Практика защиты персональных данных: за что отвечает руководитель

За четырехлетний срок действия закона о защите персональных данных в Беларуси накопилась значительная практика его применения. При этом многие руководители организаций недооценивают, насколько серьезно законодательство и регулятор — Национальный центр защиты персональных данных (НЦЗПД) — квалифицируют нарушения в этой сфере и какими могут быть последствия.

Наличие на предприятии комплекта документов и ответственного за внутренний контроль за обработкой персональных данных (DPO — Data Protection Officer) не гарантирует отсутствия проблем при жалобах клиентов или проверках регулятора. Об этом на практических примерах рассказали представители НЦЗПД на бизнес-интенсиве в БГЭУ 21 октября 2025 г.

Основным спикером выступил начальник управления контроля и аудита НЦЗПД Владимир Кузуро, который, как правило, возглавляет комиссии по плановым и внеплановым проверкам. В выступлении он остановился на практических аспектах применения законодательства о персональных данных.

Сфера применения законодательства о персональных данных

Закон о защите персональных данных не распространяется на отношения между физлицами в личных, семейных или домашних целях, не связанных с предпринимательской деятельностью, а также на данные, отнесенные к государственным секретам. Одновременно действуют Закон «Об информации, информатизации и защите информации» и нормы, созданные в его развитие. Организации должны учитывать требования всей совокупности действующих НПА.

Требования закона о защите информации касаются работы информационных систем и технической защиты данных. Любая организация, вне зависимости от формы собственности, которая осуществляет обработку информации ограниченного распространения (предоставления), должна определить соответствующее подразделение или должностных лиц, ответственных за обеспечение защиты информации. Ответственные за это работники должны владеть базовыми техническими компетенциями. Требования закона о защите персональных данных затрагивают юридические аспекты взаимодействия с гражданами (включая работников организации). В этом случае от ответственных лиц требуются базовые юридические компетенции. Поэтому смешивать функции DPO и технических специалистов неэффективно. НЦЗПД рекомендует именно на тех специалистов, которые обеспечивают защиту информации, возложить обязанности по технической и криптографической защите персональных данных. 

Персональные данные — более широкое понятие, чем ФИО или паспортные данные

НЦЗПД напоминает, что под персональными данными понимается любая информация, позволяющая идентифицировать физическое лицо. Это могут быть не только ФИО и паспортные данные, но и номер телефона, адрес электронной почты, номер автомобиля и т.п.

Ответственность за обработку персональных данных нельзя делегировать

Организация, обрабатывающая данные своих работников и клиентов, признается оператором персональных данных и несет ответственность за их защиту.

Если организация передает какие-то функции (ведение бухгалтерии или рекламные рассылки для клиентов) сторонней организации (уполномоченному лицу) и доверяет ей при этом обработку персональных данных, она делегирует при этом обязанности, но как оператор несет ответственность за эти персональные данные. За сохранность данных и их правомерное использование перед гражданином отвечает организация-оператор, которая эти данные получила.

Субъект персональных данных имеет права, оператор — обязанности. При проверках именно оператор обязан показать, что им выполнены требования законодательства.

Риск-ориентированный подход в обработке персональных данных

В законе о защите персональных данных такого понятия нет, но НЦЗПД им оперирует. По словам В. Кузуро, речь идет о достаточности мер для защиты персональных данных. При проверках регулятор оценивает не количество исполненных/неисполненных мер защиты, а конечный результат: осуществляется ли на практике эффективная защита этих данных.

Эффективность DPO и внутренний контроль

По оценке спикера, в 8 из 10 организаций DPO не осуществляет внутренний контроль за обработкой данных. НЦЗПД рекомендует DPO, если они сталкиваются с препятствиями в выполнении этой функции, документировать обращения к руководителю организации в виде докладных или служебных записок.

Важно также избегать конфликта интересов при совмещении функции DPO с иными обязанностями в организации. Сотрудник не должен одновременно обрабатывать персональные данные и контролировать себя.

Политики и локальные акты

Именно DPO в организации должен подготовить пакет документов, включающий все ЛПА, которыми урегулированы вопросы, связанные с обработкой персональных данных. Копирование чужих политик обработки персональных данных или покупка готовых политик недопустимы. По словам В. Кузуро, регулятор проверяет соответствие документов реальным процессам.

Помимо политики, важны и другие локальные акты, утвержденные руководителем: положение о внутреннем контроле и положение о ведении реестра обработок персональных данных, порядок доступа к персональным данным и иные документы.

Регулятор проверяет документацию по всей цепочке — от политики и локальных актов до должностных инструкций работников, связанных с обработкой персональных данных.

В ходе опросов работников спрашивают, осуществляют ли они обработку персональных данных, знают ли о том, что входит в это понятие, какие именно обработки осуществляются, на каком правовом основании, брали ли у него самого согласие на обработку его данных и т.п. Работник должен быть информирован, например, о том, что на публичное поздравление на работе с днем рождения он должен дать свое согласие.

