Отчеты о деятельности

В соответствии с абзацем вторым пункта 3 статьи 18 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон о защите персональных данных) и абзацем вторым пункта 7 Положения о Национальном центре защиты персональных данных, утвержденного Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“ (далее – Положение о Центре), Центр осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами) в следующих формах:

плановые проверки (план проверок соблюдения законодательства о персональных данных публикуется на сайте Центра в глобальной компьютерной сети Интернет не позднее 30 декабря года, предшествующего году проведения проверки);

внеплановые проверки (основания назначения указаны в части четвертой пункта 13 Положения о Центре);

камеральные проверки (пункт 26 Положения о Центре).

Основной формой контроля, которая превалировала в первые полгода действия Закона о защите персональных данных и функционирования Центра, являлись камеральные проверки.

Плановые проверки.

В 2022 году проведены 6 плановых проверок соблюдения законодательства о персональных данных следующих организаций:

Такое количество плановых проверок обусловлено новизной правового регулирования и необходимостью предоставить операторам время на реализацию мер по защите персональных данных в соответствии с требованиями Закона о защите персональных данных.

Внеплановые проверки.

В 2022 году Центром проведено 7 внеплановых проверок. Основаниями для их назначения стали:

жалобы субъектов персональных данных (3 проверки);

нарушения систем защиты персональных данных, повлекшие утечку персональных данных (3 проверки);

невыполнение рекомендаций, выданных по результатам проведения камеральных проверок (1 проверка).

В ходе плановых и внеплановых проверок изучалось принятие операторами правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

При этом особое внимание уделено надлежащей реализации обязательных мер по обеспечению защиты персональных данных, предусмотренных пунктом 3 статьи 17 Закона о защите персональных данных и подпунктом 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“.

Камеральные проверки.

В 2022 году Центром проводились камеральные проверки в отношении банков, торговых сетей, товариществ собственников, садоводческих товариществ и кооперативов (гаражных, строительных), страховых организаций, представительств иностранных организаций, операторов, осуществляющих деятельность в сфере информационных технологий (разработка программного обеспечения, сайтов и т.п.), и др.

В большинстве случаев поводами для проведения камеральных проверок являлись жалобы субъектов персональных данных.

Отдельные камеральные проверки были инициированы Центром по результатам анализа и оценки информации, размещенной в глобальной компьютерной сети Интернет.

По итогам проведения всех камеральных проверок (37 операторов) выявлены нарушения законодательства о персональных данных, принимаются меры по устранению выявленных нарушений.

Основные нарушения.

Типичные нарушения, выявленные в ходе проверок (плановых, внеплановых, камеральных):

1) невыполнение обязанности по назначению структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

2) ненадлежащее выполнение обязанности по назначению структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных:

формальное возложение обязанностей на одного из работников, который не имеет объективной возможности выполнять соответствующие функции, в том числе с учетом уже имеющихся у него должностных обязанностей (фактическое неосуществление контроля);

возложение обязанностей на работника, который организует обработку персональных данных (например, на заместителя директора, руководителя кадровой службы организации), что приводит к конфликту интересов, либо назначение таких лиц в каждом структурном подразделении оператора;

3) формальный подход к изданию документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, приводящий к фактической бесполезности таких документов для субъектов персональных данных. В большинстве случаев операторами не было обеспечено соотношение в таком документе целей обработки, категорий субъектов персональных данных, чьи данные подвергаются обработке, перечня обрабатываемых персональных данных, либо не отражались все бизнес-процессы, что нарушает положения пункта 6 статьи 4 Закона о защите персональных данных в части прозрачного характера обработки персональных данных;

4) несоответствие локальных правовых актов требованиям законодательства о персональных данных либо отсутствие требуемых локальных правовых актов (например, порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), перечня информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых являются операторы (уполномоченные лица), перечня уполномоченных лиц и т.п.);

5) несоблюдение требований к поручению обработки персональных данных уполномоченным лицам:

изложение договоров с уполномоченными лицами без учета положений пункта 1 статьи 7 Закона;

привлечение к обработке персональных данных уполномоченных лиц без изучения принятия ими соответствующих правовых, организационных и технических мер для обеспечения обработки персональных данных в соответствии с требованиями Закона о защите персональных данных;

6) несоблюдение требований статьи 5 Закона о защите персональных данных к обработке персональных данных на основании согласия:

несоблюдение свободного характера согласия (например, получение согласия работника на обработку персональных данных в процессе трудовой деятельности, включение согласия в качестве обязательного условия в договор, получение единого согласия на достижение несвязанных между собой целей, невозможность отзыва согласия без ухудшения положения субъекта персональных данных);

несоблюдение однозначного характера согласия (например, получение согласия путем молчания или бездействия субъекта персональных данных);

несоблюдение информированного характера согласия (например, непредоставление либо неполное предоставление информации, предусмотренной пунктом 5 статьи 5 Закона о защите персональных данных, изложение неконкретных целей или сроков обработки персональных данных);

7) неосуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

По результатам проведенных плановых, внеплановых и камеральных проверок Центром в 10 случаях направлены материалы в органы внутренних дел для решения вопроса о наличии оснований для начала административного процесса по соответствующим частям статьи 23.7 Кодекса Республики Беларусь об административных правонарушениях.

При выявлении признаков правонарушений Центром применяются следующие критерии, при наличии которых принимается решение о направлении в органы внутренних дел материалов для инициирования начала административного процесса по статье 23.7 ”Нарушение законодательства о защите персональных данных“ Кодекса Республики Беларусь об административных правонарушениях:

выявленные нарушения затрагивают не только заявителя, но и иных лиц, в том числе социально уязвимые категории субъектов персональных данных (несовершеннолетние, пенсионеры), участников программы лояльности и т.п., либо установлены нарушения при трансграничной передаче персональных данных на территорию иностранных государств, которые не обеспечивают надлежащий уровень защиты прав субъектов персональных данных;

не исполнены рекомендации Центра об устранении выявленных им по итогам камеральной проверки нарушений законодательства о персональных данных.

План проверок соблюдения законодательства о персональных данных на 2023 год.

