К кому может прийти проверка по персональным данным в 2026 году
Национальный центр защиты персональных данных (НЦЗПД) уже составил план проверок на 2026 год. В него вошли 10 операторов, которые обрабатывают большой массив данных. Но, по словам Егора Каменко, остальным компаниям не стоит воспринимать этот перечень как сигнал, что их не затронет проверка со стороны НЦЗПД.
— К примеру, если вы уполномоченное лицо оператора из списка, центр вправе запросить у вас информацию в части соблюдения требований обработки персональных данных. Даже несмотря на то, что вы не указаны в плане, — предупреждает юрист. — Кроме того, не стоит забывать, что НЦЗПД вправе проводить и внеплановые проверки. Например, на основании жалобы.
Александра Третьяк обращает внимание, что регулирование отношений и установление зон ответственности между операторами и уполномоченными лицами вызывают много вопросов со стороны бизнеса. Некоторые компании до сих пор не понимают, в каком статусе они действуют в каждом конкретном бизнес-сценарии. А стремление к оперативному запуску проектов зачастую приводит к заключению соглашений без анализа мер, которые нужны для защиты персональных данных. Не согласовывают и критически важные условия обработки персональных данных.
— Из нашей практики можем отметить, что для минимизации рисков оператору и уполномоченному лицу недостаточно просто ограничиться подписанным соглашением, — уточняет старший юрист. — Необходимо обеспечить прозрачный, контролируемый и безопасный процесс обработки данных на всех этапах взаимодействия.
В итоге, считают юристы RÖDL Belarus, в 2026 году бизнесу придется доказать не только факт подписания договора, но и наличие реального контроля над цепочкой обработки персональных данных уполномоченным лицом. Хотя до сих пор у многих компаний нет четкого понимания, какие данные они обрабатывают, как их защищают и какие меры в принципе должны быть предприняты для соблюдения законодательства.
— Некоторые бизнесы относятся довольно формально к вопросу защиты персональных данных, — говорит Александра. — Но обработку персональных данных не следует рассматривать как формальность, препятствующую бизнес-процессам. Это чревато не только финансовыми последствиями в виде штрафов, но и утратой репутации компании — например, при утечке персональных данных.
С чего начать работу над ошибками
Александра Третьяк сравнивает обработку персональных данных с автомобилем: для комфортной и безопасной поездки необходимо, чтобы каждая деталь функционировала безупречно. Эффективное регулирование персональных данных также требует тщательного понимания всех процессов и настройки работы каждого элемента.
— Именно системный подход критически важен, — говорит старший юрист. — Начинать целесообразно с аудита всех процессов обработки данных. Это позволит выявить уязвимости и определить, какие меры необходимо принять для их устранения. Следующим шагом должна стать разработка локальных актов, регулирующих процесс обработки персональных данных. В частности, политики в отношении обработки персональных данных. После этого нужно ознакомить сотрудников с указанными документами и разъяснить ключевые аспекты по работе с персональных данными, учитывая особенности функций, исполняемых каждым сотрудником.
Юристы RÖDL Belarus подчеркивают: обучение сотрудников — это важный элемент, который помогает формировать культуру соблюдения норм защиты данных внутри компании.
Но это лишь некоторые этапы, которые следует учитывать. Важно также наладить взаимодействие с операторами (уполномоченными лицами) и регулярно сверяться, соответствует ли процесс обработки законодательству. При этом стоит понимать, что защита данных — это не разовый проект, а непрерывный процесс, интегрированный в бизнес. Компании, которые воспримут это как часть корпоративной культуры и конкурентного преимущества, будут в выигрыше.
Что нужно учитывать при работе с ИИ
Влияние новых технологий на сферу защиты персональных данных в Беларуси сегодня можно охарактеризовать как «двойственное», говорит Егор Каменко. С одной стороны, внедрение современных цифровых решений существенно повышает эффективность уже существующих механизмов защиты данных, но с другой — эти же технологии формируют новые риски и порождают дополнительные вызовы.
— Особого внимания здесь заслуживает использование искусственного интеллекта, — подчеркивает юрист. — Все больше компаний внедряют данную технологию в свои бизнес-процессы, что не удивительно: ИИ позволяет автоматизировать рутинную работу, эффективно анализировать и систематизировать большие объемы данных, а также значительно повышает скорость принятия решений. Вместе с тем расширение возможностей неизбежно сопровождается новыми угрозами, связанными с чрезмерной обработкой персональных данных. По этой причине ответственное применение ИИ сотрудниками становится не просто формальным требованием, а важным элементом корпоративной культуры.
Юристы советуют компаниям сосредоточиться на обучении работников, применяющих ИИ в своей деятельности. Важно, чтобы они понимали не только технические возможности технологии, но и связанные с ней этические и правовые ограничения. Такой подход позволит снизить риски и обеспечить надежную защиту персональных данных.
Какие персональные данные требуют особого внимания
Нарушения в обработке специальных персональных данных могут причинить серьезный вред человеку, в связи с чем их защите принято уделять особое внимание, подчеркивает Егор Каменко.
В первую очередь к таким данным принято относить информацию о здоровье, национальной принадлежности, политических взглядах, а также биометрические и генетические данные.
— Отдельно стоит подчеркнуть особую чувствительность биометрических данных, — обращает внимание юрист. — В случае их незаконного распространения человек фактически лишается возможности защитить себя привычными способами, поскольку биометрические характеристики невозможно изменить. Именно поэтому работа с такими данными требует максимальной осторожности, надежного шифрования и продуманной системы контроля.
Как юристы помогут бизнесу улучшить защиту персональных данных
— Мы предлагаем нашим клиентам комплексную поддержку бизнеса, — объясняет Александра Третьяк. — В рамках сотрудничества мы проводим аудит существующих процессов обработки персональных данных, выявляем риски и зоны несоответствия требованиям законодательства, а также предоставляем юридические консультации и помогаем выстроить систему управления рисками при работе с уполномоченными лицами. Разрабатываем полный пакет локальных правовых актов с учетом специфики компании и сопровождаем их «внедрение». Кроме того, мы разъясняем работникам наших клиентов ключевые требования законодательства и практические аспекты безопасной и правильной обработки данных.
Как международная компания, мы предлагаем своим клиентам интегрированный подход, который выходит за рамки белорусской юрисдикции. Наша география — это единая сеть собственных офисов, которая объединяет возможности коллег из любой страны для решения ваших задач.
RÖDL — немецкая международная консалтинговая компания, которой принадлежат 117 офисов в 50 странах мира и объединяет более 6 тыс. профессионалов. Благодаря такой структуре клиенты компании получают поддержку, основанную на знаниях специалистов из разных стран, что особенно важно при организации обработки персональных данных в трансграничных проектах. RÖDL присутствует в Беларуси с 2007 года.
Убедитесь, что ваши бизнес-процессы соответствуют законодательству. Юристы подготовили чек-лист, который поможет выявить слабые места. Для получения напишите на электронную почту: aliaksandra.tratsiak@roedl.com или egor.kamenko@roedl.com.
Фото: Envato Elements
Партнерский материал
