Чего ждать от проверки по персональным данным
История поискаИстория поискаИстория поискаИстория поискаИстория поиска

Чего ждать от проверки по персональным данным

Основной целью Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) является обеспечение защиты персональных данных (далее — ПД), прав и свобод физических лиц при обработке их ПД. Ключевую роль в достижении данной цели играет контрольная деятельность уполномоченного органа по защите прав субъектов ПД — Национального центра защиты персональных данных (далее — Центр).

В статье подробно рассмотрим порядок проведения различных видов проверок, а также права и обязанности Центра и операторов в ходе их проведения. Материал содержит чек-лист для директора по итогам проверки.

Гавриленко Алексей

ведущий специалист по контролю и аудиту Национального центра защиты персональных данных Республики Беларусь, магистр права

517 Shape 1 copy 6Created with Avocode.

В соответствии с абз. 2 п. 3 ст. 18 Закона и абз. 2 п. 7 Положения о Национальном центре защиты персональных данных (утв. Указом Президента Республики Беларусь от 28.10.2021 № 422 (далее — Положение)) Центр осуществляет контроль за обработкой ПД операторами (уполномоченными лицами).

Это важно
Указ Президента Республики Беларусь от 16.10.2009 № 510 «О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь» не распространяется на осуществление контрольной деятельности Центром.

Плановые проверки

Плановые проверки проводятся в соответствии с планом проверок соблюдения законодательства о ПД, ежегодно утверждаемым директором Центра и размещаемым на сайте Центра не позднее 30 декабря года, предшествующего году проведения проверки. Как правило, операторам (уполномоченным лицам), включенным в план проверок, с целью их дополнительного информирования направляются уведомления о проведении плановой проверки.

Справочно: в 2023 г. в план проверок были включены 13, в 2022 г. — 6 операторов. В план проверок соблюдения законодательства о ПД на 2024 г. включены 11 операторов.

Для проведения плановой проверки директором Центра формируется комиссия по проверке и выдается предписание на ее проведение.

Не позднее 10 рабочих дней до начала проведения плановой проверки оператору (уполномоченному лицу) направляется письменное уведомление, содержащее сведения:

  • о дате начала проверки;
  • сроках ее проведения;
  • составе комиссии;
  • вопросах, подлежащих проверке.

Это важно
Срок проведения плановой проверки не может превышать 20 рабочих дней. При этом указанный срок может быть продлен директором Центра не более чем на 10 рабочих дней.

Внеплановые проверки

Внеплановые проверки проводятся без включения в соответствующий план проверок и без заблаговременного уведомления оператора (уполномоченное лицо). В этом случае сохраняется только последний уведомительный этап — вручение предписания на проведение проверки непосредственно в день проверки.

Справочно: в 2023 и 2022 гг. Центром проведено по 7 внеплановых проверок.

Внеплановые проверки могут назначаться при наличии сведений о нарушении требований законодательства о ПД, полученных в т. ч.:

  • от организации или физического лица;
  • в виде жалоб субъектов ПД.

Внеплановые проверки могут назначаться также в результате анализа информации, размещенной в СМИ и сети Интернет.

Это важно
Анонимная информация не является основанием для назначения внеплановых проверок (п. 13 Положения).

Основанием для внеплановых проверок на практике, как правило, являются:

  • ненаправление уведомления об утечке ПД при наличии у Центра информации о нарушении систем защиты ПД;
  • длительное неисполнение рекомендаций, выданных по результатам проведения камеральной проверки;
  • жалобы субъектов ПД.

Камеральные проверки

Камеральная проверка проводится без выдачи предписания на ее проведение и без уведомления о проведении проверки оператора (уполномоченное лицо). На практике большинство камеральных проверок проводятся в связи с рассмотрением жалоб субъектов ПД.

Справочно: в 2023 г. Центром проведено 18, в 2022 г. — 37 камеральных проверок.