29 декабря 2022 года план проверок соблюдения законодательства о персональных данных на 2023 год опубликован на сайте Центра в глобальной компьютерной сети Интернет. В него включено 13 операторов, 12 из которых – из сферы торговли и услуг, банковской и страховой деятельности, осуществляющих обработку больших массивов персональных данных. Один из операторов осуществляет масштабную обработку персональных данных несовершеннолетних.

Таким образом, количество плановых проверок увеличено более чем в два раза по сравнению с 2022 годом.

Уведомления о нарушении систем защиты персональных данных.

Нарушение системы защиты персональных данных способно причинить серьезный вред правам и законным интересам субъектов персональных данных. Обязанность по уведомлению Центра о таком инциденте направлена на минимизацию негативных последствий нарушений и выявление всех обстоятельств, ставших причиной инцидента.

Порядок уведомления Центра о нарушениях систем защиты персональных данных определен приказом Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 13 ”Об уведомлении о нарушениях систем защиты персональных данных“.

Уведомление о нарушениях систем защиты персональных данных направляется оператором в Центр при нарушении систем защиты персональных данных, за исключением случаев, когда нарушение систем защиты не привело к:

незаконному распространению, предоставлению персональных данных;

изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.

В этой связи обязанность направления такого уведомления не зависит от количества лиц, затронутых данным нарушением.

В 2022 году в Центр поступило 16 уведомлений о нарушении систем защиты персональных данных. Данными нарушениями оказались затронуты свыше 1,2 млн. субъектов персональных данных.

Наиболее крупные утечки персональных данных в 2022 году произошли в:

торговой сети ”Соседи“ (634 тыс. записей);

торговой сети ”Остров чистоты и вкуса“ (148 тыс. клиентов);

службе курьерской доставки ”СДЭК“ (головной офис в Российской Федерации) (695 872 записей о заказах, сделанных жителями Беларуси);

интернет-магазине nlstar.by (85 тыс. клиентов);

ОАО ”Белгазпромбанк“ (41,9 тыс. клиентов).

Кроме того, произошла утечка персональных данных руководителей ряда государственных органов и организаций – участников процедур государственных закупок (55 тыс. записей) из ресурсов, владельцем которых является РУП ”Национальный центр маркетинга и конъюнктуры цен“: https://icetrade.by/, https://goszakupki.by/, https://ca.ncmps.by/, https://export.by/.

В случае выявления в глобальной компьютерной сети Интернет незаконно распространенных баз персональных данных Центром выносится оператору требование об информировании субъектов персональных данных о произошедшей утечке (например, путем индивидуальной рассылки и размещения информации на своем сайте в глобальной компьютерной сети Интернет) и направлении им рекомендаций изменить скомпрометированный пароль.

Кроме того, Центр обращается к владельцам соответствующих интернет-ресурсов, где опубликована такая информация, с запросом об ее удалении.

Также Центр самостоятельно проводит мероприятия по выявлению и удалению распространенных баз данных. В целом, по итогу проведенных Центром мероприятий из сети Интернет удалено свыше 1,6 млн. записей с незаконно распространенными персональными данными жителей республики, в том числе из ресурсов, владельцами которых являются организации, расположенные в иностранных государствах.

Добровольный аудит.

В 2022 году Центром на договорной основе проведено 2 добровольных аудита соблюдения операторами (уполномоченными лицами) требований законодательства о персональных данных.

Всего в 2022 году в Центр поступило 1018 обращений о разъяснении законодательства о персональных данных.

По результатам рассмотрения обращений дан 301 ответ на обращения граждан, 515 ответов на обращения юридических лиц, а в ходе личного приема и в рамках работы горячей линии даны разъяснения 202 заявителям.

Тематика поступивших в Центр жалоб субъектов персональных данных:

Рассмотрена 101 жалоба субъектов персональных данных по вопросам обработки операторами персональных данных в следующих сферах деятельности:

Принимая во внимание одновременное вступление в силу Закона о защите персональных данных и создание Центра (15 ноября 2021 г.), на эту дату отсутствовала методологическая база для принятия операторами (уполномоченными лицами) мер по его реализации.

В этой связи в первой половине 2022 г. основные усилия Центра были направлены на формирование основы для реализации законодательства о персональных данных и проведение широкой разъяснительной работы среди государственных органов и иных организаций.

В настоящее время операторы (уполномоченные лица) обеспечены методологическими документами (включая образцы, шаблоны, формы), необходимыми для должной организации работы по реализации Закона о защите персональных данных.

Все документы размещены на официальном сайте Центра в глобальной компьютерной сети Интернет и находятся в свободном доступе для использования всеми операторами (уполномоченными лицами).

Методологические документы.

Для оперативной поддержки операторов (уполномоченных лиц) Центром разработан пошаговый алгоритм приведения их деятельности в соответствие с требованиями Закона о защите персональных данных.

Алгоритм размещен на официальном сайте Центра в глобальной компьютерной сети Интернет, а также доводится до сведения операторов, уполномоченных лиц в рамках проводимых Центром обучающих мероприятий и оказания образовательных услуг.

Для удобства операторов (уполномоченных лиц), формирования единообразной практики применения Закона о защите персональных данных и во избежание нарушений Центром сформирован ”Портфель оператора“ – электронный архив методологических материалов и форм правовых документов, рекомендуемых для использования в работе операторов (уполномоченных лиц).

В частности, на официальном сайте Центра в глобальной компьютерной сети Интернет размещены:

форма согласия на обработку персональных данных и разъяснения относительно ее заполнения;

Положение о порядке осуществления внутреннего контроля за обработкой персональных данных;

Положение о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

Положение о политике в отношении обработки персональных данных;

Положение о политике в отношении обработки куки;

Положение о политике в отношении обработки персональных данных в процессе трудовой деятельности и при осуществлении административных процедур;

Положение о реестре обработки персональных данных, форма и примеры по формированию реестра обработки персональных данных;

Перечень информационных ресурсов (систем), содержащих персональные данные, и категории персональных данных, подлежащих включению в них;

образец должностной инструкции специалисту по внутреннему контролю за обработкой персональных данных и иные документы.

