С момента появления законодательного регулирования защиты персональных данных у организаций появились определенные обязанности по защите обрабатываемых персональных данных. Непринятие таких мер влечёт ряд последствий, которые в том числе могут отразиться на нормальном ведении бизнеса.
Об этих последствиях рассказывает myfin.by.
Мониторинг соблюдения организациями требований по обработке персональных данных осуществляется Национальным центром защиты персональных данных Республики Беларусь (далее – НЦЗПД) путём проведения ряда контрольных мероприятий.
К каким последствиям организациям необходимо быть готовым в случае несоблюдения требований по обработке и защите персональных данных разъяснят юристы REVERA law group Алёна Поторская и Юлия Бурмистрова.
Проведение проверок
Согласно п. 6 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных» (далее – Указ № 422) одной из основных задач НЦЗПД является принятие мер по защите прав субъектов персональных данных при их обработке. Такую задачу НЦЗПД реализует путём проведения контрольных мероприятий в формах проверок:
За 2022 год Национальным центром защиты персональных данных Республики Беларусь всего было проведено 50 проверок.
Плановые проверки проводятся согласно планам проверок соблюдения законодательства о персональных данных, которые публикуются на официальном сайте НЦЗПД не позднее 30 декабря года, предшествующего году проведения проверки.
В 2022 году НЦЗПД были проведены плановые проверки в отношении 6 организаций. План проверок на 2023 год увеличился, в него уже включены 13 субъектов хозяйствования из разных сфер деятельности, в частности, в план включены ЗАО «Альфа-Банк», ООО «Проект Дилбай» (deal.by) и иные организации.
Не позднее 10 рабочих дней до начала проведения проверки НЦЗПД письменно уведомляет организацию, попавшую в план проверок о проведении такой проверки.
По информации из отчёта о деятельности НЦЗПД за 2022 год было проведено 7 внеплановых проверок. Такие проверки зачастую проводятся в случаях если:
Если такая жалобы была направлена анонимно, то указанная в ней информация не является основанием для назначения внеплановой проверки.
Наиболее крупные «утечки» за 2022 год произошли в торговой сети «Соседи», ОАО «Белгазпромбанк», торговой сети «Остров чистоты и вкуса».
В рамках как плановых, так и внеплановых проверок проверяющие могут требовать от организаций, в отношении которых проводится проверка представить:
Например, если ваша организация использует программу 1С или иную, посредством которой вы обрабатываете персональные данные работников, контрагентов и т.д., то в рамках внеплановой и плановой проверок проверяющие могут потребовать доступ к ним для анализа правомерности обработки персональных данных в таких системах. Такой доступ также могут попросить предоставить и к персональным данным, которые хранятся на бумажных носителях, например, к личным делам работников.
Камеральные проверки – ещё одна форма контрольных мероприятий, проводимых НЦЗПД. Особенностью таких проверок является то, что они проводятся по месту нахождения НЦЗПД без выезда в проверяемую организацию. Также в отличии от плановых и внеплановых проверок, о проведении камеральной проверки НЦЗПД заранее не предупреждает проверяемую организацию.
Камеральные проверки проводятся путём изучения, анализа и оценки:
Например, если у организации есть сайт, посредством которого собираются персональные данные (регистрация на сайте, заполнение окошек «Обратная связь», «Подпишись на рассылку» и т.д.), то в рамках камеральной проверки НЦЗПД может проанализировать такой сайт на предмет соответствия требованиям, предъявляемым к обработке персональных данных.
В большинстве случаев камеральные проверки проводятся по жалобам субъектов персональных данных, также проверки были инициированы НЦЗПД по результатам анализа и оценки информации, размещенной в интернете.
НЦЗПД в 2022 году было проведено 37 камеральных проверок. По информации из отчёта о деятельности НЦЗПД по итогам всех камеральных проверок выявлены нарушения законодательства о персональных данных.
Важно отметить, что в планах у НЦЗПД на 2023 год активная работа по мониторингу интернет-ресурсов, в том числе зарубежного сегмента, с целью удаления незаконно распространенных персональных данных.
В ходе проверок НЦЗПД тщательно анализируется исполнение организациями обязательных мер, предусмотренных ст. 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон), а также положениями Указа № 422.
Ниже приведены наиболее частые нарушения, допускаемые организациями при обработке персональных данных.
Примерами таких нарушений является:
Отсутствие всех необходимых документов в организации, определяющих политику в отношении обработки персональных данных; отсутствие в таких документах перечня третьих лиц (категорий таких лиц), которым организация передает персональные данные и т.д.
Незаключение договоров / положений в ранее заключенные договоры между организациями и третьими лицами, которым передаются персональные данные; изложение таких договоров / положений в договоры без учета требований, предусмотренных Законом;
Распространёнными нарушениями, связанными с получением согласия на обработку персональных данных, являются обработка данных без получения согласия, когда такое согласное требуется; несоблюдение свободного характера получения согласия (заранее проставленные «галочки» в чек-боксах на получение маркетинговой рассылки, иное).
Вынесение письменных требований (предписаний).
В случае выявления нарушений по итогам проведения плановых и внеплановых проверок выносятся письменные требования (предписания):
По итогам камеральной проверки в случае наличия нарушений, организации могут быть направлены рекомендации по их устранению.
Наименее приятный итог проверок для бизнеса – получение предписания о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе). На основании такого предписания организация, имеющая сайт не сможет обрабатывать (собирать, хранить и т.д.) персональные данные, полученные с его помощью. Фактически вся деятельности организации, оказывающей услуги через сайт приостанавливается на срок до устранения нарушений, не превышающий 6 месяцев (оформление заказов через сайт, бронирование / покупка билетов и т.д.).
Указанная мера НЦЗПД впервые была применена в отношении ООО «Инмедбай» по факту утечки персональных данных 14,5 тыс. пользователей интернет-ресурса inmed.by, который предоставлял услуги онлайн-записи в медицинские центры. Обработка персональных данных в информационном ресурсе inmed.by была приостановлена на 6 месяцев.
Привлечение к ответственности
За нарушение законодательства о персональных данных предусмотрены следующие виды ответственности:
За 2022 год по итогам проведения плановых, внеплановых и камеральных проверок направлены материалы о привлечении к административной ответственности в отношении 10 организаций. Максимальный размер штрафа в случае незаконного распространения персональных данных по ст. 23.7 КоАП составляет 200 базовых величин.
Важно!Основными критериями при направлении НЦЗПД материалов о привлечении к административной ответственности в органы внутренних дела, следующие:
В настоящее время правом на составление протоколов о совершении административных правонарушений, наделены должностные лица органов внутренних дел, но в перспективе ожидается расширение полномочий НЦЗПД и наделение правом на составление протоколов о совершении административных правонарушений.
Таким образом, важно мониторить бизнес-процессы в организации, касающиеся обработки персональных данных, соблюдать обязательные требования законодательства по обработке и защите персональных данных для избежания негативных последствий для своего бизнеса.