Важность технической защиты персональных данных

Техническая и криптографическая защита персональных данных - одна из обязательных мер. В соответствии с законом об информатизации в каждой организации, обрабатывающей информацию, персональные данные в информационных ресурсах и системах, должна быть создана система защиты информации и получен аттестат ее соответствия требованиям законодательства.  

Privacy-экстремизм

Всем давно известно такое понятие, как «потребительский экстремизм».  Но в последнее время в Беларуси появляется категория граждан, целенаправленно выявляющих нарушения в организациях при обработке их персональных данных. Это в очередной раз подчеркивает, что организации обязаны соблюдать требования законодательства.

Информационные ресурсы и уполномоченные лица

Согласно Указу от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» (далее — Указ № 422) организации должны вести перечень информационных ресурсов и систем, в которых осуществляется обработка персональных данных, и перечень уполномоченных лиц, которым доверяется такая обработка, утвержденные приказом руководителя.

Особое внимание регулятор уделяет проверке порядка доступа работников к персональным данным, в т.ч. в информационных системах и ресурсах. В ходе опроса сверяются данные, указанные в приказе, и информация, сообщаемая работником. Цель — убедиться, что работники не имеют избыточного доступа к персональным данным, не связанного с производственной необходимостью и должностными обязанностями.

Видеоинформация и биометрия

В ходе проверок НЦЗПД часто возникают вопросы к оправданности применения систем видеонаблюдения в организациях, а также биометрического контроля доступа. По мнению регулятора, там, где применение таких систем напрямую не вытекает из требований законодательных актов, их применение требует дополнительного обоснования. Основная цель видеонаблюдения - обеспечить сохранность имущества, материальных ценностей, опасных объектов и др. Оно не должно превращаться в тотальную слежку за работниками. Только объективная необходимость дает основания нанимателю вести видеоконтроль. Для использования биометрических данных также должна быть объективная необходимость, без нее невозможно достигнуть целей обработки персональных данных. 

Кроме того, из практики проверок НЦЗПД видно, что в организациях, применяющих биометрический контроль, как правило, не осуществляется комплекс мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод гражданина.

Аналогичный подход регулятор применяет и при анализе оправданности применения геометок, GPS-трекеров и других средств слежения за перемещением работников.

Фотоинформация и корпоративные сайты

При размещении на корпоративных сайтах (аккаунтах в соцсетях) фотографий работников обязательно свободное информированное согласие работника, который изображен на фото или стал основным объектом съемки. Для групповых фото это согласие не требуется. Регулятор изучает оправданность использования, широту охвата в формулировках согласия, опрашивает работника, не было ли его согласие вынужденным.

Предоставление персональных данных по запросам

Не всякий госорган и не во всех случаях вправе получить от организации информацию, содержащую персональные данные. Если в запросе он не ссылается на конкретную норму законодательства, обосновывающую предоставление персональных данных без согласия гражданина, и законную цель их получения, то риски выполнения такого запроса ложатся на организацию и она понесет за это ответственность.

Ответственность за нарушения

За нарушение законодательства о защите персональных данных предусмотрена административная ответственность для граждан, работников и юрлиц по ст. 23.7 КоАП, предусматривающей штраф до 200 базовых величин.  

Ответственность также может наступить по ст. 203-1 УК за незаконные действия в отношении информации о частной жизни и персональных данных — до 5 лет лишения свободы.

НЦЗПД может приостановить обработку персональных в информационном ресурсе(системе) организации на срок до 6 месяцев, до устранения нарушений, что может в т.ч. отразиться на работе организации.

Обязательное обучение работников

Всех работников необходимо обучать их собственным правам как субъектам персональных данных, а работников, обрабатывающих чужие персональные данные, — законодательству и локальным актам организации, регулирующим вопросы обработки таких данных (причем в последнем случае обучение должно предшествовать допуску к таким обязанностям). Это можно делать собственными силами организации.

Кроме того, Указом № 422 установлены две категории работников, подлежащих обязательному обучению в НЦЗПД:

• не реже 1 раза в 3 года — прохождение обучения своих работников, в обязанности которых входит обеспечение информационной безопасности, по образовательной программе повышения квалификации руководящих работников и специалистов по вопросам технической и (или) криптографической защиты информации;

• не реже 1 раза в 5 лет — прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных (категории таких лиц определяются ОАЦ).

В остальных случаях возможно обучение как собственными силами организации, так и в учреждениях образования (но не реже, чем раз в 5 лет).

Если обучение проводится непосредственно в самой организации, то, как правило, его проводит DPO, оно должно завершиться контролем знаний.

Выводы для руководителей

Руководителю важно понимать, что для достижения основных целей работы организации, ее деятельность должна соответствовать требованиям законодательства о персональных данных. Субъект хозяйствования обязан правильно обрабатывать персональные данные, обеспечивать их сохранность и надежную защиту. Кроме того, каждая организация должна контролировать достаточность принимаемых мер. 

Успех внедрения системы защиты персональных данных в организации во многом зависит от двух составляющих: понимание и поддержка руководителя во всех этих процессах и компетенции и опыт DPO при осуществлении эффективного внутреннего контроля.