Полномочия органа по защите персональных данных и новые обязанности для бизнеса

28 октября 2021 г. был подписан Указ №422 «О мерах по совершенствованию защиты персональных данных», который предусматривает создание Национального центра по защите персональных данных (НЦЗПД) в качестве уполномоченного органа по защите прав субъектов персональных данных, а также принятие операторами (а в некоторых случаях и уполномоченными лицами) дополнительных мер для обеспечения защиты персональных данных при их обработке.

Оператор и уполномоченное лицо: кто это?

Практически всех субъектов предпринимательской деятельности можно отнести к операторам.

Оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно  или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных

Уполномоченное лицо – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах.

По сути любая организация является оператором персональных данных: как минимум в отношении данных о собственных участниках (если это физические лица), их представителях (например, если участник — юридическое лицо), работниках и представителях своих клиентов (или самих клиентов, если они — физические лица). Если она передаёт данные другой организации, к примеру, для ведения бухгалтерского учёта, последняя будет являться уполномоченным лицом.
 

Права Национального центра по защите персональных данных

Среди прав, которыми наделяется НЦЗПД: 

  • право проводить проверки на предмет соблюдения требований законодательства
  • право требовать в установленных случаях изменения, блокирования, удаления персональных данных или прекращения их обработки
  • право проводить аудиты по вопросам соблюдения операторами требований законодательства о персональных данных

НЦЗПД может осуществлять контроль за обработкой персональных данных в виде плановых, внеплановых и камеральных проверок. 

Плановые проверки

Плановые проверки в отношении одного и того же оператора (уполномоченного лица) могут проводиться не чаще одного раза в 2 года. Сам план проверок утверждается стороны директором НЦЗПД и подлежит публикации на официальном сайте НЦЗПД не позднее 30 декабря года, предшествующего году проведения проверки. О назначении плановой проверки оператор (уполномоченное лицо) также будет письменно уведомлен не позднее 10 рабочих дней до начала ее проведения.

Внеплановые проверки

Внеплановые проверки могут назначаться директором НЦЗПД при наличии сведений о нарушении требований законодательств о персональных данных, в том числе полученных от организации или физического лица, жалоб субъектов персональных данных. При этом анонимная информация не будет служить основанием для внеплановых проверок.

Камеральные проверки

В рамках камеральных проверок НЦЗПД проанализирует информацию, размещенную в СМИ и Интернете, а также документы и иную информацию, включая полученную от оператора (уполномоченного лица) по запросу НЦЗПД. По результатам такой проверки оператору (уполномоченному лицу) могут быть направлены рекомендации об устранении выявленных нарушений. Камеральная проверка будет проводиться без уведомления оператора (уполномоченного лица).

Жалобы субъектов персональных данных

НЦЗПД также уполномочен рассматривать жалобы субъектов персональных данных. Срок подачи жалобы ограничен и составляет 3 месяца со дня, когда лицу, направившему жалобу, стало известно о действиях (бездействии), непосредственно затрагивающих его права, свободы и законные интересы.

При подаче жалобы должны быть предоставлены, помимо прочего, документы и иные материалы (в т. ч. фотографии, скриншоты), подтверждающие нарушение прав, свобод и законных интересов подающего жалобу субъекта персональных данных, при их наличии.

Срок рассмотрения жалобы – 1 месяц, однако этот срок может быть продлён, если жалоба требует дополнительного изучения и проверки.

Дополнительные обязанности операторов (уполномоченных лиц)

Помимо регламентации деятельности НЦЗПД Указ также закрепляет дополнительные обязанности операторов (уполномоченных лиц), в частности:

  1. организовывать не реже одного раза в 5 лет прохождение обучение по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных.
    Обучение может проходить:
    • в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов
    • в других организациях по образовательной программе обучающих курсов
    • у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и др.)
  2. обеспечивать представление НЦЗПД информации о количестве лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которым необходимо пройти обучение в Национальном центре защиты персональных данных. Срок представления информации – до 15 декабря 2021 г., в последующие годы – до 15 ноября.
  3.  установить и поддерживать в актуальном состоянии:
    • перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются
    • категории персональных данных, подлежащих включению в такие ресурсы (системы): общедоступные; специальные (кроме биометрических и генетических); биометрические и генетические; персональные данные, не являющиеся общедоступными или специальными
    • перечень уполномоченных лиц, если обработка персональных данных осуществляется такими лицами
    • срок хранения обрабатываемых персональных данных
  4. с 1 января 2024 г. – вносить сведения об информационных ресурсах (системах), содержащих персональные данные в создаваемый НЦЗПД реестр операторов персональных данных, а также обеспечивать актуализацию соответствующих сведений. Виды информационных ресурсов (систем), сведения о которых подлежат внесению в реестр, а также перечень включаемых в него сведений и срок их внесения в реестр будут определены Оперативно-аналитическим центром при Президенте Республики Беларусь.

Ответственность

Административная ответственность за нарушение законодательства о защите персональных данных установлена в ст. 23.7 КоАП, а именно за незаконные сбор, обработку, хранение или предоставление персональных данных, нарушение прав субъекта данных, распространение персональных данных, несоблюдение мер обеспечения защиты персональных данных. Максимальный штраф по этой статье может достигать 200 базовых величин.

Уголовная ответственность за нарушение законодательства о персональных данных предусмотрена в статьях 203-1 «Незаконные действия в отношении информации о частной жизни и персональных данных» и 203-2 «Несоблюдение мер обеспечения защиты персональных данных» УК.

 

 

 

Читайте по теме

новости

Обзор нового Закона о защите персональных данных

 новости

В Беларуси запустили образовательный проект по работе с персональными данными

 аналитические материалы

Защита персональных данных. Ключевые тезисы для бизнеса – обзор от экспертов REVERA

Защита персональных данных. Ключевые тезисы для бизнеса – обзор от экспертов REVERA