В рамках комплексной проработки вопросов, связанных с реализацией Закона о защите персональных данных, Центром подготовлены:

Кроме того, с учетом специфики и особенностей осуществляемой обработки персональных данных Центром разработаны комплексные разъяснения о применении Закона о защите персональных данных в 6 сферах, в которых осуществляется обработка значительных массивов персональных данных:

Разъяснительные мероприятия Центра.

1) 28 января 2022 г. по случаю Международного дня защиты персональных данных Центром проведен республиканский онлайн-марафон по вопросам правового регулирования и организации работы по защите персональных данных.

В мероприятии приняли участие около 200 операторов из числа организаций социальной сферы и более 4,5 тысяч представителей учреждений образования, здравоохранения, культуры, социальной защиты, а также средств массовой информации со всех регионов страны.

Участникам мероприятия представлена информация о стандартах защиты персональных данных, правоотношениях, регулируемых Законом о защите персональных данных, субъектах, на которых распространяется его действие, мерах по обеспечению защиты персональных данных, разъяснены вопросы обработки персональных данных в связи с трудовой (служебной) деятельностью.

2) С февраля по апрель 2022 года проведен цикл региональных семинаров по вопросам защиты персональных данных ”Работа с персональными данными: системный подход“.

Данные семинары проведены на базе Брестского, Витебского, Гомельского, Гродненского, Минского областных исполнительных комитетов, а также  Минского городского исполнительного комитета. В них приняли участие руководители и специалисты областных, районных и городских исполнительных комитетов, иных организаций названных областей (более 4 тысяч человек).

Ключевая цель данных мероприятий – разработка ”дорожной карты“ по реализации ”на местах“ Закона о защите персональных данных, выработка единообразного и системного подхода по обеспечению законного сбора персональных данных, их безопасного использования, хранения и иной обработки персональных данных операторами.

3) С мая по июль 2022 года во взаимодействии с Министерством образования Центром организован цикл секторальных мероприятий для работников сферы образования, координирующих организацию работы с персональными данными (в том числе осуществляющих внутренний контроль за их обработкой), с целью оказания им методологической помощи.

Проведено 8 мероприятий по теме ”Оборот персональных данных в образовании: порядок обработки и защиты“, в которых приняли участие около 2 тысяч специалистов высших, средних, средних специальных, профессионально-технических учреждений образования, а также организаций, подчиненных Министерству образования, со всех областей и г. Минска.

4) 1 июня 2022 г. по случаю Международного дня защиты детей специалистами Центра проведено консультирование по вопросам защиты персональных данных несовершеннолетних.

В рамках проводимых по этому случаю мероприятий Центром разработана памятка ”Как защитить персональные данные детей: руководство для родителей“, отражающая ключевые правила личной и цифровой безопасности, которая размещена на сайте Центра в глобальной компьютерной сети Интернет и в социальных сетях.

5) В декабре 2022 года во взаимодействии с Министерством здравоохранения Центром начат цикл мероприятий для работников сферы здравоохранения, включая медицинских работников, ”Оборот персональных данных в здравоохранении: порядок обработки и защиты“.

Работа консультативного совета при Национальном Центре защиты персональных данных.

Во исполнение пункта 12 Положения о Центре принят приказ директора Национального центра защиты персональных данных от 11 января 2022 г. № 1 ”О консультативном совете при Национальном центре защиты персональных данных“.

Данным приказом утверждено Положение о консультативном совете при Национальном центре защиты персональных данных.

В состав консультативного совета вошли представители государственных органов, профильных ассоциаций, научного сообщества, бизнеса и сферы информационных технологий.

На первом заседании консультативного совета в январе 2022 года рассмотрены вопросы, касающиеся применения Закона о защите персональных данных:

к обработке персональных данных, собранных до 15 ноября 2021 г.;

в отношении иностранных организаций, осуществляющих свою деятельность на территории Республики Беларусь через представительства, открытые в порядке, предусмотренном законодательством Республики Беларусь.

На втором заседании консультативного совета в ноябре 2022 года:

рассмотрены Рекомендации Национального центра защиты персональных данных о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных;

обсуждены вопросы, касающиеся определения в соответствии с Законом о защите персональных данных статуса физических лиц, выполняющих работы (оказывающих услуги) по гражданско-правовым договорам, организаций, оказывающих почтовые, курьерские услуги, услуги по перевозке, юридические услуги.

Кроме того, с учетом имеющейся проблематики, связанной с обработкой персональных данных посредством видеонаблюдения, решением консультативного совета в целях формирования общего подхода к порядку осуществления видеонаблюдения в Республике Беларусь, учитывающего требования законодательства о персональных данных, и выработки критериев по определению случаев, когда обработка персональных данных посредством видеонаблюдения будет обоснованной с учетом баланса общественных интересов и интересов субъектов персональных данных, создана рабочая группа по вопросам видеонаблюдения.

Взаимодействие с государственными органами и иными организациями.

За 2022 год Центром направлено 185 инициативных писем государственным органам и иным организациям по вопросам, связанным с реализацией Закона о защите персональных данных.

Основные вопросы, содержащиеся в инициативных письмах, касались:

назначения лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных;

разъяснения законодательства о персональных данных;

обеспечения соблюдения требований законодательства о персональных данных и привлечения к ответственности за его нарушение;

развития взаимодействия и совершенствования законодательства в сфере защиты прав субъектов персональных данных;

проведения обучения и внешнего независимого аудита.

Участие Центра в нормотворческой деятельности.

Одной из функций Центра, предусмотренной абзацем седьмым пункта 2 статьи 18 Закона о защите персональных данных, является участие в подготовке проектов актов законодательства о персональных данных.

В 2022 году Центром рассмотрено 75 проектов нормативных правовых актов, включая проекты международных договоров.

По результатам рассмотрения проектов нормативных правовых актов заинтересованным государственным органам направлены замечания и предложения по их корректировке с учетом положений Закона о защите персональных данных, в том числе принято участие в заседании рабочих групп и экспертных советов заинтересованных государственных органов по обсуждению соответствующих замечаний и предложений Центра.

