В Беларуси ведется работа над законодательным совершенствованием вопросов ответственности за нарушения прав граждан при обработке их персональных данных. Об этом рассказал директор Национального центра защиты персональных данных (НЦЗПД) Андрей Гаев во время конференции, приуроченной к Международному дню защиты персональных данных.
В Беларуси более двух лет действует Закон «О защите персональных данных». С 1 января 2024 г. функционирует государственный реестр операторов ПД.
Бизнес со своей стороны принял соответствующие локальные нормативные акты, в штате компаний появились сотрудники, курирующие вопросы защиты персональных данных.
В то же время фиксируются масштабные утечки персональных данных. НЦЗПД выявляет случаи игнорирования компаниями законодательства о защите персональных данных.
Андрей Гаев на конференции сообщил, что центр будет выходить с инициативой по наделению своих сотрудников правом на составление протоколов об административной ответственности в сфере персональных данных без участия правоохранительных органов.
– Сегодня центр не имеет полномочий на составление протоколов и вынужден в этих ситуациях обращаться в органы внутренних дел. У них масса задач, и для них данное направление не является профильным. Мы видим, что наделение центра этим правом позволит повысить эффективность в такой работе, – пояснил он.
Кроме того, ведется работа над усилением санкций за несоблюдение мер обеспечения защиты персональных данных. Сейчас максимальный размер штрафа составляет 50 базовых величин (2000 белорусских рублей) для юридических лиц.
– Размер штрафа сегодня ничтожен по сравнению с теми затратами, которые надо понести, чтобы организовать защиту персональных данных на должном уровне. Ряд организаций считают, что им проще откупиться штрафом от выполнения положенных мер, – сказал Гаев.
Директор НЦЗПД отметил, что тенденция по увеличению штрафных санкций характерна для многих государств. В качестве примера он привел Россию. В конце 2023 г. Госдума приняла закон об ужесточении санкций за нарушения в области обработки персональных данных, который в том числе вводит штраф до 1,5 млн российских рублей за повторное нарушение для юридических лиц. А на днях были одобрены поправки в законодательство РФ, расширяющие размер наказания за инциденты с персональными данными. В частности, если утечка коснется от 1 тыс. до 10 тыс. субъектов, то штраф для юрлиц составит от 3 до 5 млн российских рублей; от 10 тыс. до 100 тыс. субъектов – от 5 до 10 млн российских рублей; более 100 тыс. – от 10 до 15 млн российских рублей. За повторные утечки предлагаются оборотные штрафы – от 0,1% до 3% выручки за календарный год или за часть текущего года, не менее 15 млн российских рублей и не более 500 млн российских рублей.
В НЦЗПД также видят «нереализованный потенциал» применения ст. 203-2 УК, которая предусматривает ответственность за несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных.
Наряду с этим госорганы намерены совершенствовать механизм блокирования доступа к интернет-ресурсам, незаконно распространяющим персональные данные.
Среди других инициатив Андрей Гаев рассказал о подготовке проекта указа, усиливающего требования к локализации обработки персональных данных в отношении чувствительной информации. Речь идет о банковской, врачебной и адвокатской и иных отдельных охраняемых законом тайнах, биометрических и генетических данных, персональных данных несовершеннолетних.
В презентации НЦЗПД говорится, что «положения проекта указа призваны способствовать исключению переноса обработки чувствительной личной информации на территорию иностранных государств и повышению защиты прав граждан, а также развитию собственного рынка хостинг-услуг».
