Как бизнес защищает персональные данные

Национальный центр защиты персональных данных в декабре 2024 г. в очередной раз анонсировал усиление административной ответственности за нарушения в названной сфере. Законопослушные организации стараются таких инцидентов не допускать. Как им это удается?

Нарушения и намек на наказание

Директор Национального центра защиты персональных данных (далее – Центр) Андрей Гаев в рамках Форума по управлению интернетом Belarus IGF-2024 констатировал, что в Центр поступают жалобы из-за неправомерной обработки личных сведений граждан. Связаны они с инцидентами, возникающими в трудовой, социальной сферах, а также в деятельности организаций собственников и компаний, которые заняты в сфере торговли и услуг.

Тематика направляемых жалоб и обращений граждан касается рекламных рассылок, звонков без согласия (т.н. «холодных звонков»), нарушений требований к получению согласия, избыточности сбора личных данных. Кроме того, граждан иногда беспокоят неправомерное распространение названных сведений, а также аудио- или видеозапись и видеонаблюдение.

Реагировать на это государство может разными способами, но в т.ч. планируется усиление административной ответственности в случае нарушения законодательства о защите персональных данных.

К слову, в Беларуси максимальный штраф за это определен в размере 50 базовых величин, но регулятор также может вынести требование о приостановлении (прекращении) обработки личных сведений граждан в информационном ресурсе (системе), и для компаний, в т.ч. заточенных на онлайн-сферу, эта мера воздействия может оказаться весьма болезненной. В странах ЕС и в России нарушения в сфере персональных данных чреваты в т.ч. оборотными штрафами.

Поэтому бизнесу весьма желательно соблюдать соответствующее законодательство и владеть практическими инструментами, позволяющими это сделать.

На днях тема защиты персональных данных обсуждалось в Минске в ходе митапа с участием профильных экспертов – DPO (data protection officers). Они рассказали о практике, применимой практически в любых компаниях и позволяющей не нарушать законодательство.

Польза DPO для бизнеса и необходимость поддержки

Как известно, согласно Закону от 07.05.2021 № 99-З «О защите персональных данных» на операторов, т.е. субъектов хозяйствования, возложена обязанность назначить ответственных за внутренний контроль и обработку личных сведений о физических лицах.

       Юлия Бурмистрова

«Наличие в компании ответственного (DPO) позволит проанализировать и настроить бизнес-процессы, связанные с обработкой персональных данных, выявить риски нарушения законодательства в этой части и подготовить план действий по их минимизации, а также улучшит репутацию в глазах бизнес-партнеров и клиентов», – отметила в ходе митапа руководитель направления защиты персональных данных REVERA law group Юлия Бурмистрова.

Действия ответственного, пояснила эксперт, должны быть направлены на то, чтобы привести бизнес-процессы и документы в соответствие с перечнем обязательных мер, установленных законодательством. Конкретные шаги зависят от масштаба и характера деятельности организации, способов обработки, категорий персональных данных и иных обстоятельств.

«Например, многие компании владеют интернет-сайтами. Там должна быть размещена информация в виде соответствующих политик об обработке персональных данных и получены на это согласия граждан», – уточнила Ю. Бурмистрова.

Эксперты уверены, что скорость внедрения и достаточность мер, необходимых для защиты персональных данных в корпоративном секторе, во многом зависит от отношения руководства и собственников бизнеса к данной теме.

Без поддержки руководства профильному специалисту будет проблематично в компании приводить процессы в соответствие с законодательством, считает Максим Гречаников, DPO «5 элемент» (сеть магазинов электроники и бытовой техники).

       Максим Гречаников

«Заручившись поддержкой руководства, нужно провести аудит бизнес-процессов, затрагивающих обработку персональных данных, зафиксировать их в Реестре обработки персональных данных и обеспечить доступ к документу для руководителя каждого подразделения», – отметил М. Гречаников.

В таком реестре перечисляются все подразделения, занимающиеся в компании обработкой, цели обработки, категория личных сведений граждан, срок их хранения и правовые основания для работы с ними. Пример реестра размещен на сайте Центра.

         Виктория Дубина

«Реестр является основой для взаимодействия DPO с любым работником организации. По сути, это настольная книга, которая описывает бизнес-процессы и правовые основания обработки персональных данных во всех подразделениях организации», – подчеркнула на мероприятии DPO онлайн-гипермаркета 21vek.by Виктория Дубина.

Обучение и контроль

После подготовки реестра эксперты рекомендуют приступать к обучению сотрудников организации.

«У нас в компании разработан подробный курс по обработке персональных данных, его проходит любой сотрудник, который принимается на работу в нашу организацию. После обучения сотрудник проходит тестирование», – рассказала В. Дубина.

По наблюдениям эксперта, когда специалисты организации узнают, что за распространение персональных данных предусмотрена административная и даже уголовная ответственность, соблазн организовать утечку быстро исчезает. Если рассказывать об этом в каждом отделе, обучение проходит эффективнее, считает В. Дубина.

«Важно, чтобы информация, которая предоставляется в рамках обучения, имела отношение к выполняемым функциям лица. Также если полученные знания по каким-то причинам не усвоились, необходимо обсудить возникшие затруднения с сотрудниками организации и провести повторное обучение и ввести механизм контроля знаний», – полагает Ю. Бурмистрова.

Наибольшее внимание, по мнению экспертов, необходимо уделить тем подразделениям, которые сталкиваются с обработкой личных сведений граждан чаще всего (как правило, это специалисты по кадрам, маркетологи, менеджеры по продажам, рекрутеры, ИТ-специалисты и работники бухгалтерии).

Наряду с обучением многие организации внедрили и инструменты внутреннего контроля. В компании должен быть график регулярных проверок структурных подразделений по вопросам соблюдения законодательства о персональных данных, подчеркнул М. Гречаников.

Кроме того, эксперты рекомендуют каждому субъекту хозяйствования организовать тщательную работу с обращениями, заявлениями и тем более жалобами граждан, чтобы решить возникающие вопросы на самой ранней стадии.

В частности, если у клиентов компании возникает желание отозвать согласие на получение рекламной рассылки, то такая возможность им должна быть реально предоставлена. 

«В организации необходимо внимательно относиться к обращениям граждан», – убежден М. Гречаников.

В целом, считают эксперты, организации, которые надлежащим образом выстроят работу в части защиты персональных данных, не только смогут избежать внеплановых проверок со стороны государства, но и получат конкурентное преимущество.

«Многие граждане уже понимают ценность приватности, знакомы со своими правами и обращают внимание, каким образом выстроен в организации процесс обработки персональных данных. Тренд такой, что люди становятся клиентами в тех случаях, когда уверены, что их личные данные компания защищает», – подчеркнула В. Дубина.