В целях урегулирования имеющихся проблем в правоприменительной практике и надлежащей правовой регламентации размещения изображений физических лиц на официальных сайтах государственных органов и организаций с учетом требований Закона о защите персональных данных Центром инициировано внесение изменений в Положение о порядке функционирования интернет-сайтов государственных органов и организаций, утвержденное постановлением Совета Министров Республики Беларусь от 29 апреля  2010 г. № 645 ”О некоторых вопросах интернет-сайтов государственных органов и организаций“. В частности, предложено определить перечень должностных лиц государственных органов и организаций, информация о которых, включая их фотографическое изображение, должна быть размещена на интернет-сайте, а также закрепить норму, разрешающую сопровождать размещаемую на интернет-сайте информацию о новостях изображениями граждан, полученными при проведении мероприятий с участием этих государственных органов и организаций.

Предложения Центра реализованы в постановлении Совета Министров Республики Беларусь от 30 декабря 2022 г. № 972 ”Об изменении постановления Совета Министров Республики Беларусь от 29 апреля 2010 г. № 645“.

Кроме того, по инициативе Центра Единый квалификационный справочник должностей служащих дополнен квалификационной характеристикой специалиста по внутреннему контролю за обработкой персональных данных (постановление Министерства труда и социальной защиты Республики Беларусь от 31 октября 2022 г. № 62 ”Об изменении постановлений Министерства труда Республики Беларусь от 30 декабря 1999 г. № 159 и Министерства труда и социальной защиты Республики Беларусь от 2 января 2012 г. № 1“).

Просветительская деятельность Центра.

В 2022 году проводилась активная просветительская работа с молодежью, учащимися и студентами. Так, в формате дней открытых дверей проведены встречи руководства Центра со студентами Белорусского государственного университета, Академии управления при Президенте Республики Беларусь, Международного университета ”МИТСО“.

На протяжении 2022 года значительное внимание уделялось вопросам взаимодействия со СМИ, развитию сайта Центра в глобальной компьютерной сети Интернет, социальных сетей, каналов коммуникации с гражданами.

На площадках Национального пресс-центра и Дома прессы проводились тематические пресс-конференции. Руководство и работники Центра открыты к взаимодействию со СМИ, дают комментарии, разъяснения и рекомендации в части бережного и рачительного отношения к персональным данным.

Первой информационной площадкой для взаимодействия Центра с гражданами, операторами, уполномоченными лицами и СМИ стал Telegram-канал ”Центр персональных данных“, аудитория которого за год выросла практически в 5 раз.

На протяжении года рос индекс медиаактивности Центра.
За 12 месяцев работы Центром было подготовлено и инициировано более 480 публикаций в СМИ, в том числе в теле- и радиоэфирах, интервью новостным порталам и печатным изданиям, анонсов и информационных сообщений. На страницах газет и журналов, а также в эфирах телевидения и радио освещались наиболее важные для общества вопросы деятельности Центра, такие как правила безопасного оборота персональных данных, информация о нарушениях систем их защиты, которые привели к утечке персональных данных, практика привлечения к ответственности за нарушение законодательства о персональных данных, порядок и правила работы операторов с персональными данными и обучения в этой сфере.

На специализированных информационных ресурсах ”Экономическая газета“, Информационно-поисковой системе (ИПС) ”ЭТАЛОН-ONLINE“, портале ”ilex“ на постоянной основе размещаются разработанные Центром рекомендуемые формы, шаблоны документов, аналитические материалы, информация о проводимой разъяснительной работе, новостной контент и ответы на часто задаваемые вопросы.

Информационную поддержку деятельности Центра на постоянной основе оказывают информационные агентства ”БелТА“, ”Минск-новости“ юридический научно-практический журнал ”Юстиция Беларуси“, ”Экономическая газета“, Национальный правовой Интернет-портал Республики Беларусь ”Pravo.by“, газеты ”Звязда“, ”СБ. Беларусь сегодня“, ”Настаўніцкая газета“, ”Аргументы и факты в Беларуси“, телеканалы ”ОНТ“, ”Беларусь 1“, ”Яснае ТВ“, ”СТВ“.

2 февраля 2022 г. Центром обеспечен свободный доступ к официальному сайту cpd.by (цпд.бел), который посещает порядка тысячи уникальных посетителей. Самые посещаемые разделы – ”Портфель оператора“, который содержит шаблоны ”готовых решений“ по приведению деятельности операторов в соответствие с Законом о защите персональных данных, а также раздел ”Образовательные услуги“.

Официальный сайт Центра получил специальный диплом жюри престижной интернет-премии ”ТИБО-2022“ в одной из наиболее популярных номинаций у соискателей наград – ”Ресурсы органов государственной власти“ (было подано порядка сорока заявок).

С целью определения мнения граждан об обеспечении их прав и свобод при обработке персональных данных, а также анализа понимания в организациях принимаемых мер защиты обрабатываемых персональных данных Институтом социологии Национальной академии наук Беларуси по заказу Центра реализовано социологическое исследование на тему ”Ценность и защита персональных данных на современном этапе“.

Планируется, что проведение такого исследования будет осуществляться на регулярной основе и позволит оценивать мнение общества по вопросу защиты персональных данных.

Большинство респондентов (75,8 %) высоко ценят значимость личной информации, при этом 45,7 % из них придерживаются мнения о возможности защиты персональных данных, а 30,1 % опасаются невозможности их защиты в современных условиях.

Только 15,3 % респондентов не осознают значимости защиты персональных данных: воспринимают их как просто информацию о себе (12,2 %) и не придают им никакой ценности (3,1 %).

Более половины опрошенных (56,5 %) с той или иной периодичностью при использовании интернет-сервисов, требующих предоставления персональных данных, знакомятся с Политикой в отношении обработки персональных данных. Каждый четвертый респондент (24,9 %) читает ее всегда, а каждый третий (31,6 %) – время от времени.

Тех, кто не знакомится с текстом Политики (26,6 %), чуть более чем в два раза меньше, в сравнении с теми, кто ее читает (56,5 %). Не читают Политику обработки персональных данных респонденты по двум причинам: не считают это нужным (9,8 %) или не понимают сути (16,8 %).

