Назначение ответственного за обработку персональных данных

Что такое внутренний контроль за обработкой персональных данных и зачем он бизнесу?

Персональные данные — это любые сведения, относящиеся к прямо или косвенно определённому физическому лицу. Их обработка в Беларуси строго регламентируется Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее — Закон). Под внутренним контролем понимается совокупность процедур, направленных на обеспечение соблюдения оператором и иными уполномоченными лицами требований законодательства о защите персональных данных, включая выявление нарушений и их предотвращение.

Начиная с 15 ноября 2021 года, назначение лица, ответственного за осуществление внутреннего контроля за соблюдением требований законодательства о защите персональных данных, является обязательным для всех операторов (п. 3 ст. 17 Закона). Это требование касается как государственных учреждений, так и частных компаний, независимо от масштаба их деятельности.

Почему вопрос назначения ответственного лица (DPO) стал критическим для бизнеса?

Многие компании в Беларуси воспринимают назначение ответственного как формальность. Однако за таким отношением скрываются серьёзные правовые и финансовые риски. В последнее время усилился контроль со стороны уполномоченного органа — Национального центра защиты персональных данных (НЦЗПД), который активно проверяет исполнение требований ст. 17 Закона и оценивает, действительно ли назначенное лицо способно выполнять функции внутреннего контроля. Нарушения выявляются даже в крупных компаниях.

Если бизнес не уделяет должного внимания подбору и обучению DPO, это может повлечь за собой административную ответственность по ст. 23.7 КоАП, а при наличии ущерба — гражданско-правовую и даже уголовную ответственность. Практика показывает, что формальный подход — путь к штрафам, искам и утрате репутации.

Кто может быть назначен ответственным за обработку персональных данных?

Законодательство не предъявляет исчерпывающего перечня требований к квалификации ответственного лица. Однако, согласно позиции НЦЗПД и обобщённой судебной практике, такое лицо должно:

• обладать достаточными знаниями законодательства о защите персональных данных;
• быть организационно независимым от лиц, принимающих решения об обработке данных;
• иметь возможность влиять на внутренние процессы, связанные с персональными данными.

Интересно, что в некоторых компаниях DPO назначается по совместительству — например, руководитель службы безопасности, юрист или ИТ-специалист. Однако при таком подходе возникает конфликт интересов: лицо, принимающее решения об обработке, не может одновременно контролировать их законность.

Какие ошибки чаще всего допускают организации при назначении DPO?

По обобщённой информации НЦЗПД и результатам рассмотрения дел в экономических судах, можно выделить ряд типичных нарушений:

Во-первых, DPO не наделяется достаточными полномочиями. Назначенное лицо часто не имеет доступа к необходимой информации, не участвует в обсуждении новых ИТ-сервисов и не получает регулярных отчётов. Фактически, оно «висит» в должностной структуре, не влияя на процессы. Это нарушает принципы превентивного контроля.

Во-вторых, отсутствует документальное закрепление функций и ответственности DPO. Руководство компании ограничивается только приказом о назначении, не разработав соответствующие положения, инструкции, алгоритмы действий и отчётности.

В-третьих, игнорируется обучение и регулярное повышение квалификации. Ответственное лицо не ориентируется в практике надзорного органа, не отслеживает изменения в законодательстве, что приводит к ошибкам при реагировании на инциденты.

Наконец, нарушение конфиденциальности и формальный подход при проведении внутренних проверок — отдельная боль для бизнеса. Нередки случаи, когда DPO сам становился объектом жалобы за разглашение персональных данных в ходе расследования инцидента.

Как правильно выстроить систему внутреннего контроля?

Организация внутреннего контроля — не разовая задача, а система мер, требующих постоянного обновления. Оптимально внедрить циклический механизм действий DPO, включающий:

1. Регулярную проверку соответствия обработки персональных данных актуальному законодательству
2. Мониторинг изменений в нормативных актах и практике НЦЗПД
3. Ведение документации, включая журнал инцидентов, отчёты о проверках, акты анализа рисков
4. Обучение персонала и аудит информационных систем.

Какие юридические последствия может повлечь неэффективная работа DPO?

