Согласно абз. 2 п. 3 ст. 18 Закона и абз. 2 п. 7 Положения о Национальном центре защиты персональных данных (утв. Указом Президента Республики Беларусь от 28.10.2021 № 422 (далее — Положение)) Центр осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами).
Главой 4 Положения определены следующие формы осуществления контроля:
- плановые проверки;
- внеплановые проверки;
- камеральные проверки.
Это важно
Указ Президента Республики Беларусь от 16.10.2009 № 510 «О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь» не распространяется на осуществление контрольной деятельности Центром.
Плановые проверки
Плановые проверки проводятся в соответствии с планом проверок соблюдения законодательства о персональных данных, ежегодно утверждаемым директором Центра и размещаемым на сайте Центра не позднее 30 декабря года, предшествующего году проведения проверки. Как правило, операторам (уполномоченным лицам), включенным в план проверок, с целью их дополнительного информирования направляются уведомления о проведении плановой проверки.
Справочно: в 2023 г. в план проверок были включены 13 операторов, в 2022 г. — 6 операторов. В план проверок соблюдения законодательства о персональных данных на 2024 г. включены 11 операторов.
Для проведения плановой проверки директор Центра формирует комиссию по проверке и выдает предписание на ее проведение. В предписании указываются:
- наименование оператора (уполномоченного лица);
- вид проверки;
- дата начала проверки;
- срок ее проведения;
- состав комиссии;
- состав вопросов, подлежащих проверке.
Не позднее 10 рабочих дней до начала плановой проверки оператору (уполномоченному лицу) направляется письменное уведомление, содержащее сведения:
- о дате начала проверки;
- сроках ее проведения;
- составе комиссии;
- вопросах, подлежащих проверке.
Таким образом, до начала плановой проверки оператор (уполномоченное лицо) неоднократно уведомляется о ее проведении:
Форма уведомления
| Срок уведомления
|
| Размещение плана проверок на сайте Центра | Не позднее 30 декабря года, предшествующего году проведения проверки |
| Направление по инициативе Центра уведомления о включении в план проверок (указывается месяц проведения проверки) | Начало календарного года, в котором запланировано проведение плановой проверки |
| Направление уведомления о назначении плановой проверки (указывается конкретная дата начала проверки) | Не позднее 10 рабочих дней до начала проверки |
| Вручение предписания на проведение проверки | В первый день проверки |
Срок проведения плановой проверки не может превышать 20 рабочих дней. При этом он может быть продлен директором Центра не более чем на 10 рабочих дней.
Внеплановые проверки
Внеплановые проверки проводятся без включения в соответствующий план проверок. При их проведении, в отличие от проведения плановых проверок, не требуется заблаговременно уведомлять оператора (уполномоченное лица), сохраняется только последний уведомительный этап — вручение предписания на проведение проверки непосредственно в день начала проверки.
Справочно: в 2023 и 2022 гг. Центром проведено по 7 внеплановых проверок.
Внеплановые проверки могут назначаться при наличии сведений о нарушении законодательства о персональных данных, полученных в т. ч.:
- от организации или физического лица;
- в виде жалоб субъектов персональных данных.
Внеплановые проверки могут назначаться также в результате анализа информации, размещенной в СМИ и сети Интернет.
Это важно
Анонимная информация не является основанием для назначения внеплановых проверок (п. 13 Положения).
Основанием для внеплановых проверок на практике, как правило, являются:
- ненаправление уведомления об утечке персональных данных при наличии у Центра информации о нарушении систем защиты персональных данных;
- длительное неисполнение рекомендаций, выданных по результатам проведения камеральной проверки;
- жалобы субъектов персональных данных.
Камеральные проверки
Камеральная проверка проводится без выдачи предписания на ее проведение и уведомления об этом оператора (уполномоченного лица). На практике большинство камеральных проверок проводится в связи с рассмотрением жалоб субъектов персональных данных.
Справочно: в 2023 г. Центром проведено 18 камеральных проверок, в 2022 г. — 37.
Камеральные проверки проводятся Центром по месту своего нахождения посредством изучения, анализа и оценки:
- информации, размещенной в СМИ и сети Интернет;
- документов и иной информации, в т. ч. полученной от оператора (уполномоченного лица) по запросу Центра.
По общему правилу камеральная проверка начинается с направления оператору (уполномоченному лицу) запроса. При проведении камеральной проверки круг проверяемых вопросов обычно ограничен обстоятельствами жалобы. Вместе с тем в некоторых случаях у оператора (уполномоченного лица) могут быть запрошены иные сведения (например, о реализации обязательных мер по обеспечению защиты персональных данных и т. п.).
По результатам камеральной проверки оператору (уполномоченному лицу) могут быть направлены рекомендации об устранении выявленных нарушений законодательства о персональных данных, в которых может быть установлен срок устранения нарушений и предложено письменно сообщить Центру об исполнении рекомендаций.
Кроме того, факт неисполнения рекомендаций или неинформирования Центра учитывается при принятии решения о назначении внеплановой проверки. В результате камеральная проверка по жалобе субъекта персональных данных может трансформироваться во внеплановую проверку.
Порядок проведения плановых и внеплановых проверок
Поскольку процедуры плановых и внеплановых проверок практически не отличаются, далее будет рассмотрен общий порядок их проведения.
Проверяемые вопросы
Деятельность каждой организации имеет специфику. Более того, в Законе заложен риск-ориентированный подход. Поэтому составить для всех операторов (уполномоченных лиц) универсальный и исчерпывающий перечень документов и вопросов, подлежащих проверке, не представляется возможным.
