Видеозапись онлайн-конференции
«Персональные данные – 2023»
(дата записи 26 и 28 апреля 2023)
Стоимость: 100 BYN (вместо 130 BYN)

Приветственное слово организаторов

Фадеева Елена, директор ООО «Информационное правовое агентство Гревцова»

Деятельность НЦЗПД в 2022 году: методология, проверки, рекомендации
Спикер – Лаптев Кирилл, партнер международной юридической фирмы Sorainen, глава сектор-группы Технологий, медиа и телекоммуникаций, член Консультативного совета при Национальном центре защиты персональных данных Республики Беларусь

Алгоритм приведения деятельности компании в соответствие с требованиями Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»

Спикер: Пашковский Сергей, лектор Национального центра защиты персональных данных Республики Беларусь, эксперт в сфере кибербезопасности с более чем 10-летним опытом, аудитор систем менеджмента информационной безопасности. Соавтор Закона «О защите персональных данных» и Концепции информационной безопасности Республики Беларусь, консультант 10 крупнейших операторов персональных данных Республики Беларусь

Спикер: Пашковский Сергей, лектор Национального центра защиты персональных данных, эксперт в сфере кибербезопасности с более чем
10-летним опытом, аудитор систем менеджмента информационной безопасности. Соавтор Закона «О защите персональных данных» и Концепции информационной безопасности Республики Беларусь, консультант 10 крупнейших операторов персональных данных Республики Беларусь

1. Персональные данные: понятие, категории, важные моменты, касающиеся отдельных категорий.
2. Выбор правового основания для обработки персональных данных: на что обратить внимание, чтобы не допустить ошибок?
3. Типичные ошибки при получении согласия на обработку персональных данных.
4. Ошибки, допускаемые при обработке персональных данных без получения согласия.
5. Распространенные ошибки при обработке персональных данных по другим правовым основаниям.

Разбор кейсов:

Кейс 1. Необходимо ли предоставлять персональные данные по запросу государственного органа?

В компанию поступил запрос из РОВД о предоставлении сведений о работниках, уволенных в 2022 г. (ФИО и дата рождения).

Может ли компания предоставить такие данные или необходимо брать согласие сотрудников? В каких случаях такие данные можно предоставлять без согласия? Каким образом взять согласие у сотрудников, если это необходимо?

Кейс 2. Получение согласия при передаче персональных данных работников компанией-заказчиком

Наша компания занимается международными перевозками. Мы заключаем договор с перевозчиком, который передает нам паспортные данные своего наемного водителя, которые мы в последующем передаем нашему заказчику.

Как правильно получить согласие на обработку персональных данных водителя?

Кейс 3. Передача персональных данных работников вышестоящей организации

Представитель вышестоящей организации запросил номера мобильных телефонов всех работников организации. Наша организация получала согласие работников на обработку персональных данных для оформления на работу и дальнейшего кадрового учета. Будет ли нарушением Закона передача личных мобильных номеров представителю вышестоящей организации?

Кейс 4. В присутствии кого из представителей организации должно подписываться согласие?

С пациентом заключается договор об оказании платных услуг. Для последующих рассылок, телефонных звонков и в других рекламных целях в присутствии администратора пациент подписал согласие на обработку его персональных данных. Правомерно ли это? Может быть, необходимо подписывать такое согласие в присутствии специалиста, ответственного за обработку персональных данных?

Эксперты дискуссионной панели:
Кравченко Егор, глава корпоративной практики и практики защиты персональных данных ООО «Лигалтакс». Автор kv.by, спикер, разработчик гайдов и чек-листов, в том числе по вопросам защиты персональных данных и интеллектуальной собственности
Грубинова Екатерина, управляющий партнер «Ресолва Диджитал», архитектор облачного сервиса автоматизации кадрового учета IntellStaff. Специализируется в области защиты персональных данных

Модератор – Рак Милена,специалист по вопросам защиты персональных данных ООО «Арцингер Лигал»

1. Биометрические персональные данные:

• нюансы отнесения персональных данных к биометрическим;
• как правильно осуществлять обработку фото и видео?
• когда фото прямо относится к биометрическим персональным данным?
• относится ли к биометрическим персональным данным ксерокопия или отсканированные копии страниц паспортов, документов с фотографиями?
• голос как биометрические персональные данные;
• дактилоскопическая информация как биометрические персональные данные.

