О том, на что руководителю компании стоит обратить внимание при организации процесса обработки ПД, а также об ответственности за несоблюдение норм о защите ПД клиентов, мы продолжаем беседовать с начальником управления методологии защиты персональных данных Национального центра защиты персональных данных (НЦЗПД; Центр) Ириной Анатольевной Пырко.

Ирина Анатольевна Пырко

начальник управления методологии защиты персональных данных Национального центра защиты персональных данных


Первую часть интервью читайте по ссылке: Почему персональные данные – забота собственника и директора

 – Ирина Анатольевна, какие наиболее частые ошибки совершают субъекты хозяйствования на начальном этапе организации процесса работы с ПД?

– Самой распространенной ошибкой субъектов хозяйствования является формальный подход к реализации требований Закона о ПД по принятию мер по обеспечению защиты ПД.

А ведь недостаточно внимательное отношение к работе с личной информацией, пренебрежение мерами ее защиты могут повлечь несанкционированный доступ к ним, утечку, распространение этих данных и причинение гражданам других неблагоприятных для них последствий (мошенничество, угрозы и т.п.), а также значительные репутационные и материальные издержки организаций.

Закон о ПД устанавливает ряд мер по обеспечению защиты ПД, которые являются обязательными для операторов (уполномоченных лиц). Это:

  • назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой ПД (ответственный за внутренний контроль);
  • издание документов, определяющих политику в отношении обработки ПД;
  • ознакомление работников и иных лиц, непосредственно осуществляющих обработку ПД, с положениями законодательства, в том числе с требованиями по защите ПД, документами, определяющими политику в отношении обработки ПД, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
  • установление порядка доступа к ПД, в том числе обрабатываемым в информационном ресурсе (системе);
  • осуществление технической и криптографической защиты ПД в порядке, установленном Оперативно-аналитическим центром при Президенте, в соответствии с классификацией информационных ресурсов (систем), содержащих ПД.

Проводимый НЦЗПД анализ реализуемых организациями мероприятий по защите обрабатываемых ими ПД показывает, что перечисленные обязательные меры до сих пор многими организациями не реализованы или реализованы формально.

В чем может заключаться причина формального подхода к реализации требований Закона со стороны организаций?

– В первую очередь, это формальный подход к назначению и непосредственной работе ответственного за внутренний контроль. Ведь именно наличие и реальная работа данного структурного подразделения или лица помогут организации выявить риски, связанные с защитой ПД, и предотвратить возможные нарушения законодательства о ПД, в том числе их утечку.

К сожалению, мы сталкиваемся с ситуациями, когда функции ответственного за внутренний контроль возлагаются на работников, которые в силу отсутствия достаточной квалификации или загруженности другими трудовыми функциями, а иногда и отсутствия поддержки со стороны руководства организации, не способны и (или) не в состоянии должным образом организовать работу по защите ПД. В том числе обеспечить разработку и поддержание в актуальном состоянии документов, ведение реестра обработки ПД, организацию обучения работников вопросам защиты ПД, осуществлять внутренний контроль.

При этом необходимо понимать, что без поддержки со стороны руководства организации и участия других работников в этих процессах работа ответственного за внутренний контроль не будет эффективной. Как говорится, один в поле не воин.

 Какие самые распространенные варианты назначения ответственного за внутренний контроль?

– С учетом разнообразных условий функционирования и возможностей операторов могут иметь место различные варианты.

Например, может быть создано отдельное структурное подразделение. Такую модель, как правило, следует избирать крупным операторам, осуществляющим масштабную обработку ПД, в том числе трансграничную передачу, и имеющим множество информационных ресурсов, содержащих ПД. Это банки, операторы электросвязи, страховые организации, крупные торговые сети и др.

Для комплексного анализа бизнес-процессов, связанных с обработкой ПД, в состав таких подразделений лучше включать не только юристов, но и лиц, имеющих техническое образование.

Если масштаб организации и процессов обработки ПД не такой значительный, может быть назначен освобожденный работник.

Если же организация небольшая и в информационных системах (ресурсах), которыми она владеет, обрабатывается незначительное количество ПД, можно возложить дополнительные функции на одного из работников.

Также может быть реализована модель возложения дополнительных функций на нескольких работников. Как правило, при такой модели функции ответственного за контроль возлагаются на двух работников:

— на одного (например, юрисконсульт) – в части организационных и правовых мер;

— на другого (например, специалист по информационной безопасности) – в части мер по технической и криптографической защите ПД. При таком варианте требуется четкое распределение функций между указанными лицами, исключение противоречий в их деятельности.