Вместе с тем независимо от характера деятельности оператора (уполномоченного лица) в обязательном порядке проверяются:
В связи с этим в ходе плановой или внеплановой проверки оцениваются меры, принятые оператором (уполномоченным лицом) для обеспечения защиты персональных данных, а также их достаточность для защиты персональных данных.
Права проверяющих
Согласно п. 18 Положения проверяющие вправе требовать от оператора (уполномоченного лица):
- представления документов (их копий) и (или) сведений, связанных с обработкой персональных данных. Если такие документы находятся не в месте проверки (например, в филиале организации, находящемся в другом городе), они должны быть представлены не позднее следующего рабочего дня со дня предъявления соответствующего требования;
- обеспечения доступа в помещения, в которых осуществляется обработка персональных данных (например, в серверные помещения), и к программно-техническим средствам, с помощью которых осуществляется такая обработка (например, к рабочим компьютерам, мобильным телефонам, в т. ч. программному обеспечению, установленному на них). При невозможности (затруднительности) исследования указанных программно-технических средств на месте по решению директора Центра они могут изыматься на срок, не превышающий срока проведения проверки.
Документы, составляемые по результатам проверки
По результатам плановой или внеплановой проверки в течение 10 рабочих дней со дня ее окончания составляется акт проверки.
В акте должны быть отражены:
- соответствие (несоответствие) принятых оператором (уполномоченным лицом) мер по обеспечению защиты персональных данных требованиям законодательства о персональных данных;
- экспертная оценка комиссией достаточности принятых оператором (уполномоченным лицом) мер для защиты персональных данных;
- выявленные нарушения законодательства о персональных данных либо вывод об отсутствии таких нарушений.
Если по результатам плановой или внеплановой проверки выявляются нарушения законодательства о персональных данных, то в течение 10 рабочих дней со дня окончания проверки Центр выносит письменное требование (предписание) об устранении выявленных нарушений с указанием конкретных сроков их устранения.
Центром применяется преимущественно дифференцированный подход к установлению таких сроков. Соответствующий срок определяется исходя из характера выявленного нарушения в каждом конкретном случае, однако максимальный срок устранения нарушений, указанный в требовании (предписании), не может превышать 6 месяцев. Например, в требовании (предписании) может быть указано, что пп. 1–3 необходимо исполнить в течение одного месяца со дня окончания проверки, пп. 4–7 — в течение 3 месяцев, пп. 8–15 — в течение 5 месяцев.
Требование (предписание) обычно направляется оператору (уполномоченному лицу) одновременно с актом проверки. В случае отсутствия нарушений выдается только акт проверки.
Если по результатам плановой или внеплановой проверки выявляются грубые нарушения законодательства о персональных данных (непринятие обязательных мер по обеспечению защиты персональных данных, обработка без надлежащих правовых оснований персональных данных клиентов (в т. ч. их хранение) на территории иностранных государств, которыми не обеспечивается надлежащий уровень защиты прав субъектов персональных данных), то имеется существенный риск нарушения прав и свобод субъектов персональных данных. В этом и иных подобных случаях Центр вправе вынести требование (предписание) о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе). В требовании (предписании) указываются конкретные действия, которые должны быть приостановлены (прекращены), и устанавливается срок такого приостановления (прекращения), а также устранения выявленных нарушений, не превышающий 6 месяцев.
Соответствующее требование может быть вынесено в отношении обработки персональных данных в любом информационном ресурсе (системе) (например, на сайте, в CRM-системе и т. п.). В практике контрольной деятельности Центра неоднократно выносились такие требования (предписания).
В случае выявления признаков административных правонарушений, предусмотренных ст. 23.7 КоАП, Центром по результатам проведения проверок направляются соответствующие материалы в уполномоченные органы для привлечения оператора (уполномоченного лица) к административной ответственности.
Действия оператора (уполномоченного лица) после проведения проверки
После получения требования (предписания) оператору (уполномоченному лицу) целесообразно незамедлительно приступить к устранению выявленных нарушений.
После их устранения следует письменно сообщить Центру об исполнении требования (предписания) с приложением подтверждающих документов. Если в требовании (предписании) установлены различные сроки устранения нарушений, необходимо информировать об устранении нарушений в пределах каждого из этапов.
Кроме того, Центр имеет полномочия удостовериться (в т. ч. на месте) в устранении нарушений.
Следует также отметить, что при наличии объективных обстоятельств, не позволивших устранить нарушения, указанные в требовании (предписании), в установленные в нем сроки, оператор не позднее трех рабочих дней до дня истечения этих сроков вправе направить в адрес Центра заявление, отражающее соответствующие обстоятельства. После рассмотрения такого заявления оператор (уполномоченное лицо) уведомляется о принятом решении в письменной форме.
Резюме
1. Центр осуществляет контроль за соблюдением законодательства о персональных данных в форме плановых, внеплановых и камеральных проверок.
2. Срок проведения плановых (внеплановых) проверок — 20 рабочих дней с возможностью продления на 10 рабочих дней.
3. По результатам проверки Центр составляет акт, а в случае выявления нарушений — выносит требование (предписание).
4. В случае выявления административного правонарушения, предусмотренного ст. 23.7 КоАП, материалы передаются в уполномоченные органы для привлечения оператора (уполномоченного лица) к административной ответственности.
5. Оператор (уполномоченное лицо) обязан устранить выявленные нарушения в срок, указанный в требовании (предписании).
и затем На экран «Домой»
на верхней панели или нажмите меню и затем Добавить на домашний экран/экран приложений