2. Персональные данные и видеонаблюдение в организации:

• видеонаблюдение и обработка персональных данных: что необходимо знать при принятии решения об осуществлении видеонаблюдения?
• необходимо ли получить согласие работников / третьих лиц, которые осуществляют вход / выход на территорию / в здание организации?
• какие документы, касающиеся видеонаблюдения, необходимо оформить в организации, чтобы соблюсти требования законодательства об обработке персональных данных?
• рекомендации по формулировкам в документах.

3. Трансграничная передача персональных данных:

• в каких случаях имеет место трансграничная передача персональных данных?
• трансграничная передача в группе компаний;
• согласие на обработку персональных данных и согласие на трансграничную передачу данных – это одно и то же?
• как оформить согласие на трансграничную передачу данных?
• оценка рисков при передаче данных за границу.

4. Cookies как персональные данные

Спикер: Грубинова Екатерина, управляющий партнер «Ресолва Диджитал», архитектор облачного сервиса автоматизации кадрового учета IntellStaff. Специализируется в области защиты персональных данных

1. Оператор, сооператор, уполномоченное лицо, получатель персональных данных, третье лицо: характеристика статусов, их соотношение и взаимодействие
2. Почему важно четко понимать статус участника, задействованного в обработке персональных данных?
3. Договорные отношения операторов, оператора и уполномоченного лица: особенности оформления. Важные моменты заключения договора между оператором и уполномоченным лицом
4. Важные нюансы соблюдения конфиденциальности между юридическим лицом (как оператором) и физическим лицом (как лицом, непосредственно обрабатывающим персональные данные) при заключении гражданско-правовых договоров

Разбор проблемных вопросов:

• Как правильно оформить включение в договор на оказание услуг физическому лицу гарантии о нераспространении персональных данных?
• Если в организации есть отделения, то согласие на обработку персональных данных должно быть для каждого отделения свое или можно создать один образец для всех отделений? Играет ли роль то, что у отделения имеется свой УНП?
• Организация-1 заключает договор с организацией-2. Предмет договора – оценка организацией-2 качества звонков, совершаемых работниками отдела продаж организации-1. Организация-1 получила согласие своих работников на обработку персональных данных при обработке их звонков организацией-2

При этом организация-2 использует программу, с помощью которой будет обрабатывать качество звонков сторонней организации, также имеющей доступ к персональным данным работников организации-1. Также организация-2 прописывает в договоре условие о том, что она может оказывать услуги с участием третьих лиц

Нужно ли прописывать в согласии работника об обработке персональных данных еще одну организацию? Как правильно оформить отношения организации-1 и организации-2?

• Гостиница заключает договор с сервисом по бронированию. Клиент предоставляет свои персональные данные этому сервису (заполняет форму на экране: ФИО, дата заезда и выезда, паспортные данные и т.д.). Сервис предоставляет такие данные гостинице. В указанной ситуации гостиница и сервис выступают как оператор и оператор или как оператор и уполномоченное лицо?
• Является ли руководитель структурного подразделения оператором персональных данных в отношении подчиненных работников?

Спикер: Соколовская Вероника, руководитель юридического департамента Sunmait Technologies, эксперт в области защиты персональных данных, интеллектуальной собственности, конкурентного права

1. Какие документы обязательно должны быть в организации? Краткие рекомендации по разработке таких документов.
2. Какие документы необходимо обновить?
3. Какие документы по обработке персональных данных рекомендуется разработать? Важные моменты и рекомендации

Ответы на вопросы и рекомендации спикера

Спикер: Лосев Владимир, юрист, лектор Национального центра защиты персональных данных Республики Беларусь. Более 25 разработок и внедрений в компаниях Беларуси документов по защите персональных данных в 2022 г. Более 30 лет всестороннего опыта работы в прокуратуре, управлении, юридическом образовании и науке. Кандидат юридических наук, доцент, профессор Белорусского государственного экономического университета

1. Назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (далее – внутренний контроль)

• Введение в штат специалиста / структурного подразделения по обработке персональных данных: право или обязанность?
• Кого из работников рекомендуется назначить в качестве лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, и сколько таких лиц должно быть?

