ru  en  by 
Cоздан уполномоченный орган по защите персональных данных
Новости
3 нояб. 2021 г.

СОЗДАН УПОЛНОМОЧЕННЫЙ ОРГАН
ПО ЗАЩИТЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

В Беларуси принят новый Указ Президента Республики Беларусь от 28 октября 2021 года № 422 «О мерах по совершенствованию защиты персональных данных» (далее – "Указ"), с официальным текстом которого можно ознакомится по следующей ссылке.

Основные нововведения Указа можно разделить на два направления:

• создание уполномоченного органа по защите прав субъектов персональных данных, а именно Национального центра защиты персональных данных (далее – "НЦЗПД"), и определение его полномочий;

• уточнение обязанностей операторов (уполномоченных лиц) в связи с обработкой персональных данных.

1. НЦЗПД

1.1. Задачи, функции и права

Определены две основные задачи НЦЗПД:

  • принятие мер по защите прав субъектов персональных данных при обработке их персональных данных;
  • организация обучения по вопросам защиты персональных данных.

С целью выполнения своих задач НЦЗПД выполняет ряд конкретных функций, к примеру:

  • осуществляет контроль за обработкой персональных данных;
  • рассматривает жалобы субъектов персональных данных;
  • определяет перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных;
  • дает разъяснения по вопросам применения законодательства о персональных данных;
  • устанавливает классификацию содержащих персональные данные информационных ресурсов (систем) в целях определения предъявляемых к ним требований технической и криптографической защиты персональных данных;
  • реализует образовательные программы повышения квалификации руководящих работников и специалистов, в том числе по вопросам технической и (или) криптографической защиты информации, защиты персональных данных.

Для выполнения своих задач и функций НЦЗПД наделяется такими правами, как, например:

  • запрашивать информацию, необходимую для определения законности обработки персональных данных, которая должна быть представлена НЦЗПД в течение 10 календарных дней со дня поступления запроса;
  • проводить проверки на предмет соблюдения законодательства о персональных данных;
  • требовать изменения, блокирования или удаления недостоверных или полученных незаконным путем персональных данных, устранения иных нарушений законодательства о персональных данных;
  • проводить на договорной основе добровольный аудит соблюдения требований законодательства о персональных данных.

1.2. Проверки

Указ выделяет следующие виды проверок на предмет соблюдения законодательства о персональных данных:

  • плановые (в соответствии с ежегодно утверждаемым планом, не чаще одного раза в два года в отношении одного и того же оператора (уполномоченного лица), с уведомлением не позднее 10 рабочих дней до начала их проведения);
  • внеплановые (при наличии сведений, в том числе полученных от организации или физического лица, жалоб субъектов персональных данных, свидетельствующих о нарушении требований законодательства о персональных данных);
  • камеральные (по месту нахождения НЦЗПД посредством изучения, анализа и оценки информации, размещенной в СМИ и сети Интернет; документов и иной информации, в том числе полученной по запросу НЦЗПД, без выдачи предписания и уведомления, по результатам могут быть направлены рекомендации об устранении выявленных нарушений законодательства о персональных данных).

В случае выявления по результатам плановой или внеплановой проверки нарушений законодательства о персональных данных, отраженных в акте плановой или внеплановой проверки, выносится письменное требование (предписание) об устранении выявленных нарушений и (или) приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе) с указанием конкретных действий, которые должны быть приостановлены (прекращены), и устанавливает срок такого устранения и (или) приостановления (прекращения), не превышающий шести месяцев.

Важно, что операторы (уполномоченные лица), имеющие положительное заключение НЦЗПД по итогам проведения добровольного аудита соблюдения требований законодательства о персональных данных, не подлежат плановым проверкам в течение пяти лет со дня получения соответствующего заключения.

1.3. Жалобы субъектов персональных данных

Субъекты персональных данных, полагающие, что их права, свободы и законные интересы нарушены при обработке персональных данных, вправе направить в НЦЗПД жалобу по вопросам обработки персональных данных.

Такая жалоба может быть направлена лишь в течение трех месяцев со дня, когда заявителю стало известно о нарушения.

Жалобы рассматриваются не позднее одного месяца со дня, следующего за днем их регистрации в НЦЗПД с возможностью продления срока рассмотрения не более чем на один месяц, если жалоба требует дополнительного изучения и проверки.

2. Обязанности операторов (уполномоченных лиц)

Указ уточняет перечень обязанностей операторов (уполномоченных лиц) в связи с обработкой персональных данных. Так, они:

  • организуют не реже одного раза в пять лет прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных;
  • до 15 декабря 2021 года, а в последующие годы – до 15 ноября обеспечивают представление НЦЗПД информации о количестве лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которым необходимо пройти обучение в НЦЗПД (категории таким лиц будут определены НЦЗПД до 15 ноября 2021 года);
  • устанавливают и поддерживают в актуальном состоянии:
  1. перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются;
  2. категории персональных данных, подлежащих включению в такие ресурсы (системы): общедоступные персональные данные; специальные персональные данные (кроме биометрических и генетических персональных данных); биометрические и генетические персональные данные; персональные данные, не являющиеся общедоступными или специальными;
  3. перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами;
  4. срок хранения обрабатываемых персональных данных;
  • 1 января 2024 года - вносят в создаваемый НЦЗПД государственный информационный ресурс «Реестр операторов персональных данных» сведения об информационных ресурсах (системах), содержащих персональные данные, а также обеспечивают актуализацию соответствующих сведений. Виды информационных ресурсов (систем), сведения о которых подлежат внесению в реестр, а также перечень включаемых в него сведений и срок их внесения в реестр определяются Оперативно-аналитическим центром при Президенте Республики Беларусь.