Национальный центр защиты персональных данных
Согласно п. 1 Положения о Национальном центре защиты персональных данных, утвержденного Указом (далее — Положение № 422), Национальный центр защиты персональных данных Республики Беларусь (далее — НЦЗПД) определен как уполномоченный орган по защите прав субъектов персональных данных. Возглавляет НЦЗПД директор, который назначается на должность и освобождается от должности Президентом Республики Беларусь по представлению начальника ОАЦ.
Справочно.
В п. 7 Положения № 422 определены следующие две основные задачи НЦЗПД:
1) принятие мер по защите прав субъектов персональных данных при обработке их персональных данных;
2) организация обучения по вопросам защиты персональных данных.
В соответствии с п. 7 Положения № 422 к функциям НЦЗПД относятся в том числе:
• осуществление контроля за обработкой персональных данных операторами (уполномоченными лицами);
• рассмотрение жалоб субъектов персональных данных по вопросам обработки персональных данных;
• выдача разрешений на трансграничную передачу персональных данных, а также определение порядка выдачи таких разрешений;
• предоставление разъяснений по вопросам применения законодательства о персональных данных, проведение иной разъяснительной работы о законодательстве о персональных данных;
• установление классификации содержащих персональные данные информационных ресурсов (систем) для определения предъявляемых к ним требований технической и криптографической защиты персональных данных;
• реализация образовательных программ дополнительного образования взрослых в соответствии с законодательством об образовании.
В п. 8 Положения № 422 перечислены права НЦЗПД. Обращаем внимание на основные из них:
— при осуществлении контроля запрашивать и получать на безвозмездной основе от государственных органов, юридических лиц, иных организаций и физических лиц информацию, необходимую для определения законности действий (бездействия) операторов (уполномоченных лиц) по обработке персональных данных (в том числе персональные данные физических лиц без их согласия);
— безвозмездно пользоваться информационными ресурсами (системами), получать из них сведения, в том числе содержащие банковскую, коммерческую, профессиональную и иную охраняемую законом тайну, а также персональные данные физических лиц без их согласия (кроме информационных ресурсов (систем), содержащих государственные секреты);
— проводить на договорной основе добровольный аудит соблюдения операторами (уполномоченными лицами) требований законодательства о персональных данных;
Справочно.
Успешное прохождение оператором (уполномоченным лицом) добровольного аудита соблюдения требований законодательства о персональных данных освобождает оператора (уполномоченное лицо) от плановых проверок на 5 лет.
— требовать от операторов (уполномоченных лиц) изменения, блокирования или удаления недостоверных или полученных незаконным путем персональных данных, устранения иных нарушений законодательства о персональных данных, а также прекращения обработки персональных данных, если иными способами невозможно обеспечить защиту прав субъектов персональных данных;
— принимать по вопросам, входящим в его компетенцию, обязательные для исполнения решения.
«Нарушения есть? А если найдем?»
Контроль за обработкой персональных данных осуществляется НЦЗПД согласно Положению № 422. В п. 13 Положения № 422 закреплено, что такой контроль осуществляется в виде плановых, внеплановых и камеральных проверок.
Справочно.
На осуществление контроля за обработкой персональных данных операторами (уполномоченными лицами) не распространяются правила Указа Президента Республики Беларусь от 16.10.2009 № 510 «О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь».
Плановые проверки проводятся в соответствии с планом проверок соблюдения законодательства о персональных данных. Плановые проверки проводятся не чаще одного раза в два года. Операторы (уполномоченные лица), имеющие положительное заключение НЦЗПД по итогам проведения добровольного аудита соблюдения требований законодательства о персональных данных, не подлежат плановым проверкам в течение пяти лет со дня получения соответствующего заключения. Внеплановые проверки проводятся при наличии сведений, в том числе полученных от организации или физического лица, жалоб субъектов персональных данных, свидетельствующих о совершаемом (совершенном) нарушении требований законодательства о персональных данных. Анонимная информация не является основанием для назначения внеплановых проверок.
Справочно.
План проверок соблюдения законодательства о персональных данных ежегодно утверждается директором НЦЗПД и размещается на официальном сайте НЦЗПД в глобальной компьютерной сети Интернет не позднее 30 декабря года, предшествующего году проведения проверки.
«Дайте жалобную книгу!»
Одной из функций НЦЗПД и одновременно формой защиты персональных данных является рассмотрение жалоб субъектов персональных данных по вопросам обработки персональных данных (п. 3 ст. 18 Закона, п. 7 Положения № 422).