- необходимые знания и опыт работников
- хватит ли одного человека или нужно создавать подразделение? Критерии и рекомендации, практика компаний
- нужно создавать новую должность или возлагать обязанности на существующих работников?
- стоит ли назначать на такую должность юриста, специалиста по кадрам, руководителя компании? Плюсы и минусы

• Какие функции и обязанности следует возложить на лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных?

- характеристика функций (консультирование, контроль и взаимодействие с надзорным органом)
- рекомендации по обязанностям, которые следует возложить на лицо (подразделение)
- зона ответственности лица (структурного подразделения)
- алгоритм сотрудничества с иными операторами обработки персональных данных (предоставление устной и письменной информации о работнике вышестоящим организациям, иным организациям и третьим лицам, государственным органам (налоговая, суд и др.))

• Как правильно оформить назначение ответственного лица / структурного подразделения? Алгоритм, рекомендации, ошибки.

2. Планирование и осуществление внутреннего контроля: важные моменты, разбор ошибок

3. Порядок проведения проверок, служебных расследований, рассмотрения жалоб


Разбор кейсов:

Кейс 1. Возложение обязанности по внутреннему контролю за обработкой персональных данных на совместителя

Могут ли на юриста возложить функции контроля за обработкой персональных данных, если он осуществляет еще и работу специалиста по организации закупок на условиях совмещения?

Кейс 2. Истребование сведений о привлечении к ответственности при назначении лица, ответственного за внутренний контроль по обработке персональных данных

Необходимо ли до назначения лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, делать запрос в РОВД о наличии/отсутствии фактов привлечения к административной/уголовной ответственности?

Нужно ли направлять такие запросы в отношении лиц, которые осуществляют непосредственную обработку персональных данных?

Кейс 3. Обязанности специалиста, ответственного за внутренний контроль

Может ли специалист, ответственный за внутренний контроль по защите персональных данных, входить в комиссию по уничтожению персональных данных и в целом заниматься вопросами уничтожения персональных данных?

Спикер: Лосев Владимир, юрист, лектор Национального центра защиты персональных данных Республики Беларусь. Более 25 разработок и внедрений в компаниях Беларуси документов по защите персональных данных в 2022 г. Более 30 лет всестороннего опыта работы в прокуратуре, управлении, юридическом образовании и науке. Кандидат юридических наук, доцент, профессор Белорусского государственного экономического университета

1. Работники, осуществляющие обработку персональных данных: кто это?
2. Какие условия должны быть соблюдены, чтобы допустить работника к работе с персональными данными?
3. Как и где закрепить обязанности работников, которые непосредственно обрабатывают персональные данные?
4. Рекомендации по внесению дополнений в должностные инструкции работников, в документы по обработке персональных данных организаций. Примеры формулировок

Спикер: Томашевский Кирилл, лектор Национального центра защиты персональных данных Республики Беларусь, председатель ОО «Сообщество трудового права», профессор кафедры гражданско-правовых дисциплин и профсоюзной работы Международного университета «МИТСО», доктор юридических наук, профессор с практическим и педагогическим опытом в области трудового права более 20 лет, в прошлом – редактор журнала «Юрист» (6 лет), главный редактор журнала «Трудовое и социальное право» (11 лет), автор около 700 публикаций

1. Разбор ошибок, допускаемых при обработке персональных данных в связи с трудовой (служебной) деятельностью

2. Разбор проблемных вопросов:

• От уволенного работника поступило заявление с требованием прекратить обработку его персональных данных.

