Ошибки при разработке Политики и Реестра обработки персональных данных в РБ

Правильная и юридически выверенная Политика в отношении обработки персональных данных (далее — Политика), равно как и актуальный Реестр обработки персональных данных, давно стали обязательными инструментами не только для крупных предприятий, но и для малого и среднего бизнеса в Беларуси. Законодатель Республики Беларусь требует не просто формального наличия таких документов, а их соответствия конкретным требованиям Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон). Однако практика показывает: большинство организаций, даже добросовестно исполняя предписания закона, совершают грубые или малозаметные, но критичные ошибки.

Почему Политика и Реестр — не просто «бумаги для проверки»?

Политика — это официальный локальный акт, который регулирует, как именно организация собирает, обрабатывает, хранит, использует и уничтожает персональные данные физических лиц. Реестр — это своего рода «дневник» обработки данных, в который заносятся сведения обо всех процессах, связанных с персональной информацией, включая основания, цели и объемы обработки.

Персональные данные — это любая информация, позволяющая прямо или косвенно идентифицировать человека (ст. 1 Закона). Это не только паспортные данные, но и, например, номер телефона, email, геолокация или даже IP-адрес, если они позволяют определить личность. Организация, выступающая оператором персональных данных, обязана обеспечить их защиту и доказать соблюдение принципов законности, добросовестности и соразмерности при их обработке.

Какие проблемы чаще всего возникают при составлении Политики?

Одна из самых распространенных ошибок — механическое копирование чужого документа. На первый взгляд это может показаться быстрым и эффективным способом соблюсти формальности. Однако подобная «универсальная» Политика, как правило, не отражает реальных процессов в конкретной организации, нарушая требование статьи 17 Закона о полноте и прозрачности информации, предоставляемой субъектам данных.

Также многие забывают, что Политика должна быть доступна для ознакомления — в том числе размещена в сети Интернет, если оператор осуществляет сбор данных через сайт. Невыполнение этой обязанности может быть квалифицировано как препятствие реализации прав субъектов данных, что влечет ответственность.

Кроме того, в текст Политики нередко включаются юридически некорректные формулировки. Например, встречаются утверждения вроде «пользователь соглашается на обработку персональных данных, продолжая пользоваться сайтом». Однако это не соответствует требованиям статьи 6 Закона, определяющей, что согласие должно быть выражено однозначным действием, предполагающим осведомленность и добровольность.

Что не так с Реестром обработки персональных данных?

Реестр — это документ, который фиксирует действия оператора в отношении персональных данных. Часто встречающаяся ошибка — составление Реестра как статического документа, который не подлежит пересмотру. На практике процессы обработки персональных данных регулярно меняются: появляются новые контрагенты, внедряются ИТ-системы, изменяются цели обработки. В таких условиях оставление Реестра «без движения» является прямым нарушением обязанности актуализировать его содержание.

Кроме того, операторы часто не описывают в Реестре все категории субъектов персональных данных или ограничиваются минимальной информацией. Однако Реестр должен отражать все этапы обработки, включая передачу данных третьим лицам, меры безопасности, сроки хранения и категории обрабатываемых данных. Умолчание этих сведений при проверке будет расценено как нарушение.

Что говорит практика проверок?

Национальный центр защиты персональных данных (НЦЗПД), уполномоченный надзорный орган в Беларуси, при проведении проверок чаще всего фиксирует следующие виды нарушений: отсутствие полной информации о целях обработки, неуказание лиц, имеющих доступ к данным, и недостаточные меры безопасности. Все эти недочеты прямо коррелируют с содержанием Политики и Реестра.

Интересным является кейс одной компании, которая подготовила Политику с указанием всех обязательных сведений, но не конкретизировала технические и организационные меры защиты. В результате проверяющие сочли документ формальным. Организация получила предписание об устранении нарушений и внеплановую проверку спустя три месяца.

Почему важно корректно структурировать Политику?

Документ должен быть не просто подробным, но и логичным. Он должен содержать отдельные разделы о целях обработки, категориях данных, основаниях, правах субъектов и порядке их реализации, хранении и уничтожении, а также о передаче третьим лицам и трансграничной передаче. Нарушение структуры может повлечь невозможность ориентироваться в документе, как для самого оператора, так и для субъекта персональных данных, что противоречит принципу доступности информации.

Кроме того, необходимо соблюсти терминологическую точность. Например, понятия «обработка» и «использование» не являются тождественными, а «оператор» — это не просто владелец сайта, а юридическое или физическое лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.

Что часто забывают указать в документах?

Малоизвестный, но важный нюанс: многие компании не указывают в Политике сведения об осуществлении видеонаблюдения на территории офиса, хотя при этом обрабатываются изображения лиц. Это квалифицируется как биометрические персональные данные, требующие особого порядка обработки.

Также компании редко отражают в Реестре сведения об инструктаже и обучении сотрудников по вопросам защиты персональных данных. Между тем, это одна из обязательных мер по обеспечению безопасности.

Что делать, если документы уже составлены, но есть сомнения?

Практический совет: если вы сомневаетесь в корректности или актуальности своей Политики и Реестра, лучше провести внутренний аудит с участием внешнего юриста или специалиста по защите данных. Такой подход позволит обнаружить пробелы, несоответствия требованиям законодательства и устранить их до начала или в процессе проверки. Актуализация документов должна проводиться не реже одного раза в год либо при каждом значительном изменении в системе обработки персональных данных.

Что важно учесть при подготовке этих документов?

Политика и Реестр — не формальность, а инструменты правовой защиты оператора. Правильная подготовка этих документов может обезопасить бизнес не только от штрафов, но и от претензий со стороны клиентов и сотрудников. В случае конфликта, именно эти документы будут первым доказательством законности действий компании.

Заключение: почему стоит доверить это профессионалам?

В условиях быстрого развития цифровых технологий и роста регуляторного давления к вопросам защиты персональных данных необходимо относиться со всей серьезностью. Даже добросовестно составленные, но юридически неграмотные документы могут создать бизнесу серьезные проблемы. Помочь избежать ошибок и адаптировать Политику и Реестр под вашу конкретную деятельность смогут только юристы с глубоким знанием не только законодательства, но и правоприменительной практики.

Компания «Экономические споры» обладает уникальным сочетанием экспертизы и практического опыта в этой сфере. Наши юристы имеют 15–25 лет стажа, специализируются на разных областях права. У нас более 1500 клиентов, для которых мы вернули или сэкономили более 1,7 млрд рублей. Наши офисы находятся в Минске и Гродно, и мы свободно работаем на английском и польском языках.

Если вы хотите избежать ошибок при разработке или актуализации Политики и Реестра обработки персональных данных, оставьте заявку на нашем сайте — и мы найдём для вас индивидуальное решение.