В рамках реализации норм Закона «О защите персональных данных», который вступает в силу 15 ноября 2021 г, президентом Беларуси 28 октября 2021 г был подписан указ №422, который предусматривает создание Национального центра по защите персональных данных (НЦЗПД). Центр будет являться уполномоченным органом по защите прав субъектов персональных данных, будет осуществлять контроль за обработкой персональных данных в виде плановых, внеплановых и камеральных проверок. Об этом говорится в комментарии юридической компании REVERA.
К операторам персональных данных можно отнести практически всех субъектов предпринимательской деятельности в Беларуси. Оператором персональных данных является государственный орган, юрлицо, иная организация, физлицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и осуществляющие обработку персональных данных. По сути, любая организация является оператором персональных данных как минимум в отношении данных о собственных участниках (если это физические лица), их представителях (например, если участник — юридическое лицо), работниках и представителях своих клиентов (или самих клиентов, если они — физические лица). Если она передает данные другой организации, к примеру, для ведения бухгалтерского учета, последняя будет являться уполномоченным лицом.
Обязанности операторов персональных данных
Указ закрепляет дополнительные (помимо требований закона) обязанности операторов (уполномоченных лиц), в частности, организовывать не реже одного раза в 5 лет прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных.
Операторы обязаны с 1 января 2024 г вносить сведения об информационных ресурсах (системах), содержащих персональные данные, в создаваемый НЦЗПД реестр операторов персональных данных, а также обеспечивать актуализацию соответствующих сведений.
Операторы персональных данных обязаны установить и поддерживать в актуальном состоянии перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются, а также соблюдать срок хранения обрабатываемых персональных данных.
Административная ответственность за нарушение законодательства о защите персональных данных установлена в ст. 23.7 КоАП (за незаконные сбор, обработку, хранение или предоставление персональных данных, нарушение прав субъекта данных, распространение персональных данных, несоблюдение мер обеспечения защиты персональных данных) и предусматривает максимальный штраф до 200 базовых величин (5,8 тыс бел руб), отмечают юристы REVERA.
Права НЦЗПД: проверки, аудит, изменение персональных данных
НЦЗПД наделен рядом прав, среди которых:
- право проводить проверки на предмет соблюдения требований законодательства;
- право требовать в установленных случаях изменения, блокирования, удаления персональных данных или прекращения их обработки;
- право проводить аудиты по вопросам соблюдения операторами требований законодательства о персональных данных.
Виды проверок НЦЗПД
НЦЗПД может осуществлять контроль за обработкой персональных данных в виде плановых, внеплановых и камеральных проверок.
Плановые проверки в отношении одного и того же оператора (уполномоченного лица) могут проводиться не чаще одного раза в 2 года. Сам план проверок утверждается директором НЦЗПД и подлежит публикации на официальном сайте НЦЗПД не позднее 30 декабря года, предшествующего году проведения проверки.
Внеплановые проверки могут назначаться директором НЦЗПД при наличии сведений о нарушении требований законодательств о персональных данных, в том числе полученных от организации или физического лица, жалоб субъектов персональных данных. При этом анонимная информация не будет служить основанием для внеплановых проверок.
В рамках камеральных проверок НЦЗПД проанализирует информацию, размещенную в СМИ и Интернете, а также документы и иную информацию, включая полученную от оператора (уполномоченного лица) по запросу НЦЗПД. По результатам такой проверки оператору (уполномоченному лицу) могут быть направлены рекомендации об устранении выявленных нарушений. Камеральная проверка будет проводиться без уведомления оператора (уполномоченного лица).