Что грозит бизнесу за нарушение требований по обработке и защите персональных данных

С момента появления законодательного регулирования защиты персональных данных у организаций появились определенные обязанности по защите обрабатываемых персональных данных. Непринятие таких мер влечёт ряд последствий, которые в том числе могут отразиться на нормальном ведении бизнеса.

Об этих последствиях рассказывает myfin.by.

Мониторинг соблюдения организациями требований по обработке персональных данных осуществляется Национальным центром защиты персональных данных Республики Беларусь (далее – НЦЗПД) путём проведения ряда контрольных мероприятий.

К каким последствиям организациям необходимо быть готовым в случае несоблюдения требований по обработке и защите персональных данных разъяснят юристы REVERA law group Алёна Поторская и Юлия Бурмистрова.

Проведение проверок

Согласно п. 6 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных» (далее – Указ № 422) одной из основных задач НЦЗПД является принятие мер по защите прав субъектов персональных данных при их обработке. Такую задачу НЦЗПД реализует путём проведения контрольных мероприятий в формах проверок:

• плановых,
• внеплановых,
• камеральных.

За 2022 год Национальным центром защиты персональных данных Республики Беларусь всего было проведено 50 проверок.

Плановые проверки

Плановые проверки проводятся согласно планам проверок соблюдения законодательства о персональных данных, которые публикуются на официальном сайте НЦЗПД не позднее 30 декабря года, предшествующего году проведения проверки.

В 2022 году НЦЗПД были проведены плановые проверки в отношении 6 организаций. План проверок на 2023 год увеличился, в него уже включены 13 субъектов хозяйствования из разных сфер деятельности, в частности, в план включены ЗАО «Альфа-Банк», ООО «Проект Дилбай» (deal.by) и иные организации.

Не позднее 10 рабочих дней до начала проведения проверки НЦЗПД письменно уведомляет организацию, попавшую в план проверок о проведении такой проверки.

Внеплановые проверки

По информации из отчёта о деятельности НЦЗПД за 2022 год было проведено 7 внеплановых проверок. Такие проверки зачастую проводятся в случаях если:

• в отношении действий организации была направлена жалоба субъекта персональных данных о нарушении его прав.
• в организации произошла «утечка» персональных данных ввиду нарушений систем защиты персональных данных.
• по результатам проведения камеральной проверки организацией не были выполнены требования НЦЗПД.

Если такая жалобы была направлена анонимно, то указанная в ней информация не является основанием для назначения внеплановой проверки.

Наиболее крупные «утечки» за 2022 год произошли в торговой сети «Соседи», ОАО «Белгазпромбанк», торговой сети «Остров чистоты и вкуса».

В рамках как плановых, так и внеплановых проверок проверяющие могут требовать от организаций, в отношении которых проводится проверка представить:

• документы (их копии) и (или) сведения, связанные с обработкой персональных данных;
• доступ в помещения и иные объекты (на территории организаций), в которых осуществляется обработка персональных данных;
• доступ к программно-техническим средствам, с помощью которых осуществляется обработка, а также вправе изымать программно-технические средства на срок проведения проверки, если на месте невозможно их исследовать;
• доступ, в т.ч. удалённый, к использованию информационных ресурсов (систем).

Например, если ваша организация использует программу 1С или иную, посредством которой вы обрабатываете персональные данные работников, контрагентов и т.д., то в рамках внеплановой и плановой проверок проверяющие могут потребовать доступ к ним для анализа правомерности обработки персональных данных в таких системах. Такой доступ также могут попросить предоставить и к персональным данным, которые хранятся на бумажных носителях, например, к личным делам работников.

Камеральные проверки

Камеральные проверки – ещё одна форма контрольных мероприятий, проводимых НЦЗПД. Особенностью таких проверок является то, что они проводятся по месту нахождения НЦЗПД без выезда в проверяемую организацию. Также в отличии от плановых и внеплановых проверок, о проведении камеральной проверки НЦЗПД заранее не предупреждает проверяемую организацию.

Камеральные проверки проводятся путём изучения, анализа и оценки:

• информации, размещенной в СМИ, интернете о деятельности организации;
• документов и иной информации, в том числе полученной от организации по запросу НЦЗПД.

Например, если у организации есть сайт, посредством которого собираются персональные данные (регистрация на сайте, заполнение окошек «Обратная связь», «Подпишись на рассылку» и т.д.), то в рамках камеральной проверки НЦЗПД может проанализировать такой сайт на предмет соответствия требованиям, предъявляемым к обработке персональных данных.

В большинстве случаев камеральные проверки проводятся по жалобам субъектов персональных данных, также проверки были инициированы НЦЗПД по результатам анализа и оценки информации, размещенной в интернете.

НЦЗПД в 2022 году было проведено 37 камеральных проверок. По информации из отчёта о деятельности НЦЗПД по итогам всех камеральных проверок выявлены нарушения законодательства о персональных данных.

Важно отметить, что в планах у НЦЗПД на 2023 год активная работа по мониторингу интернет-ресурсов, в том числе зарубежного сегмента, с целью удаления незаконно распространенных персональных данных.

