Как следует из Отчета Национального центра защиты персональных данных, в 2025 году нарушения, связанные с ненадлежащим поручением обработки персональных данных (ПД) уполномоченным лицам, выявлялись при проведении практически каждой проверки.
Одно из нарушений – к обработке ПД привлекаются уполномоченные лица без оценки предоставленных ими гарантий принятия правовых, организационных и технических мер для обеспечения защиты ПД в соответствии с требованиями Закона.
При этом в самом Законе не содержится требований о проведении какой-либо оценки либо критериев ее проведения.
Как же ее проводить?
Делимся некоторыми инсайтами от наших клиентов, которые успешно прошли проверки регулятора!
Оценка включает в себя следующие элементы:
- До заключения договора с уполномоченным лицом оценивается действительность соблюдения им требований ст. 17 Закона. Возможна разработка соответствующего опросника-анкеты.
- Дополнительно возможно проверить соблюдение привлекаемым лицом требований Указа № 422.
- Контрагент должен быть готов включить в договор положения, требуемые на основании ст. 7 Закона. Особое внимание следует уделить ситуации, когда ваш партнер отрицает, что им осуществляется обработка ПД, указывает на неприменимость соответствующих требований законодательства (что косвенно говорит о том, что он не будет применять к ПД должные меры защиты).
- В случаях, требующих особого внимания (обработка наиболее чувствительных ПД), – убедиться, что реальная ситуация соответствует заявленной (например, с помощью технических специалистов проверить, что сервер, на котором будут храниться данные, действительно находится на территории Беларуси, а не размещен в «небезопасной» юрисдикции).
В любом случае необходимо учитывать, что передача обработки уполномоченному лицу не освобождает от рисков. По Закону ответственность перед субъектом персональных данных за действия уполномоченного лица несет именно оператор.
