Типичные нарушения при обработке персональных данных в РБ

Что такое персональные данные и почему важно соблюдать правила их обработки?

Персональные данные — это любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Закон Республики Беларусь от 7 мая 2021 года № 99-З «О защите персональных данных» определяет, что персональные данные включают ФИО, паспортные данные, адрес проживания, контактную информацию, сведения о доходах, медицинскую информацию и другие данные, позволяющие идентифицировать человека.

Обработка персональных данных — это любое действие с ними: сбор, хранение, систематизация, использование, распространение, обезличивание, уничтожение и др. Нарушение установленного порядка может повлечь административную ответственность по ст. 23.7 КоАП РБ, а в отдельных случаях и дисциплинарные меры в отношении работников.

Почему в трудовых отношениях возникает наибольшее количество нарушений?

Практика показывает, что основная масса нарушений при работе с персональными данными возникает именно в сфере трудовых отношений. Работодатели зачастую либо недооценивают риски, либо формально подходят к исполнению обязанностей. Как отмечается в материалах Национального центра защиты персональных данных, наиболее уязвимыми являются кадровые службы, бухгалтерия и IT-отделы.

Типичная ошибка — назначение ответственного за контроль за обработкой персональных данных "для галочки". Например, кадровый специалист, который и сам постоянно работает с персональными данными, не может качественно контролировать соблюдение всех требований закона (п. 3 ст. 17 Закона № 99-З). Не менее распространено издание "формальных" политик без отражения реальных процессов или копирование текстов с сайтов российских компаний.

Каковы самые распространённые нарушения?

Первое место среди нарушений занимает формальное исполнение обязанностей. Организации разрабатывают политику конфиденциальности, не отражающую фактические процессы, или вовсе публикуют на сайте документ с чужим названием и ссылками на российское законодательство. Такое встречалось даже у крупных предприятий, что уже становилось основанием для внеплановых проверок со стороны НЦЗПД.

Второе типичное нарушение — отсутствие обучения персонала. Как показывает анализ проверок, многие сотрудники не знают, каковы пределы использования персональных данных, путают согласие с законным основанием и не ведут учёта сроков хранения информации.

Что насчёт согласий работников и кандидатов?

Согласие на обработку персональных данных — это не универсальный инструмент! Закон прямо указывает, что согласие требуется лишь в случаях, когда иное основание отсутствует (ст. 6 Закона № 99-З). Например, согласие на обработку персональных данных при приёме на работу брать не нужно, если эти данные необходимы для заключения трудового договора.

Тем не менее, работодатели продолжают брать с работников обязательства о неразглашении данных, оформлять согласия на всё подряд, не указывая цели и сроков. Это приводит к избыточной обработке, за что предусмотрена ответственность. Согласно ст. 4 Закона, избыточная обработка нарушает принцип минимизации.

Какие ещё риски есть у работодателя?

• Хранение данных кандидатов, не принятых на работу, более одного года (п. 680 Перечня от 24.05.2012 № 140 Минюста)
• Установление видеонаблюдения в офисе без специфических оснований (ст. 4 Закона о персональных данных)
• Включение в справочник номеров личных мобильных телефонов без согласия работника
• Доступ профсоюза к ИТ-системам нанимателя с персональными данными работников без правового основания.

Почему большинство нарушений остаётся незамеченным?

Одна из причин — уверенность в том, что "ничего страшного не случится". Однако всё чаще к юристам компании "Экономические споры" обращаются клиенты, столкнувшиеся с жалобами работников, проверками НЦЗПД и необходимостью срочно приводить локальные документы в соответствие с законом. Даже случайное письмо с ФИО и номером телефона, отправленное не тому адресату, может рассматриваться как утечка персональных данных.

Какие меры помогут снизить риски?

Важно не только разработать и утвердить политику обработки персональных данных, но и адаптировать её под реальную структуру компании. Рекомендуется регулярно обучать персонал, в том числе по программам, утверждённым НЦЗПД, и документировать такие мероприятия. Следует пересмотреть договоры с подрядчиками, определить объём обрабатываемых данных и основания для этого.

Малоизвестный факт: согласно позиции НЦЗПД, даже указание информации о дате рождения работника в корпоративной рассылке с поздравлением требует его согласия, поскольку это не связано с выполнением трудовой функции и попадает под действие закона.

Что делать, если нарушение уже произошло?

При получении жалобы или выявлении ошибки стоит оперативно проанализировать инцидент, исключить его повторение, уведомить уполномоченные органы (если требуется) и внести корректировки в процедуры. Игнорирование проблемы может привести к проверке, предписанию и даже штрафу.

Почему стоит обратиться за консультацией именно к нам?

Юридическая компания "Экономические споры" имеет более 5 лет опыта в защите интересов бизнеса в сложных юридических ситуациях. Наши юристы обладают специализациями в различных отраслях, от трудового права до защиты данных. Мы успешно сопровождали клиентов в спорах с госорганами, вернули и сэкономили более 1,7 млрд рублей, помогли более 1500 компаниям избежать или минимизировать юридические риски.

Наши преимущества:

• судебная практика более чем по 1200 делам;
• офисы в Минске (ул. Кульман, 11) и Гродно (ул. Калючинская, 23);
• юридическая поддержка на русском, английском и польском языках.

Если вы хотите избежать штрафов и обеспечить полное соответствие закону, обращайтесь за консультацией на нашем сайте. Мы знаем, как защитить ваши интересы и персональные данные ваших сотрудников.