Так, согласно п. 27 Положения № 422 субъекты персональных данных, полагающие, что их права, свободы и законные интересы нарушены при обработке персональных данных, вправе направить в НЦЗПД жалобу по вопросам обработки персональных данных. Такая жалоба может быть подана в течение трех месяцев со дня, когда лицу, направившему жалобу, стало известно о нарушении его прав. Жалоба подается в письменной форме или в виде электронного документа. Если сведения, изложенные в жалобе, подтверждаются, НЦЗПД принимает необходимые меры по защите нарушенных прав, свобод и законных интересов субъекта персональных данных, подавшего жалобу, и уведомляет его об этом.
Справочно.
К жалобе прилагаются документы и иные материалы (в том числе фотографии, графические изображения экрана (скриншоты)), подтверждающие нарушение прав, свобод и законных интересов субъекта персональных данных, подающего жалобу (при их наличии).
Ученье — свет...
Подпункт 3.1 п. 3 Указа предоставляет НЦЗПД право реализовывать образовательную программу повышения квалификации руководящих работников и специалистов, в том числе по вопросам технической и (или) криптографической защиты информации, защиты персональных данных.
Информационная безопасность
В подп. 3.2 п. 3 Указа предусмотрены случаи, когда проходит обучение в области обработки и защиты персональных данных, обеспечения информационной безопасности. К лицам, на которых распространяется обязанность обучать своих работников по образовательной программе повышения квалификации руководящих работников и специалистов по вопросам технической и (или) криптографической защиты информации, относятся:
— собственники (владельцы) информационных систем (в которых обрабатывается служебная информация ограниченного распространения; персональные данные, электронные документы; информация, распространение и (или) предоставление которой ограничено (для государственных органов и ряда организаций));
— владельцы критически важных объектов информатизации;
— организации, осуществляющие лицензируемую деятельность по технической и (или) криптографической защите информации.
Справочно.
Процедура проверки по определению соответствия условиям отнесения объектов информатизации к критически важным объектам информатизации осуществляется в соответствии с требованиями Указа Президента Республики Беларусь от 09.12.2019 № 449 «О совершенствовании государственного регулирования в области защиты информации».
Защита персональных данных
В подп. 3.3 п. 3 Указа определено, что операторы (уполномоченные лица) организуют не реже 1 раза в 5 лет прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных, в том числе:
— категориями лиц, определенными ОАЦ, — в НЦЗПД по образовательной программе повышения квалификации руководящих работников и специалистов;
— иными лицами:
• в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов, по образовательной программе повышения квалификации руководящих работников и специалистов;
• в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);
• у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).
Справочно.
ОАЦ определяет категории лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которые обязаны проходить обучение в НЦЗПД.
Операторы (уполномоченные лица) до 15 декабря 2021 г., а в последующие годы — до 15 ноября обеспечивают представление НЦЗПД информации о количестве лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которым необходимо пройти обучение в НЦЗПД.
Реестр операторов персональных данных
Согласно подп. 3.5 п. 3 Указа № 422 операторы, являющиеся государственными органами, юридическими лицами, иными организациями, устанавливают и поддерживают в актуальном состоянии:
а) перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются;
б) категории персональных данных, подлежащих включению в такие ресурсы (системы):
— общедоступные персональные данные;
— специальные персональные данные (кроме биометрических и генетических персональных данных);
— биометрические и генетические персональные данные;
— персональные данные, не являющиеся общедоступными или специальными;
в) перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами;
г) срок хранения обрабатываемых персональных данных.
В соответствии с подп. 3.6 п. 3 Указа № 422 операторы обязаны вносить в создаваемый НЦЗПД государственный информационный ресурс «Реестр операторов персональных данных» (далее — Реестр) сведения об информационных ресурсах (системах), содержащих персональные данные, а также обеспечивать актуализацию соответствующих сведений.
Виды информационных ресурсов (систем), сведения о которых подлежат внесению в Реестр, а также перечень включаемых в него сведений и срок их внесения в Реестр определяются ОАЦ. Владельцем и оператором реестра является НЦЗПД.
Справочно.
Согласно подп. 7.2 п. 7 Положения № 422 ОАЦ должен определить до 1 августа 2022 г. виды информационных ресурсов (систем), сведения о которых подлежат внесению в реестр, а также перечень включаемых в него сведений и сроки их внесения в реестр.