Вправе ли организация обрабатывать персональные данные уволенных работников, если имеется необходимость, например, отправить характеристику по запросу организации, куда устраивается уволенный работник, или отправить в вышестоящую организацию какого-либо рода отчетность (например, о молодых специалистах, где указывается ФИО, образование, где обучался и т.д.)?

• Необходимо ли брать согласие работника при направлении его документов в вышестоящую организацию для включения в перспективный резерв?
• Правомерно ли ведение нанимателем личных карточек формы Т-2 (отменена в 2007 г.) на работников организации?
• В организацию на практику приходит студент. В части обработки персональных данных практиканта и соблюдения им коммерческой тайны организации с ним следует взаимодействовать как с работником организации или как с третьим лицом (заключать соглашение о конфиденциальности и брать согласие на обработку персональных данных)?
• Организация перед приемом на работу направила запрос характеристики по установленной форме на предыдущее место работы во исполнение требований Декрета Президента Республики Беларусь от 15.12.2014 № 5. На данный запрос был получен отказ, характеристика не предоставлена. В отказе ссылались на то, что запрашиваемая организация должна указать правовые основания для запроса, цель обработки, содержание и объем запрашиваемых персональных данных, а также требовали получения согласия работника. Правомерен ли такой отказ и как поступить нанимателю в этом случае?
• Работник изъявил желание отозвать свое согласие на обработку персональных данных, которое было связано с предоставлением его персональных данных в другую организацию. Каков порядок действий и как правильно оформить отзыв?
• Правомерно ли предоставление бухгалтерией расчетных листков сотрудникам через их начальников и относится ли расчетный листок к персональным данным работника?
• Необходимо ли брать согласие на обработку персональных данных у сотрудника для размещения фотографии на бейдже, который он будет носить, и внесения его фото в базу данных на посту охраны?
• Как правильно получить согласие на обработку персональных данных кандидата, который выслал свое резюме на электронную почту?
• Необходимо ли брать согласие работника на хранение в его личном деле копии его паспорта?
• Представитель отдела принудительного исполнения запрашивает у организации информацию о карт-счете работника для зачисления ему алиментов. Может ли такая информация передаваться представителю ОПИ и нужно ли согласие работника на передачу таких данных?
• Для трудоустройства на работу организация запросила и получила характеристику кандидата, но тот передумал трудоустраиваться. Как правильно хранить такую характеристику (предварительно данный кандидат будет включен в реестр претендентов и его кандидатура будет периодически рассматриваться в случае появления вакансий)? Или организация должна ее уничтожить?

Спикер: Галуза Анна, юрист, специализируется на вопросах защиты персональных данных, практикует в сфере белорусского и европейского регулирования защиты персональных данных

1. Реестр обработки персональных данных (далее – реестр): что это и для чего он необходим?
2. Обязаны ли все организации вести реестр?
3. В какой форме необходимо вести данный реестр?
4. Документальное закрепление ведения реестра в организации.
5. Структура реестра, краткая характеристика его составляющих и порядок внесения в него данных.
6. Как поддерживать реестр в актуальном состоянии?

Разбор практических сложностей:

1. В организацию пришло письмо о необходимости разработать реестры обработки персональных данных. Реестр необходимо заполнить полностью и вести на постоянной основе либо заполнять по мере необходимости?

2. Организация разрабатывает реестр обработки персональных данных. В отделе материально-технического снабжения ведется работа по заключению договоров с юридическими лицами и индивидуальными предпринимателями по результатам проведенных процедур закупок. Можно ли включить в реестр обработки персональных данных пункт следующего содержания: «Заключение договоров по результатам процедур закупок с юридическими лицами и ИП»? Сведения, которыми располагает работник отдела, – ФИО ИП, наименование юридического лица, адрес и место нахождения, контактные номера телефонов, сведения о руководителе, расчетный счет.

3. Организация ведет телефонный справочник номеров руководителей служб организации и выдает данные справочники всем своим работникам, в том числе руководителям служб. Правомерно ли в реестре обработки персональных данных в графе «Категории получателей» указать работников организации (ФИО, конкретные должности)? Каким образом прописать в реестре информацию о сроках хранения соответствующих данных?