– Расскажите подробнее о требованиях к структурному подразделению или лицу, ответственному за осуществление внутреннего контроля за обработкой ПД.

– Учитывая, что принимаемые меры по обеспечению защиты ПД зависят в том числе от сферы деятельности, объема обрабатываемых ПД, Закон о ПД не устанавливает требований к наличию у ответственного лица конкретного образования, а лишь к наличию высшего.

Вместе с тем ответственный должен знать законодательство о ПД (что, как правило, предполагает наличие юридического образования) и практику его применения, а также быть способным выполнять возложенные на такое лицо функции.

Закон о ПД не перечисляет для ответственных за внутренний контроль конкретных функций. Они есть в ЕКСД «Должности служащих для всех видов деятельности», куда включена квалификационная характеристика специалиста по внутреннему контролю за обработкой персональных данных.

Если дополнительные функции возлагают на одного из работников, есть определенные условия. Для такого лица обработка ПД не должна быть основным видом деятельности, что позволит исключить потенциальный конфликт интересов. То есть это не должен быть работник, основные функции которого связаны с обработкой большого объема ПД (например, кадровые и бухгалтерские службы, структурные подразделения по обращениям граждан и т.п.).

С учетом задач ответственного за контроль не соответствует Закону о ПД практика тех организаций, где соответствующие функции возлагаются исключительно на ответственного за обеспечение защиты информации или инженера (программиста, системного администратора, специалиста по информационной безопасности и т.п.).

Не следует назначать ответственных в каждом структурном подразделении. Это приводит к сложностям при их взаимодействии, конкуренции, возможности появления различных подходов по реализации законодательства о ПД в различных подразделениях, а также может приводить к конфликту интересов. В конечном итоге при такой ситуации вопросами внутреннего контроля в организации не занимается никто.

Можно ли привлечь ответственного за контроль по гражданско-правовому договору?

– Такая модель не согласуется с положениями Закона о ПД. Хотя на практике это частый вопрос, особенно от небольших организаций.

Вместе с тем на основании гражданско-правового договора привлекать третьих лиц для оказания содействия в выполнении отдельных функций ответственного за контроль допустимо. Например, для разработки документов, определяющих политику в отношении обработки ПД, и иных документов, проведения обучения работников и иных лиц, непосредственно осуществляющих обработку ПД.

– Поясните, пожалуйста, формулировку из рекомендаций: «В связи с назначением лица, ответственного за осуществление внутреннего контроля, ни оператор, ни уполномоченное лицо, ни работники организации, непосредственно осуществляющие обработку ПД, не освобождаются от ответственности, предусмотренной законодательными актами, за допущенные ими нарушения». Означает ли это, что в случае незаконной обработки ПД к ответственности может быть привлечен и руководитель субъекта хозяйствования?

– Да, действительно, назначение ответственного за внутренний контроль вовсе не означает, что вся ответственность за незаконную обработку ПД возлагается на это лицо. При выявлении фактов незаконной обработки к ответственности могут быть привлечены как оператор, уполномоченное лицо, так и должностные лица, к которым в том числе относится руководитель организации, а также иные работники, непосредственно осуществляющие обработку ПД.

Так, например, любой работник, включая руководителя организации,  может быть привлечен к дисциплинарной ответственности вплоть до увольнения за нарушение  порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления ПД (ст. 198, п.10 ч. 1 ст. 47 ТК).

А ст. 23.7 КоАП, например, предусмотрено привлечение к административной ответственности как физических, так и юридических лиц. В ч. 4 ст. 23.7 КоАП несоблюдение мер обеспечения защиты ПД физических лиц выделено как самостоятельный состав административного правонарушения, за которое предусмотрено наложение штрафа на физических и юридических лиц. В свою очередь организация работы по принятию этих мер — это, в первую очередь, зона ответственности руководителя организации.

 – В каких случаях НЦЗПД может быть инициирована проверка субъекта хозяйствования? 

– Центр осуществляет проверки соблюдения законодательства о ПД в различных формах. Они могут быть плановыми (в соответствии с ежегодно утверждаемым директором Центра планом), внеплановыми (без включения в названный план) и камеральными (проводимыми по месту нахождения Центра).

