные, независимо от того, входят они в реестр или нет. Такое требование было закреплено в Законе о защите персональных данных. Например, при приеме на работу также происходит обработка персональных данных: заполняется личный листок с паспортными данными, заключается контракт с указанием фамилии и инициалов работника. По сути, все юридические лица и индивидуальные предприниматели должны назначить такого ответственного, если имеют дело с персональными данными. И как раз это и есть главная проблема: часто некому контролировать эту работу и в компаниях отсутствуют документы, которые бы регламентировали процессы обработки персональных данных и устанавливали меры по их защите.

Какие обязанности у такого специалиста и может ли эту должность совмещать с основной работой кто-то из штатных сотрудников?

Эти обязанности можно возложить на действующего сотрудника. Но это не должен быть специалист ради галочки, а он ни сном, ни духом, как этот контроль персональных данных осуществляется. Чаще всего в качестве надлежащих кандидатов рассматривается человек с техническим или юридическим образованием. Например,  системный администратор либо юрисконсульт. Но важно! Его должность не должна быть связана с обработкой персональных данных. Например, менеджер по продажам, который работает с документами, не может контролировать свою собственную работу. Единственный нюанс – если вы обрабатываете более 10 тысяч субъектов персональных данных, не включая работников, такой специалист должен пройти обучение в Национальном центре по защите персональных данных. Его задачи - следить за надлежащим хранением данных, своевременным удалением информации, предотвращением избыточной обработки данных (например, хранения копий паспортов и других личных данных без наличия на то правовых оснований). Он также будет анализировать процессы компании и определять необходимость дополнительных мер по защите персональных данных, таких как приобретение специальных программ для защиты информационной системы компании. Законодательно пока не закреплено, какое именно образование и навыки должен иметь такой специалист, но уже планируют ввести отдельную специальность в вузе и будут готовить конкретно, как их называют на Западе, - DPO (Data Protection Officer).

Какие основные ошибки в работе с персональными данными допускают?

Например, когда компании прямо в договоре указывают согласие клиента на обработку персональных данных в целях, не связанных непосредственно с оказанием услуг по договору (хранение, передача в целях информирования об акциях и пр.), и человек оказывается в замкнутом круге: подписал — получил услугу и рассылку в придачу, отказался — остался без нее и без услуг. Если вы через форму обратной связи на сайте или еще каким-то способом собираете контакты, а потом используете их для маркетинговой рассылки без согласия их владельцев - это нарушение Закона о защите персональных данных. Таких нюансов много, о которых нужно знать. Один из клиентов пожаловался в центр по защите персональных данных, что бронировал через какую-то программу отель, а его данные каким-то образом попали сторонней компании, которая предложила дополнительные услуги. Так не должно происходить. Одним словом, реестр – это капля в море, которая в основном касается гигантов бизнеса, крупных ритейловых сетей, владельцев приложений, а вот правильное обращение с персональными данными - это касается каждого.

Какие штрафы предусмотрены для компаний, которые не соблюдают законодательство о персональных данных, или вовремя не внесли данные в реестр?

На данный момент у нас действует довольно лояльная система ответственности за нарушения в сфере защиты персональных данных. Тем не менее, Национальный центр по защите персональных данных стремится ужесточить эти нормы. В настоящий момент в Кодексе Республики Беларусь об административных правонарушениях есть лишь одна статья, посвященная нарушению законодательства о защите персональных данных (ст. 23.7), которая предусматривает санкции в виде штрафов до 200 базовых величин за нарушение требований по обработке персональных данных. Эти санкции применяются при незаконном обращении с данными, в том числе за их умышленное безосновательное распространение, или несоблюдении мер по их защите. Важно отметить, что такая ответственность касается всех юрлиц, независимо от того, входят они в реестр операторов персональных данных или нет. Если же вы не внесли свои данные в реестр, вас могут оштрафовать на сумму до 20 базовых величин (ст. 24.11 КоАП). Однако, каким образом будет осуществляться контроль за внесением в реестр, пока не ясно. Принцип заявительный, и точно узнать количество обработанных данных организацией можно только в результате проверки, которая включает доступ к серверам и информационным системам  компании. Для ритейлов это может быть проще, оценив количество пользователей программы лояльности. В случае турфирм, особенно с онлайн-бронированием, методика расчета может быть менее очевидной. Так или иначе, если 1 января информационный ресурс вашей организации не соответствовал критериям, то вам не требовалось вносить сведения в реестр до 15 числа. Если же ваша информационная система достигла показателя в 100 тысяч позже, то вам нужно будет внести информацию в реестр в течение 10 рабочих дней с момента соответствия. Этот шаг направлен на укрепление контроля за обработкой персональных данных и призван обеспечить большую прозрачность в сфере работы с личной информацией физических лиц.