Подводим итоги 2023 года в сфере обработки персональных данных в Республике Беларусь

Каждый год Национальный центр защиты персональных данных Республики Беларусь (Центр) публикует отчёт о своей деятельности. Юристы REVERA law group проанализировали подведённые итоги в сфере обработки персональных данных, а также планы на 2024 год.

Контрольные мероприятия, проводимые Центром

Национальным центром защиты персональных данных осуществляется контроль за обработкой персональных данных операторами (уполномоченными лицами) в формах плановых, внеплановых и камеральных проверок. 

В 2023 году при осуществлении контроля применялись все три формы проверок. Как отмечает Центр в отчёте, по итогам их проведения в каждом случае были выявлены нарушения. Что не удивительно и обосновывается тем, что бизнес еще адаптируется к появившемуся в 2021 году регулированию. Но несмотря на наличие нарушений общий уровень ответственности организаций и выполнения требований законодательства о персональных данных значительно увеличился.

Вид проверки и основания назначения

Вид проверки Критерии для назначения проверки
Плановые проверки
(проведено 13 плановых проверок)
  • масштаб обработки персональных данных;
  • осуществление видов деятельности, по которым субъектами персональных данных в 2022 году было подано большое количество обоснованных жалоб.
Внеплановые проверки 
(проведено 7 внеплановых проверок)
  • нарушения систем защиты персональных данных, повлекшие их утечку;
  • невыполнение рекомендаций, данных по результатам проведения камеральных проверок;
  • невыполнение уполномоченным лицом обязательных мер по обеспечению защиты персональных данных.

На последнее из этих оснований операторам, а также уполномоченным лицам необходимо обратить особое внимание, т.к. передача ведения некоторых бизнес-процессов на аутсорс довольно распространённая практика.

В ходе плановых и внеплановых проверок Центром оценивается, удостоверился ли оператор в принятии обязательных мер по обеспечению защиты персональных данных уполномоченным лицом или нет. Если в обработке персональных данных уполномоченным лицом выявляются нарушения, то Центр вправе провести проверку также в отношении этого уполномоченного лица.

Камеральные проверки
(проведено 18 камеральных проверок)
  • жалобы субъектов персональных данных;
  • поступившие от операторов уведомления о нарушении систем защиты персональных данных (в 2023 году в Центр поступило 17 уведомлений о нарушении систем защиты персональных данных).

В целом в 2023 году наблюдается положительная тенденция соблюдения законодательства о персональных данных, нарушения, связанные с нереализацией обязательных мер, встречались реже.

Итоги проведения контрольных мероприятий

В отчёте отмечается, что операторами принимаются недостаточно эффективные меры при обработке персональных данных, либо подход к их реализации носит формальный характер. 

Среди наиболее частых нарушений выявлены следующие:

  • отсутствие соответствующих документов (планов проведения мониторинга или проверок структурных подразделений организации, отчётов по итогам проведения контрольных мероприятий), а также неустановление порядка осуществления внутреннего контроля;
  • формальное возложение обязанностей по осуществлению внутреннего контроля;
  • формальный подход к изданию документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных (изложение документов сложным юридическим языком; отражение в документах не всех бизнес-процессов и другое);
  • неэффективный способ ознакомления работников оператора (уполномоченного лица) и других лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных;
  • обработка персональных данных без наличия правового основания;
  • нарушения требований, предъявляемых к порядку получения согласия субъекта персональных данных и другие.

Последствия для организаций по итогам выявленных нарушений

По итогам проведения плановой или внеплановой проверки Центр может:

  • вынести письменное требование (предписание) об устранении выявленных нарушений
    или
  • принять решение о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе) с указанием конкретных действий, которые должны быть приостановлены (прекращены), и устанавливать срок такого приостановления (прекращения), не превышающий 6 месяцев. 

Кроме того, за нарушение законодательства о персональных данных установлена (1) административная и (2) уголовная ответственность.

Приостановление (прекращение) обработки персональных данных в информационном ресурсе (системе)

Применение указанной меры является наиболее критичной для бизнеса, т.к. организации, осуществляющие свою деятельность с использованием сайтов, не смогут собирать персональные данные субъектов с их помощью (например, при оформлении заказа на сайте, подписки на рассылку и т.д.). 

По этой причине такая мера применяется по итогам не каждой плановой или внеплановой проверки. Центр использует этот инструмент максимально точечно и взвешенно: в 2023 году решение о приостановлении обработки персональных данных в информационных ресурсах (системах) принято в отношении всего двух операторов.

Привлечение к ответственности

По результатам проведенных проверок Центром в 18 случаях материалы направлены в органы внутренних дел для решения вопроса о начале административного процесса (по статьям 23.7, 24.1, 24.11 Кодекса Республики Беларусь об административных правонарушениях от 6 января 2021 г. № 91-З) за:

  • нарушение законодательства о защите персональных данных (16 случаев);
  • неисполнение письменного требования (предписания) (1 случай);
  • непредставление документов, отчётов и иных материалов (1 случай).

Планы на 2024 год в сфере защиты персональных данных

Центр обозначил вопросы в сфере защиты персональных данных, которые будут проработаны в 2024 году. В их число входит:

  1. Локализация персональных данных на территории Республики Беларусь. 
    Требование по локализации персональных данных является новым инструментом контроля потоков персональных данных для Республики Беларусь, но уже давно применяется в соседних странах. Например, в Российской Федерации такое требование появилось в 2015 году и означает, что собираемые у субъектов данные должны храниться и обрабатываться на территории Российской Федерации.
    В Республике Беларусь планируется установление требования по локализации в отношении отдельных, особо чувствительных категорий персональных данных, например, специальных персональных данных, персональных данных несовершеннолетних. По данному вопросу уже подготовлен и прорабатывается с заинтересованными соответствующий проект Указа Президента Республики Беларусь.
  2. Ужесточение ответственности за нарушение законодательства о персональных данных.
    Планируется усилить административную ответственности за нарушение законодательства о персональных данных. Конкретные размеры штрафов пока неизвестны. В настоящее время максимальный размер штрафа за непринятие мер по организации обработки персональных данных для юридических лиц составляет 50 базовых величин.
  3. Наделение Центра полномочиями органа, ведущего административный процесс;
  4. приостановление доступа к интернет-ресурсам, функционирование которых осуществляется с нарушением требований Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (распространение персональных данных без надлежащего правового основания и т. д.);
  5. проработка вопросов, связанных с обработкой персональных данных, в частности, вопросов, связанных с использованием систем видеонаблюдения в отдельных отраслях (сферах) деятельности.

Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения. 

Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/PR_revera