Критерием для включения в план проверок являются осуществление оператором масштабной обработки ПД в тех сферах, на которые поступают обоснованные жалобы субъектов персональных данных.

Что касается проведения внеплановых проверок, то их могут назначать при наличии сведений, жалоб субъектов ПД, свидетельствующих о нарушении требований законодательства о ПД. Фактически любое такое нарушение может стать основанием для проведения внеплановых проверок. Тем не менее Центр в целях недопустимости увеличения административной нагрузки на субъектов хозяйствования проводит внеплановые проверки в том случае, когда явные нарушения нельзя игнорировать и требуется оперативно принимать комплексные меры.

Например, это могут быть жалобы, в которых указываются нарушения, серьезным образом затрагивающие права значительного количества субъектов ПД (такие, как возможность распространения ПД), либо нарушение систем защиты ПД, повлекшие их утечку, либо длительное невыполнение (неоднократное ненадлежащее выполнение) рекомендаций по итогам проведения камеральной проверки.

Поводом для камеральных проверок являются не требующие оперативного реагирования нарушения. О таких нарушениях зачастую сообщают граждане, которые просят оценить правомерность конкретных действий операторов по обработке ПД (например, сбор избыточных сведений). Также НЦЗПД на постоянной основе анализирует соблюдение Закона о ПД по конкретному вопросу и направляет операторам рекомендации об устранении выявленных нарушений.

– Какие именно документы и ресурсы в ходе проверки подвергаются анализу?

– В ходе плановой и внеплановой проверки изучаются все бизнес-процессы, которые сопровождаются обработкой ПД.

Конечно, особое внимание уделяется соблюдению оператором обязательных мер по обеспечению защиты ПД, предусмотренных п. 3 ст. 17 Закона о ПД, а также мер, изложенных в подп. 3.5 п. 3 Указа № 422.

В ходе камеральной проверки НЦЗПД изучает не только факты, изложенные гражданином, но и зачастую то, как оператор реализовал обязательные меры по обеспечению защиты ПД.

В частности, в ходе проверок проверяется наличие:

  • документов, устанавливающих порядок осуществления внутреннего контроля, а также подтверждающих его непосредственное проведение (планов проведения мониторинга или проверок структурных подразделений организации, отчетов по итогам проведения контрольных мероприятий);
  • на сайте организации — документов, определяющих политику в отношении обработки ПД;
  • документов, подтверждающих обучение работников с контролем знаний (в форме опроса, тестирования и других формах контроля знаний);
  • документа, устанавливающего порядок доступа к ПД, в том числе обрабатываемым в информационном ресурсе (системе), а также соответствие установленного порядка реальному положению дел по разграничению прав доступа к ПД (например, предоставление работнику доступа к ПД, которые не являются необходимыми для его трудовой функции).

Проверяются также наличие перечня информационных ресурсов (систем), содержащих ПД, собственниками (владельцами) которых они являются, правовых оснований на обработку ПД, в том числе в этих ресурсах (системах).

Особое внимание уделяется системам видеонаблюдения.

Кроме того, в текущем году в ходе проверок будет обращаться внимание  на соблюдение операторами обязанности по внесению в Реестр  операторов сведений об информационных ресурсах (системах), в которых обрабатываются ПД, в случаях, когда такие ресурсы (системы) соответствуют критериям, установленным приказом ОАЦ № 94.

По результатам проверки оператору направляются рекомендации об устранении выявленных нарушений.

– Какие нарушения чаще выявляются в ходе проверок?

– Преобладают нарушения, связанные с недостаточной эффективностью принимаемых мер по обеспечению защиты ПД либо формальным подходом по их реализации.

Так, например, одним из типичных нарушений при назначении ответственного за внутренний контроль является фактическое непроведение в организации внутреннего контроля. По мнению Центра, деятельности каждого структурного подразделения оператора должна даваться оценка по меньшей мере раз в год.

Нередко ответственным за внутренний контроль назначается лицо, осуществляющее на постоянной основе обработку ПД, то есть фактически контролер и контролируемый совпадают.

Еще одна категория нарушений – нарушение требований п. 6 ст. 4 Закона о ПД в части прозрачного характера их обработки. В первую очередь это обусловлено формальным подходом к составлению документа, определяющего политику в отношении обработки ПД, что делает его абсолютно неэффективным.

При оценке реализации такой обязательной меры, как ознакомление и обучение работников, Центр сталкивается с ситуациями, когда оператор фактически заставляет работников расписаться в листе ознакомления без реального доведения до них требуемой Законом о ПД информации.

