Указ «О мерах по совершенствованию защиты персональных данных»

Национальный центр защиты персональных данных

Согласно п. 1 Положения о Национальном центре защиты персональных данных, утвержденного Указом (далее — Положение № 422), Национальный центр защиты персональных данных Республики Беларусь (далее — НЦЗПД) определен как уполномоченный орган по защите прав субъектов персональных данных. Возглавляет НЦЗПД директор, который назначается на должность и освобождается от должности Президентом Республики Беларусь по представлению начальника ОАЦ. 

Справочно.
В п. 7 Положения № 422 определены следующие две основные задачи НЦЗПД:
1) принятие мер по защите прав субъектов персональных данных при обработке их персональных данных;
2) организация обучения по вопросам защиты персональных данных.

В соответствии с п. 7 Положения № 422 к функциям НЦЗПД относятся в том числе:

• осуществление контроля за обработкой персональных данных операторами (уполномоченными лицами);

• рассмотрение жалоб субъектов персональных данных по вопросам обработки персональных данных;

• выдача разрешений на трансграничную передачу персональных данных, а также определение порядка выдачи таких разрешений;

• предоставление разъяснений по вопросам применения законодательства о персональных данных, проведение иной разъяснительной работы о законодательстве о персональных данных;

• установление классификации содержащих персональные данные информационных ресурсов (систем) для определения предъявляемых к ним требований технической и криптографической защиты персональных данных;

• реализация образовательных программ дополнительного образования взрослых в соответствии с законодательством об образовании.

В п. 8 Положения № 422 перечислены права НЦЗПД. Обращаем внимание на основные из них:

— при осуществлении контроля запрашивать и получать на безвозмездной основе от государственных органов, юридических лиц, иных организаций и физических лиц информацию, необходимую для определения законности действий (бездействия) операторов (уполномоченных лиц) по обработке персональных данных (в том числе персональные данные физических лиц без их согласия);

— безвозмездно пользоваться информационными ресурсами (системами), получать из них сведения, в том числе содержащие банковскую, коммерческую, профессиональную и иную охраняемую законом тайну, а также персональные данные физических лиц без их согласия (кроме информационных ресурсов (систем), содержащих государственные секреты);

— проводить на договорной основе добровольный аудит соблюдения операторами (уполномоченными лицами) требований законодательства о персональных данных;

Справочно.
Успешное прохождение оператором (уполномоченным лицом) добровольного аудита соблюдения требований законодательства о персональных данных освобождает оператора (уполномоченное лицо) от плановых проверок на 5 лет.

— требовать от операторов (уполномоченных лиц) изменения, блокирования или удаления недостоверных или полученных незаконным путем персональных данных, устранения иных нарушений законодательства о персональных данных, а также прекращения обработки персональных данных, если иными способами невозможно обеспечить защиту прав субъектов персональных данных;

— принимать по вопросам, входящим в его компетенцию, обязательные для исполнения решения.

«Нарушения есть? А если найдем?»

Контроль за обработкой персональных данных осуществляется НЦЗПД согласно Положению № 422. В п. 13 Положения № 422 закреплено, что такой контроль осуществляется в виде плановых, внеплановых и камеральных проверок.

Справочно.
На осуществление контроля за обработкой персональных данных операторами (уполномоченными лицами) не распространяются правила Указа Президента Республики Беларусь от 16.10.2009 № 510 «О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь».

Плановые проверки проводятся в соответствии с планом проверок соблюдения законодательства о персональных данных. Плановые проверки проводятся не чаще одного раза в два года. Операторы (уполномоченные лица), имеющие положительное заключение НЦЗПД по итогам проведения добровольного аудита соблюдения требований законодательства о персональных данных, не подлежат плановым проверкам в течение пяти лет со дня получения соответствующего заключения. Внеплановые проверки проводятся при наличии сведений, в том числе полученных от организации или физического лица, жалоб субъектов персональных данных, свидетельствующих о совершаемом (совершенном) нарушении требований законодательства о персональных данных. Анонимная информация не является основанием для назначения внеплановых проверок.

Справочно.
План проверок соблюдения законодательства о персональных данных ежегодно утверждается директором НЦЗПД и размещается на официальном сайте НЦЗПД в глобальной компьютерной сети Интернет не позднее 30 декабря года, предшествующего году проведения проверки.

«Дайте жалобную книгу!»

Одной из функций НЦЗПД и одновременно формой защиты персональных данных является рассмотрение жалоб субъектов персональных данных по вопросам обработки персональных данных (п. 3 ст. 18 Закона, п. 7 Положения № 422).

