Содержание:
В соответствии с абз. 2 п. 3 ст. 18 Закона и абз. 2 п. 7 Положения о Национальном центре защиты персональных данных, утвержденного Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» (далее — Положение), Центр осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами).
Главой 4 Положения определены следующие формы осуществления контроля:
1) плановые проверки;
2) внеплановые проверки;
3) камеральные проверки.
Важно.
Указ Президента Республики Беларусь от 16.10.2009 № 510 «О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь» не распространяется на осуществление контрольной деятельности Центра.
Плановые проверки
Плановые проверки проводятся в соответствии с планом проверок соблюдения законодательства о персональных данных, ежегодно утверждаемым директором Центра и размещаемым на официальном интернет-сайте Центра (www.cpd.by) не позднее 30 декабря года, предшествующего году проведения проверки. Как правило, операторам (уполномоченным лицам), включенным в план проверок, с целью их дополнительного информирования также направляются уведомления о проведении плановой проверки.
Справочно.
В 2023 г. в план проверок были включены 13 операторов, в 2022 г. — 6 операторов. В план проверок соблюдения законодательства о персональных данных на 2024 г. включены 11 операторов.
Для проведения плановой проверки директором Центра формируется комиссия по проверке и выдается предписание на ее проведение. В предписании на проведение проверки указываются:
- наименование оператора (уполномоченного лица);
- вид проверки;
- дата начала проверки;
- срок ее проведения;
- состав комиссии;
- состав вопросов, подлежащих проверке.
Не позднее 10 рабочих дней до начала проведения плановой проверки оператору (уполномоченному лицу) направляется письменное уведомление, содержащее сведения:
- о дате начала проверки;
- сроках ее проведения;
- составе комиссии;
- вопросах, подлежащих проверке.
Таким образом, до начала плановой проверки оператор (уполномоченное лицо) неоднократно уведомляется о ее проведении:
- размещение плана проверок на интернет-сайте Центра — не позднее 30 декабря года, предшествующего году проведения проверки;
- направление по инициативе Центра уведомления о включении в план проверок (указывается месяц проведения проверки) — начало календарного года, в котором запланировано проведение плановой проверки;
- направление уведомления о назначении плановой проверки (указывается конкретная дата начала проверки) — не позднее 10 рабочих дней до начала проверки;
- вручение предписания на проведение проверки — в первый день проверки.
Срок проведения плановой проверки не может превышать 20 рабочих дней. При этом указанный срок может быть продлен директором Центра не более чем на 10 рабочих дней.
Внеплановые проверки
Внеплановые проверки проводятся без включения в соответствующий план проверок. В отличие от плановых проверок при внеплановых проверках не требуется заблаговременное уведомление оператора (уполномоченного лица) и сохраняется только последний уведомительный этап (вручение предписания на проведение проверки непосредственно в день проверки).
Справочно.
В 2023 и 2022 гг. Центром проведено по 7 внеплановых проверок.
Внеплановые проверки могут назначаться при наличии сведений о нарушении требований законодательства о персональных данных, полученных в том числе:
- от организации или физического лица;
- в виде жалоб субъектов персональных данных.
Внеплановые проверки могут назначаться также в результате анализа информации, размещенной в средствах массовой информации и глобальной компьютерной сети Интернет.
Важно.
Анонимная информация не является основанием для назначения внеплановых проверок (п. 13 Положения).
Основанием для внеплановых проверок на практике, как правило, являются:
- ненаправление уведомления об «утечке» персональных данных при наличии у Центра информации о нарушении систем защиты персональных данных;
- длительное неисполнение рекомендаций, выданных по результатам проведения камеральной проверки;
- жалобы субъектов персональных данных.
Камеральные проверки
Камеральная проверка проводится без выдачи предписания на ее проведение и уведомления об этом оператора (уполномоченного лица). На практике большинство камеральных проверок проводятся в связи с рассмотрением жалоб субъектов персональных данных.
Справочно.
В 2023 г. Центром проведено 18 камеральных проверок, в 2022 г. — 37 проверок.
Камеральные проверки проводятся Центром по месту своего нахождения посредством изучения, анализа и оценки:
- информации, размещенной в средствах массовой информации и глобальной компьютерной сети Интернет;
- документов и иной информации, в том числе полученной от оператора (уполномоченного лица) по запросу Центра.
По общему правилу камеральная проверка начинается с направления оператору (уполномоченному лицу) запроса. При проведении камеральной проверки круг проверяемых вопросов обычно ограничен обстоятельствами жалобы. Вместе с тем в некоторых случаях при проведении камеральной проверки у оператора (уполномоченного лица) могут быть запрошены иные сведения (например, о реализации обязательных мер по обеспечению защиты персональных данных и т.п.).
По результатам камеральной проверки оператору (уполномоченному лицу) могут быть направлены рекомендации об устранении выявленных нарушений законодательства о персональных данных, в которых может быть установлен срок устранения выявленных нарушений и предложено письменно сообщить Центру об исполнении рекомендаций.
Кроме того, факт неисполнения рекомендаций или неинформирования Центра учитывается при принятии решения о назначении внеплановой проверки. В результате камеральная проверка по жалобе субъекта персональных данных может трансформироваться во внеплановую проверку.
Порядок проведения плановых и внеплановых проверок
Поскольку процедуры плановых и внеплановых проверок практически не отличаются, далее будет рассмотрен общий порядок их проведения.
