Национальный центр защиты персональных данных Беларуси выявил необычное нарушение при проверке одного из операторов. Оператор назначил ответственным за внутренний контроль за обработкой персональных данных (DPO) сотрудника, который работал 4 минуты 48 секунд в день. Кроме того, этот сотрудник находился вне места нахождения нанимателя. Центр пришёл к выводу, что при таких условиях DPO объективно не мог эффективно выполнять свои обязанности. Проверка проводилась в рамках планового мониторинга соблюдения законодательства о персональных данных.
Что такое DPO и почему его работа важна
DPO (Data Protection Officer) — это специалист, отвечающий за контроль за обработкой персональных данных в организации. Его функции включают соблюдение требований закона, оценку рисков, консультирование работников, взаимодействие с регулятором. Для выполнения этих задач DPO должен обладать достаточным временем, ресурсами и доступом к информации. Работа в течение четырёх минут в день и отсутствие на рабочем месте делают такую деятельность невозможной. Закон Республики Беларусь «О защите персональных данных» обязывает операторов назначить DPO или создать структурное подразделение для внутреннего контроля.
Формальный подход и выявленные нарушения
Центр установил, что формальное назначение DPO стало одной из причин других серьёзных нарушений законодательства о персональных данных, которые допустил оператор. Ведомство подчеркнуло: назначение ответственного за внутренний контроль не должно быть «для галочки». Это реальный механизм, который помогает организации соблюдать закон и защищать данные людей. Оператор допустил ряд нарушений, включая неправомерную обработку данных и недостаточный контроль доступа. За такие нарушения предусмотрена административная ответственность.
В Беларуси все операторы персональных данных обязаны организовать внутренний контроль за обработкой. Это предполагает не только формальное назначение DPO, но и практическую работу: оценку процессов обработки, контроль доступа к данным, соблюдение правил хранения и уничтожения информации, реагирование на инциденты. DPO должен быть независимым и иметь полномочия влиять на процессы. Наличие эффективного DPO снижает риски утечек и помогает соблюдать права субъектов данных.
Рекомендации и дальнейшие меры
Центр напомнил операторам, что назначение DPO должно быть подкреплено реальными механизмами контроля. Организациям необходимо обеспечить специалисту условия для работы: достаточное время, рабочее место, доступ к данным. Игнорирование этих требований ведёт к системным нарушениям. Центр намерен продолжить проверки и привлекать нарушителей к ответственности. Операторам стоит пересмотреть подход к внутреннему контролю, чтобы избежать штрафов и обеспечить защиту персональных данных.