Согласно разъяснениям судов, недостаточная эффективность внутреннего контроля не освобождает оператора от ответственности за нарушение законодательства о персональных данных. Если инцидент произошёл, но DPO не принял должных мер — это расценивается как ненадлежащее выполнение обязанностей, за которое работодатель несёт гражданско-правовую или административную ответственность.

Примером может служить дело, рассмотренное в экономическом суде, где компания, не обеспечившая корректную реакцию DPO на жалобу субъекта персональных данных, была привлечена к ответственности и обязана компенсировать моральный вред. Суд отметил, что "функция контроля не может быть возложена на лицо, не способное обеспечить объективную оценку происходящего".

Что говорит судебная практика в Беларуси?

Судебные органы всё чаще анализируют не только факты нарушения, но и обстоятельства, свидетельствующие о системных сбоях в организации контроля. В одном из дел экономический суд установил, что назначенный DPO вообще не знал о наличии жалобы субъекта персональных данных — документы поступали исключительно в бухгалтерию, что свидетельствовало об отсутствии надлежащих регламентов взаимодействия. Такое дело становится прецедентом: суд признал компанию виновной в нарушении принципа законности обработки.

По материалам НЦЗПД, с 2022 года возросло количество предписаний об устранении нарушений, направленных именно в адрес DPO — в случае, если ответственность не была должным образом реализована. Это указывает на сдвиг в восприятии роли DPO: от номинальной фигуры — к ключевому звену в системе соблюдения закона.

Почему игнорирование назначения DPO — путь к финансовым потерям?

Малоизвестный факт: штраф за отсутствие ответственного за обработку персональных данных может быть наложен даже в случае, если утечка данных не произошла. Контролирующий орган оценивает потенциал нарушения — если в компании не определено лицо, ответственное за контроль, уже сам по себе этот факт является риском.

По данным Европейского агентства по защите данных, аналогичная практика действует и в ЕС: отсутствие DPO в обязательных случаях расценивается как серьёзное нарушение.

В Беларуси подход аналогичен: по данным с сайта НЦЗПД, по итогам 2023 года было составлено более 70 протоколов об административных правонарушениях, связанных с ненадлежащей организацией контроля за защитой персональных данных. В 12 из них имели место последствия в виде компенсаций субъектам данных.

Какую практическую рекомендацию можно дать бизнесу?

Назначение DPO — это не просто выполнение формального требования, а стратегическое решение, повышающее юридическую безопасность бизнеса. При выборе ответственного лица следует исходить не из занимаемой должности, а из способности понимать риски, анализировать процессы и влиять на них. Не менее важно закрепить внутренние процедуры: порядок реагирования на жалобы, алгоритмы взаимодействия с ИТ-подразделением, отчётность и обучение.

Компании также следует предусмотреть возможность внешнего аудита или консультационного сопровождения по вопросам обработки персональных данных — это особенно важно для бизнеса с международными партнёрами.

Почему белорусским компаниям стоит доверить сопровождение экспертам?

Как показывает практика, бизнес часто не располагает ресурсами для создания устойчивой модели внутреннего контроля. В этом случае эффективным решением становится обращение к профессиональным юридическим компаниям. Например, команда юристов ООО «Экономические споры» успешно консультирует по вопросам защиты персональных данных, выстраивает внутренние процедуры, сопровождает проверки НЦЗПД.

Юристы компании обладают 15–25-летним опытом, специализируются в разных правовых сферах и понимают, как перевести формальные требования законодательства в реальные процедуры. У ООО «Экономических споров» — более 1500 клиентов, которым удалось вернуть или сэкономить свыше 1,7 млрд рублей. Команда работает в Минске, Гродно, говорит на английском и польском языках, сотрудничает с партнёрами в 40+ странах, включая Польшу, Китай, США и ЮАР. Офисы расположены в Минске (ул. Кульман, 11) и Гродно (ул. Калючинская, 23).

Где получить консультацию по вопросам назначения ответственного?

Если ваша компания сталкивается с вопросами назначения DPO, организации внутреннего контроля или проходит проверку НЦЗПД — не откладывайте. Специалисты ООО «Экономические споры» помогут вам разработать внутренние регламенты, провести аудит, подготовить должностные инструкции и обеспечить полное соответствие Закону. Оставьте заявку на сайте и наши эксперты свяжутся с вами.