Защита персональных данных в Беларуси: к чему готовиться бизнесу

В Беларуси планируют повышать штрафы за нарушения в области защиты персональных данных. Кроме того, Нацио­нальный центр защиты персональных данных будет изу­чать практику стран, в которых за подобные нарушения с юрлиц взимаются оборотные штрафы.

«ЭГ» выяснила, с какими еще инициативами выступает НЦЗПД, сколько компаний центр проверил в 2023 г. и какие нарушения выявлялись у них чаще всего.

На законодательном уровне

На минувшей неделе представители НЦЗПД провели большую пресс-конференцию, во время которой подвели итоги ушедшего года. Глава центра Андрей Гаев отметил, что работе с организациями уделялось очень много внимания, в т.ч. и контролю за тем, как они соблюдают законодательство о защите персональных данных. За год центр провел около 200 контрольных мероприятий (плановых, внеплановых и камеральных) в отношении операторов, обрабатывающих персональные данные. В 18 случаях материалы были направлены в соответствующие органы для привлечения виновных к административной ответственности.

«Обрабатывать персональные данные, как раньше, уже не получится. Сегодня быть социально ответственным в бизнесе – равно уважать клиентов и принимать меры по защите их персональных данных», – подчеркнул А. Гаев.

В 2024 г. НЦЗПД планирует инициировать корректировку законодательства об административных правонарушениях. Один из главных вопросов – расширение полномочий центра в части защиты персональных данных. В НЦЗПД выступают за то, чтобы им дали возможность составлять протоколы об административных правонарушениях.

Еще один момент – повышение штрафов за нарушения приватности. На текущий момент максимальный размер штрафа для юрлиц – 50 базовых величин. По мнению А. Гаева, такие штрафы не способствуют тому, чтобы организации серьезно подходили к этому вопросу. Глава центра подчеркнул, что бизнес «занял выжидательную позицию» в части реализации преду­смотренных законодательством обязательных мер по защите персональных данных.

При этом в НЦЗПД внимательно изучают опыт других государств, в частности, России, где вводят оборотные штрафы за утечку персональных данных. За последние 2 года в РФ в 40 раз выросло количество инцидентов, связанных с персональными данными, поэтому власти ужесточают законодательство. В качестве одной из предлагаемых мер обсуждается введение в отношении юридических лиц оборотного штрафа – от 0,1 до 3% выручки за календарный год или за часть текущего года.

«Подобный подход характерен законодательству многих зарубежных государств. В современных условиях, когда идет реальная борьба за персональные данные, по-иному бороться с нарушениями сложно. Такие мероприятия будут проводиться и у нас», – подчеркнул глава НЦЗПД.

Еще один момент, на который обратил внимание А. Гаев, – это «нереализованный потенциал статьи 203-2 УК в части ответственности юрлиц за непринятие мер по защите персональных данных». Каким образом будет реализован потенциал уголовной статьи, он не уточнил.

Также НЦЗПД работает над вопросом сохранения данных на территории Беларуси, отметил глава центра. По его словам, белорусский бизнес взаимодействует с субъектами из различных государств, идет обмен информацией – и это требует принятия соответствующих мер.

«Сейчас подготовлен проект указа, который устанавливает требования о локализации обработки на территории нашей страны особо чувствительной информации», – пояснил А. Гаев и уточнил, что речь может идти о данных, относящихся к банковской, адвокатской, нотариальной и другим видам деятельности, охраняемым законом.

 Кроме того, нормы документа могут коснуться информации об обработке сведений в части здоровья, иных биометрических данных и данных в отношении несовершеннолетних.

Частые нарушения

Начальник управления контроля и аудита НЦЗПД Владимир Кузуро рассказал, какие нарушения и недостатки чаще всего выявляют сотрудники центра при проведении контрольных мероприятий. Он напомнил, что в Законе от 07.05.2021 № 99-З «О защите персональных данных» установлен ряд обязательных мер, которые должны быть реализованы всеми операторами без исключения. И если в 2022 г. преобладали нарушения, связанные с нереализацией этих мер, то в прош­лом году чаще встречалась недостаточная эффективность подобных мер либо формальный подход к их реализации.

В. Кузуро отметил, что зачастую в проверяемых организациях отсутствовали результаты контрольных мероприятий, планы проведения таких мероприятий. Во многих компаниях не было даже специального положения – локального нормативного акта, который определяет порядок внутреннего контроля за обработкой персональных данных в организации.

Он также подчеркнул, что правильная организация работы по защите персональных данных в компании непосредственно связана с назначением ответственного лица. Довольно частым нарушением было формальное возложение обязанностей по контролю за обработкой данных на одного из работников, который не имеет объективной возможности выполнять эти функции с учетом его основных обязанностей. Еще один пример нарушения – возложение обязанностей на того работника, который осуществляет обработку персональных данных и сам нуждается в контроле. Например, в белорусских компаниях были случаи, когда такие обязанности возлагались на заместителей директоров или руководителей кадровой службы, что неизменно вело к конфликту интересов.

Сотрудники центра также отмечали формальный подход к изданию внутренних документов организаций, определяющих политику в отношении обработки данных. Часто компании просто копировали образцы таких документов из открытых источников (к примеру, Портфель оператора, подготовленный НЦЗПД). При этом не учитывалась специфика конкретной компании, особенности ее бизнес-процессов.

Вопросы вызывал и язык, которым написаны подобные документы. Зачастую политика компании в части защиты персональных данных излагалась сложным юридическим языком, непонятным для большинства сотрудников. Кроме того, в организациях не была выстроена эффективная система ознакомления с положениями законодательства о персональных данных, а также не проводилось обучение работников в установленном законодательством порядке.

Сотрудники центра также фиксировали нарушения в части доступа к персональным данным: работники получали доступ к тем данным, которые не были нужны им для выполнения непосредственных трудовых обязанностей.

Часто НЦЗПД сталкивался с нарушениями в части технической криптографической защиты персональных данных. Порядок такой защиты в Беларуси определен ОАЦ. Организация, которая осуществляет автоматизированную обработку данных, должна получить аттестат соответствия системы защиты информации определенным требованиям.

«В значительном количестве организаций эти требования не были осуществлены. Аттестат соответствия нам показан не был. И это нарушение», – отметил В. Кузуро.

В качестве примера он вспомнил проверку по факту утечки данных в частном унитарном предприятии «ЗападХимТорг», которая прошла в 2022 г. Тогда компании был вынесен ряд требований, в т.ч. обеспечить техническую защиту информации. Организация приступила к реализации этих мер, но не довела процесс до конца. Впоследствии хакеры снова взломали информационную систему компании, что привело к утечке данных более 700 тыс. клиентов.

Много нарушений выявлялось и при получении организациями согласия физлиц на обработку их персональных данных.

В планах НЦЗПД на 2024 год – проверить 11 организаций. Среди них – белорусское юрлицо маркетплейса Wildberries, популярный каршеринг и известный частный медцентр.