Более половины опрошенных (57,5 %) имеют опыт предоставления согласия на обработку персональных данных за последние 12 месяцев, при этом каждому третьему респонденту (33,0 %) не приходилось давать такого согласия. Почти каждый десятый (9,5 %) затруднился с ответом.
Каждый четвертый респондент (25,8 %) воспользовался своим правом отказаться предоставлять свои персональные данные. В то же время основная часть респондентов не сталкивалась с ситуациями, в которых у них была необходимость воспользоваться данным правом за последний год (60,2 %).

Более половины опрошенных (57,5 %) имеют опыт предоставления согласия на обработку персональных данных за последние 12 месяцев, при этом каждому третьему респонденту (33,0 %) не приходилось давать такого согласия. Почти каждый десятый (9,5 %) затруднился с ответом.
Каждый четвертый респондент (25,8 %) воспользовался своим правом отказаться предоставлять свои персональные данные. В то же время основная часть респондентов не сталкивалась с ситуациями, в которых у них была необходимость воспользоваться данным правом за последний год (60,2 %).

С вопросами осуществления телефонных звонков с предложениями различных товаров и услуг без их согласия сталкивалось 63,3 % опрошенных, а с рассылкой рекламных сообщений (спама) на мобильный телефон или электронную почту без их согласия – 58,8 %.

Реже встречаются на практике, но несут в себе гораздо больше угроз действия, в которых имеют место признаки состава правонарушений или преступлений: мошенничество с банковскими картами, электронными деньгами, СМС-оплатой, которому подвергались 16,9 % опрошенных, а также взлом социальных сетей и распространение персональных данных, с которым столкнулись 15,8 %.

Отдельной проблемой является публикация персональных данных без разрешения. Так, 4,0 % из опрошенных столкнулись с опубликованием их персональных данных в Интернете, а 1,4 % – в других СМИ (кроме глобальной компьютерной сети Интернет).

Уровень осведомленности населения по вопросам нормативного правового регулирования защиты персональных данных является умеренным: 44,7 % опрошенных белорусов знают о принятии в мае 2021 года Закона о защите персональных данных. Поляризация мнения (с учетом того, что 47,1 % указали на незнание такого Закона, а 8,2 % респондентов затруднились с ответом) говорит, что население скорее находится на стадии знакомства с работой правовой системы, регулирующей данный вопрос.

Таким образом, результаты опроса с одной стороны отражают важность для субъектов персональных данных вопросов защиты персональных данных, с другой – выявляют проблематику данных правоотношений, которая в том числе требует повышения правовой грамотности субъектов персональных данных и формирования у них бережного отношения к своим персональным данным.

Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“ Центру предоставлено право реализовывать образовательную программу повышения квалификации руководящих работников и специалистов, в том числе по вопросам технической и (или) криптографической защиты информации, защиты персональных данных.

Образовательная деятельность Центра в 2022 году развивалась в следующих направлениях:

проведение обучающих семинаров, вебинаров, в том числе корпоративных;

реализация образовательных программ повышения квалификации руководящих работников и специалистов;

проработка вопроса по открытию новой специальности переподготовки ”Защита персональных данных“ на базе Института информационных технологий Белорусского государственного университета информатики и радиоэлектроники на уровне высшего образования, обеспечивающей получение квалификации ”специалист по безопасности данных“.

Центр аккредитован Министерством образования по профилю образования ”Коммуникации. Право. Экономика. Управление. Экономика и организация производства“, направление образования ”Право“; профилю образования ”Техника и технологии“, направление образования ”Информатика и вычислительная техника“; профилю образования ”Службы безопасности“, направлениям образования ”Государственная безопасность“, ”Информационная безопасность“.

С 5 сентября в Центре началась реализация образовательной программы повышения квалификации руководящих работников и специалистов. Это долгожданное событие республиканского значения, – впервые в Беларуси специалистам, которые отвечают за защиту персональных данных в организациях и работают с этими данными, предоставлена возможность повышать квалификацию и развивать свои профессиональные компетенции.

За 2022 год в образовательных и просветительских мероприятиях Центра приняли участие 15 991 человек, из них:

курсы повышения квалификации прошли 1136 человек, в том числе по вопросам защиты персональных данных – 900, информационной безопасности – 169, технической защите государственных секретов – 67;

обучающие семинары – 1067 человек;

вебинары – 752 человека;

корпоративные обучение – 502 человека;

региональные и секторальные семинары и практикумы – 7950 человек;

онлайн-марафоны – 4584 человека.

Центром проводились обучающие корпоративные семинары, как правило для организаций и субъектов хозяйствования, у которых в процессе деятельности накапливается большой объем информации конфиденциального характера и содержащей персональные данные.

85 % участников всех образовательных и просветительских мероприятий Центра обучались на безвозмездной основе.

Центром проводится работа по развитию международного сотрудничества и партнёрства с уполномоченными органами по защите прав субъектов персональных данных других государств.

В 2022 году подписаны меморандумы и соглашения о сотрудничестве с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации, Государственным агентством по защите персональных данных при Кабинете Министров Кыргызской Республики, а также с Комиссаром по информации общественной важности и защите персональных данных Республики Сербия.

Особую ценность в рамках партнерства и взаимодействия Центра и уполномоченных органов по защите персональных данных других государств будет иметь практический положительный опыт по решению актуальных проблем защиты персональных данных граждан, затрагивающий весь комплекс вопросов, связанных с защитой таких данных, совершенствованием национального законодательства в этих направлениях и организацией взаимодействия регуляторов и операторов.

В 2022 году продолжена деятельность Центра по укреплению организационно-технической базы. В обозначенный период приобретались оборудование, технические средства, программные продукты, в том числе для целей защиты информации и модернизации локально-вычислительной сети.

Оснащение учебных помещений отвечает потребностям и интересам всех участников образовательного процесса и соответствует санитарным нормам и правилам. Для осуществления эффективного образовательного процессса компьютерные классы укомплектованы новыми современными персональными электронно-вычислительными машинами, на которых имеется необходимое для корректной работы программное обеспечение, и обеспечен высокоскоростной доступ к ресурсам сети Интернет.

Иногородние слушатели на время обучения в Центре обеспечены местами для проживания.