Спикеры:
Шакель Надежда – лектор Национального центра защиты персональных данных Республики Беларусь, юрист ООО «Степановский, Папакуль и партнёры. Юридические услуги», кандидат юридических наук, доцент, автор публикаций на тему защиты персональных данных
Кушнерова Алина – лектор Национального центра защиты персональных данных Республики Беларусь, младший юрист ООО «Степановский, Папакуль и партнёры. Юридические услуги»

1. Общие положения о проверках НЦЗПД.

2. Внеплановые проверки НЦЗПД:

• по какому поводу может быть назначена внеплановая проверка НЦЗПД?
• к кому могут прийти с внеплановой проверкой?
• кем назначаются внеплановые проверки?
• может ли быть проведена внеплановая проверка без уведомления?
• каким актом определен порядок проведения внеплановой проверки НЦЗПД?
• в какой срок проводится внеплановая проверка?
• что проверяется в ходе проверки? Может ли проверяющий ограничиться только проверкой документов, относящихся к жалобе субъекта персональных данных?
• результаты внеплановой проверки: какой акт принимается, как его обжаловать и когда обжалование целесообразно?

3. Камеральная проверка:

• что это и чем она отличается от внеплановой?
• по каким поводам и в какой срок проводится камеральная проверка?
• что проверяется в ходе камеральной проверки?
• может ли по результатам камеральной проверки быть принято решение о проведении внеплановой проверки?

4. На что обратить внимание при подготовке к проверке (с учетом практики НЦЗПД):

• разбор основных нарушений, выявляемых при проверках НЦЗПД;
• что должно быть включено в положение об организации внутреннего контроля за обработкой персональных данных, чтобы у НЦЗПД не было замечаний;
• ошибки, допускаемые при назначении ответственного за осуществление внутреннего контроля за обработкой персональных данных, при определении его функций;
• ошибки, допускаемые при разработке документов об обработке персональных данных и при обеспечении неограниченного доступа к документам;
• что стоит помнить при определении круга лиц, обрабатывающих персональные данные;
• важные моменты при ознакомлении работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о защите персональных данных;
• рекомендации по построению работы с уполномоченными лицами;
• какие документы оформлять не нужно (чтобы избежать нарушения законодательства о защите персональных данных);
• иные распространенные ошибки при обработке персональных данных (при составлении политик; при получении резюме соискателей; при получении согласия; не учтены все виды обработок персональных данных и др.).

5. Как складывается практика проверок НЦЗПД? Разбор отдельных кейсов по проверкам

Спикеры:
Шакель Надежда – лектор Национального центра защиты персональных данных Республики Беларусь, юрист ООО «Степановский, Папакуль и партнёры. Юридические услуги», кандидат юридических наук, доцент, автор публикаций на тему защиты персональных данных
Кушнерова Алина – лектор Национального центра защиты персональных данных Республики Беларусь, младший юрист ООО «Степановский, Папакуль и партнёры. Юридические услуги»

1. Риски возмещения морального и материального вреда (для работника и (или) оператора)
2. Дисциплинарная ответственность за нарушения в сфере обработки персональных данных: важные моменты, порядок действий, проблемные вопросы для нанимателя и работника
3. Практика привлечения к административной ответственности и последствия привлечения к такой ответственности для работника
4. Обзор судебной практики и риски привлечения работника к уголовной ответственности

Проблемные вопросы:

1. В случае нарушения порядка обработки персональных данных в организации (принятие не всех/недостаточных мер защиты, отсутствие согласия на обработку персональных данных, когда такое согласие требуется, нарушение срока ответа на запрос субъекта персональных данных и т.д.) может ли быть лицо, ответственное за осуществление внутреннего контроля, привлечено к ответственности (административной/уголовной)? Или к ответственности за нарушения привлекается организация? Какие риски имеются у лица, ответственного за внутренний контроль?

2. Какую ответственность могут нести заместители директора в области защиты персональных данных работников?

3. Можно ли применить к работнику меру дисциплинарного взыскания за нарушение порядка хранения персональных данных, если он не является ответственным за это лицом?