Наццентр персональных данных обнаружил DPO с рабочим днём менее пяти минут

Финансы

Национальный центр защиты персональных данных Беларуси выявил необычное нарушение при проверке одного из операторов. Оператор назначил ответственным за внутренний контроль за обработкой персональных данных (DPO) сотрудника, который работал 4 минуты 48 секунд в день. Кроме того, этот сотрудник находился вне места нахождения нанимателя. Центр пришёл к выводу, что при таких условиях DPO объективно не мог эффективно выполнять свои обязанности. Проверка проводилась в рамках планового мониторинга соблюдения законодательства о персональных данных.

Что такое DPO и почему его работа важна

DPO (Data Protection Officer) — это специалист, отвечающий за контроль за обработкой персональных данных в организации. Его функции включают соблюдение требований закона, оценку рисков, консультирование работников, взаимодействие с регулятором. Для выполнения этих задач DPO должен обладать достаточным временем, ресурсами и доступом к информации. Работа в течение четырёх минут в день и отсутствие на рабочем месте делают такую деятельность невозможной. Закон Республики Беларусь «О защите персональных данных» обязывает операторов назначить DPO или создать структурное подразделение для внутреннего контроля.

Формальный подход и выявленные нарушения

Центр установил, что формальное назначение DPO стало одной из причин других серьёзных нарушений законодательства о персональных данных, которые допустил оператор. Ведомство подчеркнуло: назначение ответственного за внутренний контроль не должно быть «для галочки». Это реальный механизм, который помогает организации соблюдать закон и защищать данные людей. Оператор допустил ряд нарушений, включая неправомерную обработку данных и недостаточный контроль доступа. За такие нарушения предусмотрена административная ответственность.

В Беларуси все операторы персональных данных обязаны организовать внутренний контроль за обработкой. Это предполагает не только формальное назначение DPO, но и практическую работу: оценку процессов обработки, контроль доступа к данным, соблюдение правил хранения и уничтожения информации, реагирование на инциденты. DPO должен быть независимым и иметь полномочия влиять на процессы. Наличие эффективного DPO снижает риски утечек и помогает соблюдать права субъектов данных.

Рекомендации и дальнейшие меры

Центр напомнил операторам, что назначение DPO должно быть подкреплено реальными механизмами контроля. Организациям необходимо обеспечить специалисту условия для работы: достаточное время, рабочее место, доступ к данным. Игнорирование этих требований ведёт к системным нарушениям. Центр намерен продолжить проверки и привлекать нарушителей к ответственности. Операторам стоит пересмотреть подход к внутреннему контролю, чтобы избежать штрафов и обеспечить защиту персональных данных.

Оцените статью
DABRABYT.BY