Национальный центр защиты персональных данных в 2023 г. провел 13 плановых, 7 внеплановых и 18 камеральных проверок, связанных с соблюдением законодательства о защите персональный данных. Об этом рассказал журналистам начальник управления контроля и аудита Центра Владимир Кузуро во время пресс-конференции.
«В 10 случаях камеральных проверок поводом для их проведения стали жалобы субъектов персональных данных, в 6 – поступившие от операторов уведомления о нарушении системы защиты информации», – цитирует его БЕЛТА.
По словам В.Кузуро, типичные нарушения, которые выявляются в ходе проведения проверок, связаны с нереализацией либо недостаточно эффективной реализацией обязательных мер, предусмотренных ст. 17 Закона Республики Беларусь «О защите персональных данных».
В большинстве проверенных организаций, даже при условии назначения должностных лиц, ответственных за контроль за обработкой персональных данных, такой контроль не осуществлялся. Во многих организациях отсутствует план и результат контрольных мероприятий.
В числе недостатков – формальное возложение обязанности по контролю на одного из работников, который не имеет объективной возможности выполнять контрольные функции, поскольку у него уже есть другие важные обязанности, а также формальный подход к изданию документов, определяющих политику операторов в отношении обработки персональных данных.
Часто организации заимствуют эти документы из доступных источников без учета специфики работы конкретной организации.
В.Кузуро подчеркнул, что все документы должны быть написаны простым, понятным для клиентов или пользователей языком, а также отметил, что многие операторы используют неэффективный способ ознакомления работников с законодательством и документами, которые определяют политику оператора в отношении обработки персональных данных.
Среди других нарушений – отсутствие обучения для специалистов, предоставление работнику доступа к персональным данным, которые не являются необходимыми для его деятельности, распространение данных без согласия физических лиц, куда входят звонки и рассылка рекламных уведомлений, несоблюдение требования законодательства при передаче операторами персональных данных уполномоченным лицам и несоблюдение свободного характера получения согласия на обработку этих данных.