Нарушения, выявленные в ходе проведения проверок

В ходе проверок НЦЗПД тщательно анализируется исполнение организациями обязательных мер, предусмотренных ст. 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон), а также положениями Указа № 422.

Ниже приведены наиболее частые нарушения, допускаемые организациями при обработке персональных данных.

• Нарушения, связанные с назначением структурного подразделения / лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (далее – ответственное лицо) и невыполнением ответственным лицом возложенных на него обязанностей.

Примерами таких нарушений является:

• отсутствие в организации ответственного лица;
• фактическое неосуществление или невозможность осуществления возложенных обязанностей;
• некорректное определение ответственного лица – возложение обязанностей на работника, который организует обработку персональных данных (например, на директора, зам. директора, руководителя кадровой службы организации), либо назначение ответственных лиц в каждом структурном подразделении организации.

• Формальный подход к изданию документов, определяющих политику организации в отношении обработки персональных данных.

Отсутствие всех необходимых документов в организации, определяющих политику в отношении обработки персональных данных; отсутствие в таких документах перечня третьих лиц (категорий таких лиц), которым организация передает персональные данные и т.д.

• Неоформление / некорректное оформление отношений между организациями и третьими лицами, которым организации передают персональные данные.

Незаключение договоров / положений в ранее заключенные договоры между организациями и третьими лицами, которым передаются персональные данные; изложение таких договоров / положений в договоры без учета требований, предусмотренных Законом;

• Несоблюдение требований, предъявляемых к порядку получения согласия на обработку персональных данных.

Распространёнными нарушениями, связанными с получением согласия на обработку персональных данных, являются обработка данных без получения согласия, когда такое согласное требуется; несоблюдение свободного характера получения согласия (заранее проставленные «галочки» в чек-боксах на получение маркетинговой рассылки, иное).

• Неосуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь.

Какие меры предпринимаются в отношении организаций после проведения проверок?

Вынесение письменных требований (предписаний).

В случае выявления нарушений по итогам проведения плановых и внеплановых проверок выносятся письменные требования (предписания):

1. об устранении нарушений и (или)
2. о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе).

По итогам камеральной проверки в случае наличия нарушений, организации могут быть направлены рекомендации по их устранению.

Наименее приятный итог проверок для бизнеса – получение предписания о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе). На основании такого предписания организация, имеющая сайт не сможет обрабатывать (собирать, хранить и т.д.) персональные данные, полученные с его помощью. Фактически вся деятельности организации, оказывающей услуги через сайт приостанавливается на срок до устранения нарушений, не превышающий 6 месяцев (оформление заказов через сайт, бронирование / покупка билетов и т.д.).

Указанная мера НЦЗПД впервые была применена в отношении ООО «Инмедбай» по факту утечки персональных данных 14,5 тыс. пользователей интернет-ресурса inmed.by, который предоставлял услуги онлайн-записи в медицинские центры. Обработка персональных данных в информационном ресурсе inmed.by была приостановлена на 6 месяцев.

Привлечение к ответственности

За нарушение законодательства о персональных данных предусмотрены следующие виды ответственности:

• дисциплинарная (п. 10 ч. 1 ст. 47 Трудового кодекса от 26 июля 1999 г. № 296-З);
• административная (ст. 23.7 Кодекса об административных правонарушениях от 6 января 2021 г. № 91-З);
• уголовная (ст.ст. 2031, 2032 Уголовного кодекса 9 июля 1999 г. № 275-З);
• гражданско-правовая ответственность (п. 2 ст. 19 Закона предусматривает возмещение морального вреда, имущественного вреда и понесенных субъектом персональных данных убытков).

За 2022 год по итогам проведения плановых, внеплановых и камеральных проверок направлены материалы о привлечении к административной ответственности в отношении 10 организаций. Максимальный размер штрафа в случае незаконного распространения персональных данных по ст. 23.7 КоАП составляет 200 базовых величин.

Важно!Основными критериями при направлении НЦЗПД материалов о привлечении к административной ответственности в органы внутренних дела, следующие:

• нарушения затрагивают не только заявителя, но и иных лиц, в том числе социально уязвимые категории субъектов персональных данных (несовершеннолетние, пенсионеры), участников программы лояльности и т.п.;
• установлены нарушения при трансграничной передаче персональных данных на территорию иностранных государств, которые не обеспечивают надлежащий уровень защиты прав субъектов персональных данных;
• не исполнены рекомендации НЦЗПД об устранении выявленных им по итогам камеральной проверки нарушений законодательства о персональных данных.

В настоящее время правом на составление протоколов о совершении административных правонарушений, наделены должностные лица органов внутренних дел, но в перспективе ожидается расширение полномочий НЦЗПД и наделение правом на составление протоколов о совершении административных правонарушений.

Таким образом, важно мониторить бизнес-процессы в организации, касающиеся обработки персональных данных, соблюдать обязательные требования законодательства по обработке и защите персональных данных для избежания негативных последствий для своего бизнеса.

Читайте нас в: