Подводим итоги 2023 года в сфере обработки персональных данных в Республике Беларусь
Каждый год Национальный центр защиты персональных данных Республики Беларусь (Центр) публикует отчёт о своей деятельности. Юристы REVERA law group проанализировали подведённые итоги в сфере обработки персональных данных, а также планы на 2024 год.
Контрольные мероприятия, проводимые Центром
Национальным центром защиты персональных данных осуществляется контроль за обработкой персональных данных операторами (уполномоченными лицами) в формах плановых, внеплановых и камеральных проверок.
В 2023 году при осуществлении контроля применялись все три формы проверок. Как отмечает Центр в отчёте, по итогам их проведения в каждом случае были выявлены нарушения. Что не удивительно и обосновывается тем, что бизнес еще адаптируется к появившемуся в 2021 году регулированию. Но несмотря на наличие нарушений общий уровень ответственности организаций и выполнения требований законодательства о персональных данных значительно увеличился.
Вид проверки и основания назначения
| Вид проверки | Критерии для назначения проверки |
| Плановые проверки (проведено 13 плановых проверок) |
|
| Внеплановые проверки (проведено 7 внеплановых проверок) |
На последнее из этих оснований операторам, а также уполномоченным лицам необходимо обратить особое внимание, т.к. передача ведения некоторых бизнес-процессов на аутсорс довольно распространённая практика. В ходе плановых и внеплановых проверок Центром оценивается, удостоверился ли оператор в принятии обязательных мер по обеспечению защиты персональных данных уполномоченным лицом или нет. Если в обработке персональных данных уполномоченным лицом выявляются нарушения, то Центр вправе провести проверку также в отношении этого уполномоченного лица. |
| Камеральные проверки (проведено 18 камеральных проверок) |
|
В целом в 2023 году наблюдается положительная тенденция соблюдения законодательства о персональных данных, нарушения, связанные с нереализацией обязательных мер, встречались реже.
Итоги проведения контрольных мероприятий
В отчёте отмечается, что операторами принимаются недостаточно эффективные меры при обработке персональных данных, либо подход к их реализации носит формальный характер.
Среди наиболее частых нарушений выявлены следующие:
- отсутствие соответствующих документов (планов проведения мониторинга или проверок структурных подразделений организации, отчётов по итогам проведения контрольных мероприятий), а также неустановление порядка осуществления внутреннего контроля;
- формальное возложение обязанностей по осуществлению внутреннего контроля;
- формальный подход к изданию документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных (изложение документов сложным юридическим языком; отражение в документах не всех бизнес-процессов и другое);
- неэффективный способ ознакомления работников оператора (уполномоченного лица) и других лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных;
- обработка персональных данных без наличия правового основания;
- нарушения требований, предъявляемых к порядку получения согласия субъекта персональных данных и другие.
Последствия для организаций по итогам выявленных нарушений
По итогам проведения плановой или внеплановой проверки Центр может:
- вынести письменное требование (предписание) об устранении выявленных нарушений
или - принять решение о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе) с указанием конкретных действий, которые должны быть приостановлены (прекращены), и устанавливать срок такого приостановления (прекращения), не превышающий 6 месяцев.
Кроме того, за нарушение законодательства о персональных данных установлена (1) административная и (2) уголовная ответственность.
Приостановление (прекращение) обработки персональных данных в информационном ресурсе (системе)
Применение указанной меры является наиболее критичной для бизнеса, т.к. организации, осуществляющие свою деятельность с использованием сайтов, не смогут собирать персональные данные субъектов с их помощью (например, при оформлении заказа на сайте, подписки на рассылку и т.д.).
По этой причине такая мера применяется по итогам не каждой плановой или внеплановой проверки. Центр использует этот инструмент максимально точечно и взвешенно: в 2023 году решение о приостановлении обработки персональных данных в информационных ресурсах (системах) принято в отношении всего двух операторов.
Привлечение к ответственности
По результатам проведенных проверок Центром в 18 случаях материалы направлены в органы внутренних дел для решения вопроса о начале административного процесса (по статьям 23.7, 24.1, 24.11 Кодекса Республики Беларусь об административных правонарушениях от 6 января 2021 г. № 91-З) за:
- нарушение законодательства о защите персональных данных (16 случаев);
- неисполнение письменного требования (предписания) (1 случай);
- непредставление документов, отчётов и иных материалов (1 случай).
Планы на 2024 год в сфере защиты персональных данных
Центр обозначил вопросы в сфере защиты персональных данных, которые будут проработаны в 2024 году. В их число входит:
- Локализация персональных данных на территории Республики Беларусь.
Требование по локализации персональных данных является новым инструментом контроля потоков персональных данных для Республики Беларусь, но уже давно применяется в соседних странах. Например, в Российской Федерации такое требование появилось в 2015 году и означает, что собираемые у субъектов данные должны храниться и обрабатываться на территории Российской Федерации.
В Республике Беларусь планируется установление требования по локализации в отношении отдельных, особо чувствительных категорий персональных данных, например, специальных персональных данных, персональных данных несовершеннолетних. По данному вопросу уже подготовлен и прорабатывается с заинтересованными соответствующий проект Указа Президента Республики Беларусь. - Ужесточение ответственности за нарушение законодательства о персональных данных.
Планируется усилить административную ответственности за нарушение законодательства о персональных данных. Конкретные размеры штрафов пока неизвестны. В настоящее время максимальный размер штрафа за непринятие мер по организации обработки персональных данных для юридических лиц составляет 50 базовых величин. - Наделение Центра полномочиями органа, ведущего административный процесс;
- приостановление доступа к интернет-ресурсам, функционирование которых осуществляется с нарушением требований Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (распространение персональных данных без надлежащего правового основания и т. д.);
- проработка вопросов, связанных с обработкой персональных данных, в частности, вопросов, связанных с использованием систем видеонаблюдения в отдельных отраслях (сферах) деятельности.
Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения.
Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/PR_revera