Также зачастую, в том числе в ходе рассмотрения жалоб субъектов ПД, выявляются случаи обработки персональных данных без наличия правовых оснований.

Типичные примеры:

  • распространение ПД должников за услуги ЖКХ (например, на информационных стендах товарищества, в группах в мессенджерах и т.п.);
  • видеонаблюдение за клиентами, посетителями без информирования об этом (без таблички) либо в ненадлежащих местах (например, в примерочной в торговом центре, туалете и т.п.), а равно без политики по видеонаблюдению;
  • рассылка рекламных уведомлений без получения согласия в порядке, предусмотренном ст. 5 Закона о ПД;
  • обработка паспортных данных, сведений о привлечении к уголовной (административной) ответственности и состоянии здоровья, информации о родственниках кандидата на работу на этапе до принятия решения о трудоустройстве (например, запрос такой информации посредством анкеты кандидата на трудоустройство), понуждение кандидата на работу получать справку из единого государственного банка данных о правонарушениях (за исключением случаев, предусмотренных законодательными актами).

– Какие меры ответственности применяются к субъекту хозяйствования и его руководителю за несоблюдение законодательства в области защиты ПД? 

– За нарушение законодательства о персональных данных в Республике Беларусь предусмотрена ответственность:

  • дисциплинарная (п. 10 ч.1 ст. 47, ст. 198 ТК);
  • административная (ст. 23.7 КоАП);
  • уголовная (ст.ст. 2031, 2032 УК);
  • гражданско-правовая (п. 2 ст. 19 Закона о ПД предусматривает возмещение морального вреда, имущественного вреда и понесенных субъектом ПД убытков).

При этом необходимо учитывать, что ст. 23.7 КоАП является общей и применяется к нарушению порядка обработки ПД независимо от того, распространяется ли на данные отношения действие Закона о ПД или нет. Например, к административной ответственности по данной статье может быть привлечено физическое лицо, которое не является оператором в силу изъятия, предусмотренного абз. вторым п. 2 ст. 2 Закона о ПД, однако незаконно распространило ПД других физических лиц в социальных сетях. Санкция предусматривает наложение штрафа в размере до 50 базовых величин.

В ч. 2 ст. 23.7 КоАП предусмотрен квалифицированный состав правонарушения, то есть необходимо установить, что соответствующие действия по обработке ПД охватывались трудовой функцией работника и отражены в его должностной инструкции. Штраф составит от 4 до 100 базовых величин.

В ч. 3 ст. 23.7 КоАП установлена ответственность за умышленное незаконное распространение ПД физических лиц и влечет наложение штрафа до 200 базовых величин.

В ч. 4 ст. 23.7 КоАП, как было отмечено ранее, закреплен еще один самостоятельный состав – несоблюдение мер обеспечения защиты ПД физических лиц. Имеется в виду установление и поддержание организациями в актуальном состоянии перечней ресурсов (систем), содержащих ПД, и уполномоченных лиц.

Применительно к данному нарушению в санкции статьи дифференцированный подход. Так, несоблюдение мер обеспечения защиты ПД влечет наложение штрафа на физических лиц в размере от 2 до 10 базовых величин, на ИП – от 10 до 25 базовых величин, а на юрлицо – от 20 до 50 базовых величин.

В УК предусмотрено две статьи, касающиеся защиты ПД и информации о частной жизни. Так, в ст. 2031 УК устанавливается ответственность за незаконные действия (умышленные незаконные сбор, предоставление, распространение) в отношении информации о частной жизни и ПД, а в ст. 2032 УК – ответственность за несоблюдение мер обеспечения защиты персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий.

Кроме того, как самостоятельная правовая форма гражданско-правовой ответственности за нарушение законодательства о ПД может быть использован гражданско-правовой институт обязательств вследствие причинения вреда, предусмотренный гл. 58 ГК.

Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПД убытков, поскольку право гражданина на компенсацию (материальное возмещение) морального вреда гарантировано Конституцией и является способом защиты гражданских прав, неприкосновенности и достоинства личности в установленном законом порядке.

– Благодарим за беседу. 

Читайте также

Персональные данные. Найти баланс интересов. Интервью с директором НЦЗПД А.А. Гаевым

Персональные данные: риски и ответственность, судебная практика

Внутренний контроль за обработкой персональных данных: анализ практики и перспективы развития