Цена ошибки – приостановка бизнеса: как правильно выстроить систему защиты данных в компании

Защита персональных данных в Беларуси перестала быть «бумажной» формальностью. Сегодня это зона высокого операционного риска. Практические аспекты применения Закона «О защите персональных данных» обсудили со старшим юристом компании RÖDL Belarus Александрой Третьяк.

– Прошло несколько лет с момента принятия Закона. Кажется, бизнес уже должен был адаптироваться. Почему тема защиты данных снова в топе повестки?

– Во время аудитов мы отмечаем, что многие компании ограничились «пакетом документов», скачанным из интернета, даже не адаптировав такие шаблоны для себя. При этом менеджмент компаний ошибочно полагал, что этого достаточно. Однако в 2025–2026 годах Национальный центр защиты персональных данных (НЦЗПД) сместил фокус с наличия документов на реальные процессы. Кроме того, сегодня НЦЗПД активно проверяет не только операторов, но и уполномоченных лиц – тех, кому вы поручаете обработку (CRM-системы, колл-центры).

Исходя из тенденций в 2026 г. бизнесу придется доказать не только факт подписания договора, но и наличие реального контроля над цепочкой обработки персональных данных уполномоченным лицом. Хотя до сих пор у многих компаний нет четкого понимания, какие данные они обрабатывают, как их защищают и какие меры, в принципе, должны быть предприняты для соблюдения законодательства.

– К кому может прийти проверка по персональным данным в 2026 году?

– Как многие видели, НЦЗПД уже опубликовал план проверок на 2026 год. В него вошли 10 операторов, которые обрабатывают большой массив данных. Но я бы хотела обратить внимание, что остальным компаниям не стоит воспринимать этот перечень как сигнал, что их не затронет проверка НЦЗПД.

Риск проверки существует, даже если вашей компании нет в ежегодном плане. НЦЗПД вправе запросить данные у любого уполномоченного лица, работающего с оператором из списка. Кроме того, регулятор активно проводит и внеплановые проверки. Например, на основании жалобы. На практике иногда мы видим «эффект домино»: жалоба в налоговую на другие нарушения может содержать приписку об отсутствии политики обработки персональных данных на сайте. Налоговые органы перенаправляют указанную жалобу в НЦЗПД для рассмотрения в части их компетенции.

– Могли бы выделить «топ» ошибок белорусских компаний, с которыми вы встречаетесь чаще всего при аудите?

– Да, я бы отнесла к часто встречающимся ошибкам следующие.

Избыточность. К примеру, для оформления подарочного сертификата не нужен номер паспорта клиента. Запрос такого номера «на всякий случай» является прямым нарушением Закона.

Формальный DPO. Назначение ответственным за внутренний контроль сотрудника, который не имеет ресурсов или компетенций для реальной проверки процессов.

Несоблюдение порядка взаимодействия с уполномоченными лицами. Отсутствие в контрактах с уполномоченными лицами условий об обработке ПД (отсутствие контрактов).

– Бизнес по-прежнему путает роли оператора и уполномоченного лица, а спешка при запуске проектов приводит к подписанию соглашений без анализа мер защиты. На практике недостаточно просто подписать документ «для галочки»: для минимизации рисков необходимо выстроить прозрачный и контролируемый процесс обработки данных на всех этапах взаимодействия.

Отдельно я бы еще выделила рекламные рассылки без получения согласия и без возможности отозвать согласие в один клик. Покупка товара не дает права автоматически включать клиента в базу для опросов или акций. Для каждой новой цели маркетинга нужно получать новое, явное согласие.

– Насколько реально получить штраф или приостановку деятельности?

– В 2025-2026 годах риски действительно выросли. Я думаю, это связано с тем, что у бизнеса уже прошел «пробный период», когда НЦЗПД лояльнее относился к недочетам. Как вы отметили, Закон действует уже больше трех лет, и предполагается, что это достаточный период, чтобы компании построили внутреннюю систему в соответствии с требованиями.

Кстати, многие забывают, что помимо штрафов НЦЗПД имеет право приостановить обработку данных и на практике обращается к данной мере. Например, для интернет-магазина это фактически означает остановку бизнеса до устранения нарушений.

Поэтому цена ошибки в защите персональных данных сегодня – не только штраф, а прямая угроза непрерывности вашего бизнеса.

– Как вы можете помочь бизнесу улучшить защиту персональных данных?

– Мы обеспечиваем комплексное сопровождение: от аудита текущих процессов и выявления рисков до разработки и внедрения полного пакета документов «под ключ». Мы помогаем выстроить безопасную работу с подрядчиками и разъясняем сотрудникам наших клиентов ключевые требования законодательства и практические аспекты безопасной и правильной обработки данных. Как международная компания мы предлагаем своим клиентам интегрированный подход, который выходит за рамки белорусской юрисдикции.

Убедитесь, что ваши бизнес-процессы соответствуют законодательству. Юристы RÖDL Belarus подготовили чек-лист, который поможет выявить слабые места. Для получения напишите на электронную почту: aliaksandra.tratsiak@roedl.com или egor.kamenko@roedl.com.

* реклама