За нарушение законодательства о персональных данных наказание могут ужесточить

В Беларуси обсуждается тема увеличения штрафов для тех субъектов хозяйствования, которые не соблюдают законодательство о персданных. Регулятор считает, что компаниям должно быть выгоднее защищать персональные данные, нежели игнорировать соответствующие юридические требования.

Призыв к бизнесу

В Беларуси вот уже два года действует Закон от 07.05.2021 № 99-З «О защите персональных данных». За это время многие субъекты хозяйствования назначили ответственных, курирующих вопросы защиты персональных данных, и приняли соответствующие локальные нормативные акты.

Однако регулятор выявляет факты, когда компании игнорируют законодательство о защите персональных данных, т.е. реально работой по данному направлению не занима­ются.

Заместитель начальника управления контроля и аудита Национального центра защиты персональных данных (НЦЗПД) Виталий Диско, выступая недавно на пятом Форуме по управлению интернетом Belarus IGF-2023, констатировал, что административная ответственность за нарушение законодательства о защите персональных данных пока еще невелика.

И по этой причине, как показывают наблюдения центра, некоторые субъекты хозяйствования не готовы нести ни временные, ни финансовые затраты для соблюдения законодательства в этой сфере.

В Кодексе об административных правонарушениях сказано, что за несоблюдение мер обеспечения защиты персональных данных физических лиц на индивидуального предпринимателя может быть наложен штраф в размере от 10 до 25 базовых величин, а на юридическое лицо – от 20 до 50 базовых величин.

Для сравнения: стоимость только услуг юристов, необходимых для того, чтобы юрлицу подготовить пакет документов по вопросам защиты персональных данных, может запросто превысить 50 базовых величин.

И на этом расходы бизнеса, связанные с выполнением норм упомянутого законодательства, только начинаются. Ведь нужно не только принять локальные нормативные акты, но и выстроить бизнес-процессы, а также внедрить технические средства, позволяющие защищать персональные данные.

Поэтому у субъектов хозяйствования и возникает иногда желание игнорировать действующие требования законодательства.

«Действительно, бизнес задает простой вопрос, а что мне будет, если не соблюдать Закон о защите персональных данных? Какой самый большой штраф предусмотрен? Поэтому увеличение штрафов, скорее всего, будет обсуждаться, уже обсуждается отдельными заинтересованными», – рассказал на бизнес-форуме Belarus IGF-2023 В. Диско.

Хотя в законодательстве уже преду­смотрено суровое наказание, но о нем не все знают. Речь идет о приостановлении обработки персональных данных на информационном ресурсе. Для бизнеса такое решение центра грозит прекращением ключевых бизнес-процессов (например, связанных с получением заказов от физлиц). Поэтому НЦЗПД прибегает к столь жестким мерам наказания в исключительных случаях.

Однако центр практикует и другие чувствительные методы воздействия в отношении бизнеса, например, выносит требования об устранении нарушений. Чувствительными эти требования могут быть потому, что организации может потребоваться переделывать IТ-решение, а это, как правило, немалые деньги.

Поэтому регулятор предлагает изначально выстраивать бизнес-процессы, в т.ч. IТ-решения, таким образом, чтобы обеспечить защиту персональных данных. «Я вас всех призываю стремиться выполнять требования законодательства», – сказал В. Диско, обращаясь к бизнес-аудитории.

Проверки и нарушения

Сегодня в стране осуществляют деятельность порядка 400 тыс. операторов (в т.ч. коммерческие и бюджетные организации, индивидуальные предприниматели), которые занимаются обработкой персональных данных.

Регулятор уделяет первоочередное внимание тем операторам, которые накапливают большие базы персональных данных, например, интернет-магазины (их в стране около 30 тыс.).

Такие операторы генерируют высокие риски, которые связаны с утечкой информации о пользователях (физлицах), сообщил во время пресс-конференции 1 декабря 2023 г. начальник отдела по работе с обращениями НЦЗПД Виталий Бойко.

По его словам, центром проведен мониторинг соблюдения законодательства о персональных данных такими операторами, проверены более 50 сайтов и сейчас отрабатываются вопросы устранения выявленных нарушений.

Всего за последние два года после создания центра проведено более 100 проверок, по итогам большинства из них были выявлены нарушения.

Типичное нарушение – формальный подход организации к выстраиванию системы защиты персональных данных, пояснил В. Бойко.

Не всегда, подчеркнул он, модель назначения ответственных лиц за обработкой персональных данных соответствует бизнес-процессам, которые происходят у оператора.

Часто центр также выявляет у субъектов хозяйствования нарушения, связанные с получением согласия у физических лиц на обработку персональных данных.

В частности, не всегда форма согласия содержит информацию о конкретных целях, для достижения которых организация собирает персональные данные. Причем иногда указываются излишние сроки (до 50 лет), на которые собирается согласие на обработку персональных данных.

Центр также фиксирует случаи сбора избыточного объема персональных данных физлиц, что недопустимо.

Персональные данные, которые неправомерно распространяются в интернете, удаляются.

«По результатам контрольной деятельности центра было удалено за весь период деятельности 22 млн записей с незаконно распространяемыми персональными данными», – сообщил журналистам В. Бойко.

Наиболее крупные базы данных удалялись более 30 раз. Больше всего утечек персональных сведений допустили торговые организации, уточнил представитель НЦЗПД.

Как и другие специалисты центра, эксперт допускает, что в будущем ответственность для субъектов хозяйствования за нарушение законодательства о защите персональных данных может быть пересмотрена в сторону увеличения.

Бизнес постепенно старается привести свои процессы в соответствие с законодательством, и в будущем «можно будет говорить о более серьезной ответственности для операторов», которые обрабатывают персональные данные и допускают нарушения, считает В. Бойко.

С января 2024 г. в Беларуси начнет функционировать государственный информационный ресурс «Реестр операторов персональных данных». Он будет содержать информацию об информационных ресурсах (системах), посредством которых, в частности, осуществляется обработка персональных данных более 100 тыс. физлиц и более 10 тыс. несовершеннолетних.

Данный реестр, согласно пояснениям НЦЗПД, нужен, чтобы обеспечить прозрачность информации о ресурсах и системах, посредством которых осуществляется обработка большого массива сведений о физлицах. Сам центр, являясь регулятором, также заинтересован в получении данных о том, какие операторы, какую чувствительную информацию обрабатывают и в каких объемах.

Поэтому оператор или уполномоченное лицо должны внести упомянутые сведения в реестр не позднее 15 января 2024 г., а в случае появления новых ресурсов и систем – в течение 10 рабочих дней после ввода их в постоянную эксплуатацию.