По случаю недавно прошедшего Международного дня защиты персональных данных мы хотели бы поделиться с вами своим рейтингом нарушений, который составлен на базе нашей практики и анализа тенденций в регулировании вопросов защиты персональных данных (ПД).
Данная информация поможет вам устранить/снизить имеющиеся риски при обработке ПД в своей деятельности.
Данная информация поможет вам устранить/снизить имеющиеся риски при обработке ПД в своей деятельности.
5 место: Локальные правовые акты компании по вопросам обработки и защиты ПД не актуализируются
С момента вступления в силу Закона «О защите персональных данных» и утверждения первой редакции таких ЛПА прошло уже более 3 лет. За это время появилось много разъяснений и рекомендаций регулятора, а также новые требования законодательства.
Будет ошибкой не актуализировать ЛПА компании с момента их первоначального утверждения. А использование «рыбы» документов без их адаптации под деятельность компании говорит о формальном подходе к защите ПД.
Будет ошибкой не актуализировать ЛПА компании с момента их первоначального утверждения. А использование «рыбы» документов без их адаптации под деятельность компании говорит о формальном подходе к защите ПД.
4 место: Нарушения, связанные с обработкой ПД через сайт/интернет-магазин
Наиболее распространенными примерами являются отсутствие согласий субъектов ПД на обработку ПД, поступающих через сайт компании, а также отсутствие возможности отказаться от обработки необязательных куки-файлов. Такие нарушения могут привести к приостановке работы сайта/интернет-магазина по требованию НЦЗПД. Работа интернет-ресурса приостанавливается «до устранения нарушения», т.е. максимальный срок приостановки законодательством не ограничен.
НЦЗПД регулярно осуществляет мониторинг сайтов белорусских компаний, в связи с чем такие нарушения могут быть легко обнаружены. К примеру, в начале января сообщалось о проведенном мониторинге сайтов туроператоров.
В России недавно был повышен размер административных штрафов за обработку ПД без согласия субъекта ПД. В свою очередь НЦЗПД Беларуси среди своих приоритетных задач называет работу по усилению административной ответственности за нарушения в сфере защиты ПД и законодательное регулирование вопроса приостановления доступа к интернет-ресурсам, функционирование которых осуществляется с нарушением норм о защите ПД. В связи с этим, полагаем, в данной сфере следует ожидать усиления контроля.
НЦЗПД регулярно осуществляет мониторинг сайтов белорусских компаний, в связи с чем такие нарушения могут быть легко обнаружены. К примеру, в начале января сообщалось о проведенном мониторинге сайтов туроператоров.
В России недавно был повышен размер административных штрафов за обработку ПД без согласия субъекта ПД. В свою очередь НЦЗПД Беларуси среди своих приоритетных задач называет работу по усилению административной ответственности за нарушения в сфере защиты ПД и законодательное регулирование вопроса приостановления доступа к интернет-ресурсам, функционирование которых осуществляется с нарушением норм о защите ПД. В связи с этим, полагаем, в данной сфере следует ожидать усиления контроля.
3 место: Нарушения, связанные с привлечением уполномоченных лиц
Уполномоченным лицом может являться как сторонняя организация (оператор связи или хостинг-провайдер), так и компания, входящая в группу лиц с оператором ПД и оказывающая ему услуги. Договоры с этими лицами должны содержать специальное условие об обработке и защите ПД.
Кроме того, нужно обеспечить конфиденциальность передаваемой таким лицам информации. Это означает необходимость установления режима коммерческой тайны, если он еще не введен в организации, и разработку условий о конфиденциальности или отдельных NDA.
Кроме того, нужно обеспечить конфиденциальность передаваемой таким лицам информации. Это означает необходимость установления режима коммерческой тайны, если он еще не введен в организации, и разработку условий о конфиденциальности или отдельных NDA.
2 место: Нарушения, связанные с трансграничной передачей ПД
С трансграничной передачей данных могут быть сопряжены привычные, устоявшиеся процессы в работе компании, в связи с чем о вопросе защиты ПД в данных процессах могут забывать.
Трансграничная передача ПД присутствует при использовании компанией информационных ресурсов (CRM-систем, ПО для учета), локализованных (с серверами) за пределами Беларуси, а также при регулярном согласовании действий и документов со своим иностранным участником (в т.ч. при пересылке по электронной почте). Правовые основания для трансграничной передачи ПД в этих случаях, как и в целом ее правомерность и обоснованность зачастую не анализируются. Но если обработку ПД можно осуществить без их трансграничной передачи, то такая передача может быть признана незаконной. НЦЗПД при этом вправе потребовать устранения нарушения – прекращения обработки ПД при помощи «неразрешенных» информационных ресурсов, что может создать существенные неудобства для компании.
Трансграничная передача ПД присутствует при использовании компанией информационных ресурсов (CRM-систем, ПО для учета), локализованных (с серверами) за пределами Беларуси, а также при регулярном согласовании действий и документов со своим иностранным участником (в т.ч. при пересылке по электронной почте). Правовые основания для трансграничной передачи ПД в этих случаях, как и в целом ее правомерность и обоснованность зачастую не анализируются. Но если обработку ПД можно осуществить без их трансграничной передачи, то такая передача может быть признана незаконной. НЦЗПД при этом вправе потребовать устранения нарушения – прекращения обработки ПД при помощи «неразрешенных» информационных ресурсов, что может создать существенные неудобства для компании.
1 место: Отсутствие аттестации систем защиты информации (СЗИ)
Процедура создания и аттестации СЗИ является достаточно дорогостоящей и может потребовать существенного обновления ПО и/или технопарка организации.
В связи с этим аттестация СЗИ имеется на текущий момент у немногих организаций. Тем не менее, создать и аттестовать СЗИ обязан каждый оператор ПД, который обрабатывает какие-либо ПД, кроме общедоступных. При изменении состава ПО, входящего в СЗИ, потребуется пройти переаттестацию.
При проработке вопроса получения аттестата СЗИ нужно учитывать, что недавно ОАЦ была принята новая редакция Приказа № 66, регулирующего вопросы криптографической защиты ПД и аттестации СЗИ, которая вступит в силу с 01.03.2025. А по итогам парламентских слушаний на тему развития цифрового права в Беларуси НЦЗПД было рекомендовано совместно с Совмином, ОАЦ и Следственным комитетом проработать вопрос введения административной ответственности за невыполнение требований по технической и криптографической защите информации. В связи с этим, считаем, что следует ожидать усиления контроля в сфере создания и аттестации СЗИ.
В связи с этим аттестация СЗИ имеется на текущий момент у немногих организаций. Тем не менее, создать и аттестовать СЗИ обязан каждый оператор ПД, который обрабатывает какие-либо ПД, кроме общедоступных. При изменении состава ПО, входящего в СЗИ, потребуется пройти переаттестацию.
При проработке вопроса получения аттестата СЗИ нужно учитывать, что недавно ОАЦ была принята новая редакция Приказа № 66, регулирующего вопросы криптографической защиты ПД и аттестации СЗИ, которая вступит в силу с 01.03.2025. А по итогам парламентских слушаний на тему развития цифрового права в Беларуси НЦЗПД было рекомендовано совместно с Совмином, ОАЦ и Следственным комитетом проработать вопрос введения административной ответственности за невыполнение требований по технической и криптографической защите информации. В связи с этим, считаем, что следует ожидать усиления контроля в сфере создания и аттестации СЗИ.
