Белорусский бизнес адаптируется к законодательству о персональных данных
Фото: freepik.com
Дискуссию о балансе интересов организаций и прав граждан в вопросах обработки персональных данных организовал Национальный центр защиты персональных данных (НЦЗПД) в рамках выставки Диджитал Экспо – 2025.
Акцент на малый бизнес
Директор НЦЗПД Андрей Гаев и руководитель Бизнес союза предпринимателей и нанимателей им. профессора М.С. Кунявского Жанна Тарасевич были солидарны в оценках, что белорусский бизнес постепенно адаптируется к требованиям законодательства о персональных данных и имплементирует его базовые элементы в свою деятельность. Но по данным НЦЗПД, 80% граждан сталкивались с неправомерным использованием персональных данных, а в прошлом году усилиями регулятора в организациях было удалено 24 млн записей, содержащих незаконно хранимые данные (за 5 месяцев нынешнего года – 7,1 млн).
На крупных и средних предприятиях имеются и политики по обработке персональных данных (ОПД), и уполномоченные лица. Поэтому если и возникают инциденты, то это, как правило, результат сбоя в системе, а не ее отсутствия.
Однако видится необходимым помочь двигаться в этом направлении малым и особенно микроорганизациям, а также владельцам агроэкоусадеб, ремесленникам, самозанятым. Для них, очевидно, нужны максимально готовые к использованию типовые решения по документам. НЦЗПД обещает с этим помочь.
Также бизнес поднимает вопрос, связанный с системами видеонаблюдения, т.к. государством установлена обязанность по его ведению в определенных местах. Это сопряжено с хранением персональных данных в течение определенного периода и требует законных оснований.
Регулятор предложил бизнес-союзам обобщать проблемные вопросы, волнующие предпринимательское сообщество, и передавать их в НЦЗПД для отработки.
Как происходит адаптация бизнеса
В рамках кейс-сессии представитель одной из лизинговых компаний, ответственный за обработку персональных данных, рассказал о тех стадиях, которые компания проходит в процессе внедрения законодательных требований о работе с персональными данными.
После стадии отрицания (не видел, не слышал, не знаю) топ-менеджмент созревает до того, чтобы разработать (на аутсорсе) необходимую документацию и назначить ответственных. Потом приходит осознание, что созданные таким образом документы не очень удобны в практическом использовании и что внутренний комплаенс персональных данных – это не обуза, а элемент риск-менеджмента на предприятии. И тогда возникает внимание к запросам клиентов – как организовать этот процесс в соответствии с их интересами и удобством, происходит упорядочение бизнес-процессов по ОПД во всех заинтересованных подразделениях (кадры, маркетинг, служба продаж, бухгалтерия и т.д.), внутренний мониторинг работы с ОПД и система обучения персонала.
Цифровые решения для управления ОПД
После осознания руководством необходимости систематизации работы с ОПД на предприятии, наступает время автоматизировать процессы, тем более что отечественные ИТ‑компании предлагают для этого свои цифровые решения. Довольно часто на предприятии в разных службах пользуются разными информационными системами и обрабатывают в них персональные данные. Поэтому возникает потребность в ПО, способном эти данные консолидировать, маркировать и, при необходимости, обезличивать для использования в целях аналитики.
Пример, лежащий на поверхности, – необходимость отслеживать, не истек ли срок согласия лица на обработку его персональных данных. Если проглядеть этот момент, вполне вероятна возможность «потребительского экстремизма», когда клиент дождется момента и затем будет угрожать подачей жалобы на нарушение законодательства. А последствием может быть не только штраф, но и приостановка ОПД, что равносильно параличу деятельности.
Достаточно часто сейчас начинают применять ИИ-агентов, в т.ч. загружая в них файлы с персональными данными. Такая работа с данными без согласия лица или обезличивания является незаконной.
Как работает регулятор
Прямо на мероприятии сотрудники НЦЗПД проанализировали работу двух информационных ресурсов (владелец одного согласился заранее, второй – спонтанно вызвался из аудитории).
Примеры оказались интересными, потому что по ним было видно, что стадию формальной имплементации требований ОПД наш бизнес уже одолел. Но бес, как всегда, таится в мелочах. Например, в том, как поставлена работа с файлами cookies клиента или формой обратной связи на сайте.
При работе с cookies регулятор настаивает не только на наличии опций по даче и отзыву согласия на их обработку, но и на том, чтобы владелец не пытался затруднить установление пользователем ограничений на обработку его файлов – чтобы кнопки выбора были одинаковых размеров, цветов, шрифтов и т.п.
Также дискуссионным остается вопрос, в каких случаях достаточно согласия на ОПД, зафиксированного в пользовательском соглашении, а в каких – требуется давать его отдельно, в т.ч. при применении формы обратной связи. Специалисты НЦЗПД пояснили свои подходы к анализу этих вопросов: надо принимать во внимание, носит ли обращение клиента технический характер (тогда ОПД покрывается пользовательским соглашением) или же речь идет об отдельном предмете (и тогда может стоять вопрос о даче отдельного согласия на обработку).
***
Процесс адаптации бизнеса к законодательным требованиям по ОПД облегчается партнерским отношением регулятора, который подчеркивает, что видит себя не контролером, а в первую очередь помощником организаций. Но это не умаляет того факта, что есть нормы закона, а НЦЗПД ведет проверку их соблюдения и может применять достаточно чувствительные для бизнеса санкции.
