«В 2023 году проведено 13 плановых, 7 внеплановых, а также 18 камеральных проверок без выезда работников центра к самим операторам или уполномоченным лицам. В 10 случаях камеральных проверок поводом для их проведения стали жалобы субъектов персональных данных, в 6 – поступившие от операторов уведомления о нарушении системы защиты информации», – сказал Владимир Кузуро.
Он отметил, что в законодательстве установлен ряд обязательных мер по обеспечению защиты персональных данных, которые должны быть организованы и осуществлены всеми операторами без исключения. Типичные нарушения, которые выявляются в ходе проведения проверок, связаны непосредственно с нереализацией либо недостаточно эффективной реализацией этих обязательных мер, предусмотренных статьей 17 Закона Республики Беларусь «О защите персональных данных».
По словам Владимира Кузуро, большая роль в успешной реализации этих мер связана с назначением лица или подразделения, ответственного за контроль за обработкой персональных данных. В большинстве проверенных организаций, даже при условии назначения этих должностных лиц, контроль за обработкой персональных данных не осуществлялся. Кроме того, во многих организациях отсутствует план и результат контрольных мероприятий.
Также в числе недостатков – формальное возложение обязанности по контролю на одного из работников, который не имеет объективной возможности выполнять контрольные функции, ведь у него уже есть другие важные обязанности, а также формальный подход к изданию документов, определяющих политику операторов в отношении обработки персональных данных. Часто организации заимствуют эти документы из доступных источников без учета специфики работы конкретной организации.
Владимир Кузуро подчеркнул, что все документы должны быть написаны простым, понятным для клиентов или пользователей языком, а также отметил, что многие операторы используют неэффективный способ ознакомления работников с законодательством и документами, которые определяют политику оператора в отношении обработки персональных данных.
Среди других нарушений – отсутствие обучения для специалистов, предоставление работникам доступа к персональным данным, которые не являются необходимыми для его деятельности, распространение данных без согласия физических лиц, куда входят звонки и рассылка рекламных уведомлений, несоблюдение требования законодательства при передаче операторами персональных данных уполномоченным лицам и несоблюдение свободного характера получения согласия на обработку этих данных.
Источник: Национальный правовой Интернет-портал Республики Беларусь