Так, согласно п. 27 Положения № 422 субъекты персональных данных, полагающие, что их права, свободы и законные интересы нарушены при обработке персональных данных, вправе направить в НЦЗПД жалобу по вопросам обработки персональных данных. Такая жалоба может быть подана в течение трех месяцев со дня, когда лицу, направившему жалобу, стало известно о нарушении его прав. Жалоба подается в письменной форме или в виде электронного документа. Если сведения, изложенные в жалобе, подтверждаются, НЦЗПД принимает необходимые меры по защите нарушенных прав, свобод и законных интересов субъекта персональных данных, подавшего жалобу, и уведомляет его об этом.

Справочно.
К жалобе прилагаются документы и иные материалы (в том числе фотографии, графические изображения экрана (скриншоты)), подтверждающие нарушение прав, свобод и законных интересов субъекта персональных данных, подающего жалобу (при их наличии).

Ученье — свет...

Подпункт 3.1 п. 3 Указа предоставляет НЦЗПД право реализовывать образовательную программу повышения квалификации руководящих работников и специалистов, в том числе по вопросам технической и (или) криптографической защиты информации, защиты персональных данных.

Информационная безопасность

В подп. 3.2 п. 3 Указа предусмотрены случаи, когда проходит обучение в области обработки и защиты персональных данных, обеспечения информационной безопасности. К лицам, на которых распространяется обязанность обучать своих работников по образовательной программе повышения квалификации руководящих работников и специалистов по вопросам технической и (или) криптографической защиты информации, относятся:

— собственники (владельцы) информационных систем (в которых обрабатывается служебная информация ограниченного распространения; персональные данные, электронные документы; информация, распространение и (или) предоставление которой ограничено (для государственных органов и ряда организаций));

— владельцы критически важных объектов информатизации;

— организации, осуществляющие лицензируемую деятельность по технической и (или) криптографической защите информации.

Справочно.
Процедура проверки по определению соответствия условиям отнесения объектов информатизации к критически важным объектам информатизации осуществляется в соответствии с требованиями Указа Президента Республики Беларусь от 09.12.2019 № 449 «О совершенствовании государственного регулирования в области защиты информации».

Защита персональных данных

В подп. 3.3 п. 3 Указа определено, что операторы (уполномоченные лица) организуют не реже 1 раза в 5 лет прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных, в том числе:

— категориями лиц, определенными ОАЦ, — в НЦЗПД по образовательной программе повышения квалификации руководящих работников и специалистов;

— иными лицами:

• в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов, по образовательной программе повышения квалификации руководящих работников и специалистов;

• в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);

• у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).

Справочно.
ОАЦ определяет категории лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которые обязаны проходить обучение в НЦЗПД.

Операторы (уполномоченные лица) до 15 декабря 2021 г., а в последующие годы — до 15 ноября обеспечивают представление НЦЗПД информации о количестве лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которым необходимо пройти обучение в НЦЗПД.

Реестр операторов персональных данных

Согласно подп. 3.5 п. 3 Указа № 422 операторы, являющиеся государственными органами, юридическими лицами, иными организациями, устанавливают и поддерживают в актуальном состоянии:

а) перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются; 

б) категории персональных данных, подлежащих включению в такие ресурсы (системы):

— общедоступные персональные данные;

— специальные персональные данные (кроме биометрических и генетических персональных данных);

— биометрические и генетические персональные данные;

— персональные данные, не являющиеся общедоступными или специальными;

в) перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами;

г) срок хранения обрабатываемых персональных данных.

В соответствии с подп. 3.6 п. 3 Указа № 422 операторы обязаны вносить в создаваемый НЦЗПД государственный информационный ресурс «Реестр операторов персональных данных» (далее — Реестр) сведения об информационных ресурсах (системах), содержащих персональные данные, а также обеспечивать актуализацию соответствующих сведений.

Виды информационных ресурсов (систем), сведения о которых подлежат внесению в Реестр, а также перечень включаемых в него сведений и срок их внесения в Реестр определяются ОАЦ. Владельцем и оператором реестра является НЦЗПД.

Справочно.
Согласно подп. 7.2 п. 7 Положения № 422 ОАЦ должен определить до 1 августа 2022 г. виды информационных ресурсов (систем), сведения о которых подлежат внесению в реестр, а также перечень включаемых в него сведений и сроки их внесения в реестр.