Камеральные проверки проводятся Центром по месту своего нахождения посредством изучения, анализа и оценки:

  • информации, размещенной в СМИ и сети Интернет;
  • документов и иной информации, в т. ч. полученной от оператора (уполномоченного лица) по запросу Центра.

По общему правилу камеральная проверка начинается с направления оператору (уполномоченному лицу) запроса. При проведении камеральной проверки круг проверяемых вопросов обычно ограничен обстоятельствами жалобы. Вместе с тем в некоторых случаях при проведении камеральной проверки у оператора (уполномоченного лица) могут быть запрошены иные сведения (например, о реализации обязательных мер по обеспечению защиты ПД и т. п.).

По результатам камеральной проверки оператору (уполномоченному лицу) могут быть направлены рекомендации об устранении выявленных нарушений законодательства о ПД, в которых может быть установлен срок устранения выявленных нарушений и предложено письменно сообщить Центру об исполнении рекомендаций.

Кроме того, факт неисполнения рекомендаций или неинформирование Центра учитывается при принятии решения о назначении внеплановой проверки. В результате камеральная проверка по жалобе субъекта ПД может трансформироваться во внеплановую проверку.

Порядок проведения плановых и внеплановых проверок

Поскольку процедуры плановых и внеплановых проверок практически не отличаются, рассмотрим общий порядок их проведения.

1. Проверяемые вопросы

Деятельность каждой организации имеет специфику. Более того, в Законе заложен риск-ориентированный подход. Поэтому составить универсальный и исчерпывающий для всех операторов (уполномоченных лиц) перечень документов и вопросов, подлежащих проверке, невозможно.

Вместе с тем независимо от характера деятельности оператора (уполномоченного лица) в обязательном порядке проверяются:

☐ соблюдение обязательных мер по обеспечению защиты ПД (ст. 17 Закона, подп. 3.5 п. 3 Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»), их достаточность;

☐ соблюдение общих требований к обработке ПД (ст. 4 Закона);

☐ взаимодействие с уполномоченными лицами (ст. 7 Закона);

☐ реализация прав субъектов ПД;

☐ обработка ПД в информационных ресурсах (системах) и т. п.

2. Права проверяющих

Согласно п. 18 Положения проверяющие вправе требовать от оператора (уполномоченного лица):

☐ представления документов (их копий) и (или) сведений, связанных с обработкой ПД;

Это важно
Если такие документы находятся не в месте проверки (например, в филиале организации, находящемся в другом городе), они должны быть представлены не позднее следующего рабочего дня со дня предъявления соответствующего требования.

☐ обеспечения доступа:

  • в помещения, в которых осуществляется обработка ПД (например, в серверные помещения),
  • к программно-­техническим средствам, с помощью которых осуществляется такая обработка (например, к рабочим компьютерам, мобильным телефонам, в т. ч. программному обеспечению, установленному на них).

При невозможности (затруднительности) исследования указанных программно-­технических средств на месте по решению директора Центра они могут изыматься на срок, не превышающий срока проведения проверки.

3. Документы, составляемые по результатам проверки

Акт проверки. По результатам плановой или внеплановой проверки в течение 10 рабочих дней со дня ее окончания составляется акт проверки.

В акте должны быть отражены:

  • соответствие (несоответствие) принятых оператором (уполномоченным лицом) мер по обеспечению защиты ПД требованиям законодательства о ПД;
  • экспертная оценка комиссией достаточности принятых оператором (уполномоченным лицом) мер для защиты ПД;
  • выявленные нарушения законодательства о ПД либо вывод об отсутствии таких нарушений.

Письменное требование (предписание). Если по результатам плановой или внеплановой проверки выявляются нарушения законодательства о ПД, то в течение 10 рабочих дней со дня окончания проверки Центр выносит письменное требование (предписание) об устранении выявленных нарушений с указанием конкретных сроков их устранения.