Продолжается работа по формированию профессионального кадрового состава. В частности, 4 работника Центра имеют степень кандидата юридических наук.

Учитывая объем персональных данных, обрабатываемых в Центре, а также возложенные на него задачи и функции, в структуре управления контроля и аудита в 2022 году создан сектор по вопросам технической защиты персональных данных, в котором работают специалисты, имеющие техническое образование и опыт работы в сфере защиты информации.

Структура Центра по состоянию на 31 декабря 2022 года:

В 2023 году внимание Центра будет сосредоточено на решении ряда проблемных вопросов:

1) На системной основе будет проводиться мониторинг интернет-ресурсов, а том числе зарубежного сегмента, с целью удаления незаконно распространенных персональных данных.

2) Трансграничная передача персональных данных.

Расширяется практика переноса обработки персональных данных граждан Беларуси на территорию иных государств.

Необходимо выработать оптимальный механизм трансграничной передачи в целях защиты прав субъектов персональных данных, снижения рисков утраты цифрового суверенитета, недопущения влияния этого процесса на отечественный рынок IT-услуг.

3) Обработка биометрических персональных данных несовершеннолетних (отпечатков пальцев, изображений лиц и т.п.).

Их незаконное предоставление, распространение, в том числе вследствие утечки, персональных данных имеет серьезные последствия для несовершеннолетнего, его будущей жизнедеятельности.

Обработка биометрических персональных данных несовершеннолетних должна осуществляться только в случаях, прямо предусмотренных законодательными актами, и в объеме, минимально необходимом для целей обработки.

4) Упорядочение видеонаблюдения.

Расширяется практика ведения видеонаблюдения, чему способствует удешевление технологий и повышение доступности технических средств (видеорегистраторы, видеокамеры и др.).

Особую обеспокоенность людей вызывает практика видеонаблюдения за ними на рабочих местах, в гардеробах и др. Имеют место ситуации, когда такое видеонаблюдение ведется скрытно и работники о нем не осведомлены.

В этой связи будет продолжена работа по выработке критериев для определения случаев, когда обработка персональных данных посредством видеонаблюдения будет обоснованной с учетом баланса общественных интересов и прав субъектов персональных данных.

5) Взаимодействие института защиты персональных данных с другими правовыми институтами.

В 2023 году Центром будет продолжена работа по обеспечению согласованности с Законом о защите персональных данных иных актов законодательства, в том числе регулирующих охраняемую законом тайну.

6) Расширение полномочий Центра в части привлечения к административной ответственности.

В настоящее время правом на составление протоколов о совершении административных правонарушений, предусмотренных статьями 23.7 ”Нарушение законодательства о защите персональных данных“ и 24.11 ”Непредставление документов, отчетов и иных материалов“ Кодекса Республики Беларусь об административных правонарушениях, наделены должностные лица органов внутренних дел.

Вместе с тем обработка персональных данных требует оценки деятельности оператора и его должностных лиц, анализа локальных правовых актов оператора и практики их реализации, разъяснения Закона о защите персональных данных, а квалификация соответствующих правонарушений представляет определенную сложность и требует специальных познаний.

В этой связи представляется целесообразным наделение должностных лиц Центра правом на составление протоколов по рассматриваемым статьям Кодекса Республики Беларусь об административных правонарушениях.

7) Предупредительная и разъяснительная работа.

С целью обеспечения реализации требований Закона о защите персональных данных, соблюдения прав субъектов персональных данных, формирования ”цифровой гигиены“ в обществе и информирования населения относительно порядка обработки персональных данных планируется расширение предупредительной и разъяснительной работы Центра.

Такая работа будет осуществляется, в том числе посредством выработки официальных разъяснений и рекомендаций Центра по применению законодательства о персональных данных, взаимодействия со СМИ, доведения полезной информации по вопросам защиты персональных данных на сайте Центра в глобальной компьютерной сети Интернет (cpd.by), социальных сетях и мессенджерах Центра (Telegram, Instagram, YouTube), взаимодействия с государственными органами и иными организациями, осуществления образовательного процесса и повышения квалификации специалистов, работающих с персональными данными, повышения грамотности в вопросах обработки персональных данных субъектов персональных данных.

Директор                                                                              А.А.Гаев

В соответствии с абзацем вторым пункта 3 статьи 18 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон о защите персональных данных) и абзацем вторым пункта 7 Положения о Национальном центре защиты персональных данных, утвержденного Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 (далее – Положение о Центре), Национальный центр защиты персональных данных (далее, если не определено иное, – Центр) осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами) в следующих формах:

плановые проверки (План проверок соблюдения законодательства о персональных данных публикуется на сайте Центра в глобальной компьютерной сети Интернет (далее – сайт Центра) не позднее 30 декабря года, предшествующего году проведения проверки.);

внеплановые проверки;

камеральные проверки.

В 2023 году при осуществлении контроля применялись все три формы проверок. По итогам их проведения в каждом случае были выявлены нарушения.

Кроме того, основаниями для проведения контрольных мероприятий служили жалобы субъектов персональных данных на нарушения их прав при обработке персональных данных. Выполняя свою задачу по восстановлению нарушенных прав, Центр по результатам рассмотрения таких жалоб вынес операторам более 180 требований об устранении выявленных нарушений.

Плановые проверки.

В 2023 году проведено 13 плановых проверок соблюдения законодательства о персональных данных в отношении следующих операторов:

При отборе операторов для включения в план проверок в качестве основных критериев учитывались:

масштабная обработка операторами персональных данных;

осуществление ими видов деятельности, по которым субъектами персональных данных в 2022 году было подано большое количество обоснованных жалоб (в частности, в сферах торговли и услуг, страхования и иной финансовой деятельности).

Внеплановые проверки.