Проверяемые вопросы при проведении плановой и внеплановой проверки
Деятельность каждой организации имеет свою специфику. Более того, в Законе заложен риск-ориентированный подход. Поэтому составить универсальный и исчерпывающий для всех операторов (уполномоченных лиц) перечень документов и вопросов, подлежащих проверке, не представляется возможным.
Вместе с тем вне зависимости от характера деятельности оператора (уполномоченного лица) в обязательном порядке проверяется:
- соблюдение обязательных мер по обеспечению защиты персональных данных (ст. 17 Закона и подп. 3.5 п. 3 Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»), их достаточность;
- соблюдение общих требований к обработке персональных данных (ст. 4 Закона);
- взаимодействие с уполномоченными лицами (ст. 7 Закона);
- реализация прав субъектов персональных данных;
- обработка персональных данных в информационных ресурсах (системах) и т.п.
В этой связи в ходе плановой или внеплановой проверки оцениваются меры, принятые оператором (уполномоченным лицом) для обеспечения защиты персональных данных, а также их достаточность для защиты персональных данных.
Права проверяющих
Согласно п. 18 Положения проверяющие вправе требовать от оператора (уполномоченного лица):
- представления документов (их копий) и (или) сведений, связанных с обработкой персональных данных. Если такие документы находятся не в месте проверки (например, в филиале организации, находящемся в другом городе), они должны быть представлены не позднее следующего рабочего дня со дня предъявления соответствующего требования;
- обеспечения доступа в помещения, в которых осуществляется обработка персональных данных (например, в серверные помещения), и к программно-техническим средствам, с помощью которых осуществляется такая обработка (например, к рабочим компьютерам, мобильным телефонам, в том числе программному обеспечению, установленному на них). При невозможности (затруднительности) исследования указанных программно-технических средств на месте по решению директора Центра они могут изыматься на срок, не превышающий срока проведения проверки.
Документы, составляемые по результатам плановой и внеплановой проверки
По результатам плановой или внеплановой проверки в течение 10 рабочих дней со дня ее окончания составляется акт проверки.
В акте должны быть отражены:
- соответствие (несоответствие) принятых оператором (уполномоченным лицом) мер по обеспечению защиты персональных данных требованиям законодательства о персональных данных;
- экспертная оценка комиссией достаточности принятых оператором (уполномоченным лицом) мер для защиты персональных данных;
- выявленные нарушения законодательства о персональных данных либо вывод об отсутствии таких нарушений.
Если по результатам плановой или внеплановой проверки выявляются нарушения законодательства о персональных данных, то в течение 10 рабочих дней со дня окончания проверки Центр выносит письменное требование (предписание) об устранении выявленных нарушений с указанием конкретных сроков их устранения.
При этом Центром применяется преимущественно дифференцированный подход к установлению таких сроков. Соответствующий срок определяется исходя из характера выявленного нарушения в каждом конкретном случае, однако максимальный срок устранения нарушений, указанный в требовании (предписании), не может превышать 6 месяцев. Например, в требовании (предписании) может быть указано, что пункты 1–3 необходимо исполнить в течение одного месяца со дня окончания проверки, пункты 4–7 — в течение 3 месяцев, пункты 8–15 — в течение 5 месяцев.
Требование (предписание) обычно направляется одновременно с актом проверки.
В случае отсутствия нарушений оператору выдается только акт проверки.
Если по результатам проведения плановой и внеплановой проверки выявляются грубые нарушения законодательства о персональных данных (непринятие обязательных мер по обеспечению защиты персональных данных, обработка без надлежащих правовых оснований персональных данных клиентов (в том числе их хранение) на территории иностранных государств, которыми не обеспечивается надлежащий уровень защиты прав субъектов персональных данных), имеет место существенный риск нарушения прав и свобод субъектов персональных данных, а также в иных подобных случаях Центр вправе вынести требование (предписание) о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе). В требовании (предписании) указываются конкретные действия, которые должны быть приостановлены (прекращены), и устанавливается срок такого приостановления (прекращения), а также устранения выявленных нарушений, не превышающий 6 месяцев.
При этом соответствующее требование может быть вынесено в отношении обработки персональных данных в любом информационном ресурсе (системе) (например, на интернет-сайте, в CRM-системе и т.п.).
В практике контрольной деятельности Центра неоднократно встречались случаи вынесения таких требований (предписаний).
В случае выявления признаков административных правонарушений, предусмотренных ст. 23.7 КоАП, Центром по результатам проведения проверок направляются соответствующие материалы в уполномоченные органы для привлечения оператора (уполномоченного лица) к административной ответственности.
Действия оператора (уполномоченного лица) после проведения плановой и внеплановой проверки
После получения требования (предписания) оператору (уполномоченному лицу) целесообразно незамедлительно приступить к устранению выявленных нарушений.
После их устранения следует письменно сообщить Центру об исполнении требования (предписания) с приложением подтверждающих документов. Если в требовании (предписании) установлены различные сроки устранения нарушений, необходимо информировать об устранении нарушений в пределах каждого из этапов.
Кроме того, Центр имеет полномочия удостовериться (в том числе на месте) в устранении нарушений.
Следует также отметить, что при наличии объективных обстоятельств, не позволивших устранить нарушения, указанные в требовании (предписании), в установленные в нем сроки, оператор не позднее 3 рабочих дней до дня истечения этих сроков вправе направить в адрес Центра заявление, отражающее соответствующие обстоятельства. После рассмотрения такого заявления оператор (уполномоченное лицо) уведомляется о принятом решении в письменной форме.