При этом Центром применяется преимущественно дифференцированный подход к установлению таких сроков. Срок определяется исходя из характера выявленного нарушения в каждом конкретном случае, однако максимальный срок устранения нарушений, указанный в требовании (предписании), не может превышать 6 месяцев. Например, в требовании (предписании) может быть указано, что пп. 1–3 необходимо исполнить в течение одного месяца со дня окончания проверки, пп. 4–7 — в течение 3 месяцев, пп. 8–15 — в течение 5 месяцев.

Это важно
Требование (предписание) обычно направляется одновременно с актом проверки. В случае отсутствия нарушений оператору выдается только акт проверки.

Требование (предписание) о приостановлении (прекращении) обработки ПД в информационном ресурсе (системе). Если по результатам проведения плановой или внеплановой проверки выявляются грубые нарушения законодательства о ПД (непринятие обязательных мер по обеспечению защиты ПД, обработка без надлежащих правовых оснований ПД клиентов (в т. ч. их хранение) на территории иностранных государств, которыми не обеспечивается надлежащий уровень защиты прав субъектов ПД), имеет место существенный риск нарушения прав и свобод субъектов ПД. В подобных случаях Центр вправе вынести требование (предписание) о приостановлении (прекращении) обработки ПД в информационном ресурсе (системе). В требовании (предписании) указываются конкретные действия, которые должны быть приостановлены (прекращены), и устанавливается срок такого приостановления (прекращения), а также срок устранения выявленных нарушений, не превышающий 6 месяцев.

При этом соответствующее требование может быть вынесено в отношении обработки ПД в любом информационном ресурсе (системе) (например, на интернет-­сайте, в CRM-системе и т. п.).

Справочно: в практике контрольной деятельности Центра неоднократно встречались случаи вынесения таких требований (предписаний).

При выявлении признаков административных правонарушений, предусмотренных ст. 23.7 КоАП, Центром по результатам проведения проверок направляются соответствующие материалы в уполномоченные органы для привлечения оператора (уполномоченного лица) к административной ответственности.


От редакции

Защитите себя и своих сотрудников, участвующих в обработке ПД в вашем учреждении образования, с помощью пособия «Руководство по обработке персональных данных в учреждении образования».


Резюме

1. Центр осуществляет контроль за соблюдением требований законодательства о ПД в форме плановых, внеплановых и камеральных проверок.

2. Срок проведения плановых (внеплановых) проверок — 20 рабочих дней с возможностью продления на 10 рабочих дней.

3. По результатам проверки Центр составляет акт, а в случае выявления нарушений — выносит требование (предписание), обязывающее учреждение образования  устранить эти недостатки в установленные сроки.

4. В случае выявления административного правонарушения, предусмотренного ст. 23.7 КоАП, материалы передаются в уполномоченные органы для привлечения оператора (уполномоченное лицо) к административной ответственности.

5. Оператор (уполномоченное лицо) обязан устранить выявленные нарушения в срок, указанный в требовании (предписании).

Чек-лист для директора «Действия оператора (уполномоченного лица) после проведения плановой и внеплановой проверок»

☐ После получения требования (предписания) оператору (уполномоченному лицу) целесо­образно незамедлительно приступить к устранению выявленных нарушений.

☐ После их устранения следует письменно сообщить Центру об исполнении требования (предписания) с приложением подтверждающих документов.

☐ Если в требовании (предписании) установлены различные сроки устранения нарушений, необходимо информировать об устранении нарушений в пределах каждого из этапов.

☐ Центр имеет полномочия удостовериться (в т. ч. на месте) в устранении нарушений.

☐ При наличии объективных обстоятельств, не позволивших устранить нарушения, указанные в требовании (предписании), в установленные в нем сроки, оператор не позднее 3 рабочих дней до дня истечения этих сроков вправе направить в адрес Центра заявление, отражающее соответствующие обстоятельства.

☐ После рассмотрения такого заявления оператор (уполномоченное лицо) уведомляется о принятом решении в письменной форме.

517 Shape 1 copy 6Created with Avocode.
Последнее
по теме
Задать вопрос в редакцию
Заказать звонок