В 2023 году Центром проведено 7 внеплановых проверок. Основаниями для их назначения стали, в частности:

нарушения систем защиты персональных данных, повлекшие их утечку (проверки в отношении ООО ”Инмедбай“, УП ”Торговый дом ”Лагуна“, ООО ”ДПМ“, ООО ”Онлайн Маршрутки“);

невыполнение рекомендаций, данных по результатам проведения камеральных проверок (проверка в отношении ООО ”Плэй хард“) (На практике для устранения нарушений, выявленных по итогам проведения камеральных проверок, Центром предоставляется, как правило, один месяц. Если оператору требуется больше времени (например, по причине необходимости корректировки бизнес-процессов), он вправе обратиться в Центр с ходатайством о продлении сроков устранения нарушений, обосновав его наличием объективных причин, препятствующих устранению нарушений в установленный срок, и отразив конкретные сроки устранения нарушений. В свою очередь, длительное невыполнение без уважительных причин либо неоднократное ненадлежащее выполнение рекомендаций, данных по итогам проведения камеральной проверки, может послужить основанием для проведения внеплановой проверки);

невыполнение уполномоченным лицом обязательных мер по обеспечению защиты персональных данных (проверка в отношении ООО ”Белан Технологии“) (Проверка оператором соблюдения уполномоченным лицом обязательных мер по обеспечению защиты персональных данных является важной мерой по обеспечению защиты персональных данных, которая должна быть реализована всеми операторами как часть риск-ориентированного подхода. При проведении каждой плановой или внеплановой проверки Центром оценивается, удостоверился ли оператор в принятии обязательных мер по обеспечению защиты персональных данных уполномоченным лицом или нет. Особое внимание уделяется ситуациям, когда оператором переданы на аутсорсинг ключевые бизнес-процессы одному уполномоченному лицу без подтверждения фактической реализации им обязательных мер. В таком случае проведение внеплановой проверки такого уполномоченного лица и при необходимости вынесение требования о приостановке обработки персональных данных выступает действенным способом обеспечения защиты прав граждан).

В целом, в ходе плановых и внеплановых проверок изучалось принятие операторами правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

При этом особое внимание уделялось надлежащей реализации обязательных мер по обеспечению защиты персональных данных, предусмотренных пунктом 3 статьи 17 Закона о защите персональных данных и подпунктом 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“.

Камеральные проверки.

В 2023 году Центром проведено 18 камеральных проверок. В 10 случаях поводами для их проведения являлись жалобы субъектов персональных данных, а в 6 случаях – поступившие от операторов уведомления о нарушении систем защиты персональных данных.

Снижение количества камеральных проверок в сравнении с прошлым годом обусловлено смещением акцентов в контрольной работе на рассмотрение конкретных нарушений операторами (уполномоченными лицами) законодательства о персональных данных и принятие мер по их устранению.

Несмотря на вступление Закона о защите персональных данных в силу 15 ноября 2021 г., значительное количество операторов, попавших в ”поле зрения“ Центра в 2022 году, не выполнили полностью или частично обязательные меры по обеспечению защиты персональных данных (например, не приняли и не опубликовали на своем сайте политику в отношении обработки персональных данных).

Поэтому в 2022 году, помимо реагирования на конкретное нарушение, послужившее основанием для проведения камеральной проверки, в рекомендациях по ее результатам указывалось на необходимость принятия операторами всего комплекса обязательных мер по обеспечению защиты персональных данных (при наличии у Центра информации о том, что эти меры не реализованы или реализованы ненадлежащим образом), обеспечения получения надлежащего согласия на обработку персональных данных, устранения иных нарушений, выявленных Центром в ходе мониторинга интернет-ресурсов.

В свою очередь, в 2023 году нарушения, связанные с нереализацией обязательных мер, встречались реже, что свидетельствует о повышении уровня правосознания представителей операторов и, в определенной степени, как показывает обратная связь, их нежелании попадать в ”поле зрения“ уполномоченного органа по формальным основаниям.

Это позволило сконцентрировать усилия Центра на обеспечении защиты прав субъектов персональных данных по конкретным выявленным нарушениям. Так, как отмечалось ранее, в 2023 году Центром вынесено операторам свыше 180 требований об устранении нарушений законодательства о персональных данных, выявленных по жалобам субъектов персональных данных. Обеспечен контроль их исполнения.

Основные нарушения.

Характер выявляемых Центром нарушений изменился. Так, если в 2022 году, как уже отмечалось, преобладали нарушения, связанные с нереализацией обязательных мер по обеспечению защиты персональных данных, то в 2023 году Центром отмечалось преимущественно недостаточная эффективность принимаемых мер либо формальный подход к их реализации (например, принятие необходимых локальных правовых актов без фактического применения их в деятельности оператора, заимствование ”типовых документов“ из аналитических правовых систем без их адаптации к условиям деятельности конкретного оператора и т.п.).

Типичными нарушениями, выявленными в ходе контрольных мероприятий, явились:

1) фактическое неосуществление внутреннего контроля за обработкой персональных данных, подтверждаемое отсутствием у оператора соответствующих документов (планов проведения мониторинга или проверок структурных подразделений организации, отчетов по итогам проведения контрольных мероприятий), а также неустановление оператором порядка осуществления внутреннего контроля;

2) формальное возложение обязанностей по осуществлению внутреннего контроля на одного из работников, который не имеет объективной возможности выполнять соответствующие функции, в том числе с учетом уже имеющихся у него должностных обязанностей, либо возложение таких обязанностей на работника, который организует и (или) непосредственно осуществляет обработку персональных данных (например, на заместителя директора, руководителя или специалиста кадровой службы организации), что приводит к конфликту интересов;

3) формальный подход к изданию документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, приводящий к фактической бесполезности таких документов для субъектов персональных данных.
В большинстве случаев операторами не обеспечивается соотношение в таком документе целей обработки, категорий субъектов персональных данных, чьи данные подвергаются обработке, перечня обрабатываемых персональных данных, действий, совершаемых с ними, либо не отражаются все бизнес-процессы, что нарушает положения пункта 6 статьи 4 Закона о защите персональных данных в части прозрачного характера обработки персональных данных.
Кроме того, нередко такие документы излагаются сложным языком с использованием специфических юридических или технических терминов, что затрудняет их понимание субъектами персональных данных;

4) неэффективный способ ознакомления работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных (например, размещение на информационных стендах организации либо рассылка посредством корпоративной почты с указанием на необходимость его самостоятельного изучения), без реального обучения с последующим контролем знаний (в формах опроса, тестирования и т.п.);

5) несоответствие установленного порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), реальному положению дел по разграничению прав доступа к персональным данным (например, предоставление работнику доступа к персональным данным, которые не являются необходимыми для его трудовой функции);

6) обработка персональных данных без наличия правового основания. Примерами такой обработки является распространение персональных данных других граждан без их согласия (например, в мессенджерах, социальных сетях и на иных интернет-ресурсах, досках объявлений товариществ собственников и т.п.), звонки с предложением купить какой-либо товар, посетить мероприятие, рассылка рекламных сообщений и размещение на сайте фотографий граждан в рекламных целях без получения их согласия на обработку персональных данных;

7) привлечение к обработке персональных данных уполномоченных лиц без изучения и подтверждения принятия ими соответствующих правовых, организационных и технических мер по обеспечению защиты персональных данных в соответствии с требованиями Закона о защите персональных данных;

8) несоблюдение требований статьи 5 Закона о защите персональных данных к обработке персональных данных на основании согласия:

а) необеспечение свободного характера согласия (например, включение согласия в качестве обязательного условия в договор, получение единого согласия на достижение не связанных между собой целей);

б) необеспечение информированного характера согласия (например, непредоставление либо неполное предоставление информации, предусмотренной пунктом 5 статьи 5 Закона о защите персональных данных, изложение неконкретных целей или сроков обработки персональных данных, определение открытого перечня обрабатываемых персональных данных);

9) неосуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

Операторам следует иметь в виду, что, помимо вынесения по итогам проведения плановой или внеплановой проверки письменного требования (предписания) об устранении выявленных нарушений, Центр вправе принимать решение о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе) с указанием конкретных действий, которые должны быть приостановлены (прекращены), и устанавливать срок такого приостановления (прекращения), не превышающий шести месяцев.

С учетом серьезных последствий, которые влечет для оператора принятие соответствующего решения, Центр использует этот инструмент максимально точечно и взвешенно: в 2023 году решение о приостановлении обработки персональных данных в информационных ресурсах (системах) принято Центром в отношении двух операторов.

Кроме того, за нарушение законодательства о персональных данных установлена административная и уголовная ответственность.

В настоящее время Центр не является органом, ведущим административный процесс, в связи с чем при выявлении в действиях (бездействии) операторов признаков административного правонарушения, соответствующая информация направляется в органы внутренних дел, должностные лица которых наделены полномочиями по составлению протоколов об административных правонарушениях.

Так, по результатам проведенных проверок Центром в 18 случаях направлены материалы в органы внутренних дел для решения вопроса о начале административного процесса по:

статье 23.7 ”Нарушение законодательства о защите персональных данных“ Кодекса Республики Беларусь об административных правонарушениях (далее – КоАП) (16 случаев). Так, например, на Унитарное предприятие ”Торговый дом ”Лагуна“ наложен штраф в размере 20 базовых величин за совершение административного правонарушения, предусмотренного частью 4 данной статьи;

статье 24.1 ”Неисполнение письменного требования (предписания)“ КоАП (1 случай);

статье 24.11 ”Непредставление документов, отчетов и иных материалов“ КоАП (1 случай).

План проверок соблюдения законодательства о персональных данных на 2024 год.

Приказом директора Национального центра защиты персональных данных от 22 декабря 2023 г. № 118 утвержден план проверок соблюдения законодательства о персональных данных на 2024 год, в который включено 11 операторов.

В данный план включены преимущественно операторы, которые осуществляют обработку персональных данных большого количества граждан. Соблюдение законодательства о персональных данных такими операторами обуславливает особое внимание Центра, поскольку, с одной стороны, крупные операторы выступают ”маяком“ для иных операторов, а с другой, нарушение ими законодательства влечет риски нарушения прав одновременно значительного числа субъектов персональных данных.

С учетом того, что включенные в план операторы осуществляют обработку персональных данных в различных сферах (торговля, здравоохранение, игорный бизнес и т.п.), изучение их деятельности позволит Центру получить более полную картину реализации на практике законодательства о персональных данных, в том числе выявить проблемные вопросы и предложить варианты их решения.

На основании анализа поступающих в Центр жалоб и обращений по вопросам реализации требований Закона о защите персональных данных в организациях здравоохранения и образования, с учетом большого количества таких организаций, значимости их деятельности для населения и обрабатываемой ими личной информации, а также постоянного взаимодействия с уязвимыми категориями субъектов персональных данных (несовершеннолетние, пациенты) в план впервые включены организации, осуществляющие обработку персональных данных в соответствующих сферах жизнедеятельности населения.

Уведомления о нарушении систем защиты персональных данных.

Нарушение системы защиты персональных данных способно причинить серьезный вред правам и законным интересам субъектов персональных данных. Обязанность по уведомлению Центра о таком инциденте направлена на минимизацию негативных последствий нарушений, выявление и устранение всех обстоятельств, ставших причиной инцидента.

Порядок уведомления Центра о нарушениях систем защиты персональных данных определен приказом Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 13 ”Об уведомлении о нарушениях систем защиты персональных данных“.

Такое уведомление направляется оператором в Центр при нарушении систем защиты персональных данных, за исключением случаев, когда нарушение систем защиты не привело к:

незаконному распространению, предоставлению персональных данных;

изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.

Обязанность направления такого уведомления не зависит от количества лиц, затронутых инцидентом.

В 2023 году в Центр поступило 17 уведомлений о нарушении систем защиты персональных данных. Особый вред для субъектов персональных данных несут утечки персональных данных. С целью их выявления Центром проводится ежедневный мониторинг, в ходе которого анализируется содержание десятков интернет-ресурсов.

В отличие от 2022 года количество случаев утечек персональных данных, как и количество субъектов персональных данных, затронутых утечками, сократилось. Такому положению дел способствовало принятие операторами необходимых мер по обеспечению защиты персональных данных, в том числе для упреждения административной нагрузки в связи с проведением проверок соответствующими органами по факту утечек и последующим применением санкций, а также недопущения значительных репутационных потерь.

Наиболее крупные нарушения систем защиты персональных данных в 2023 году произошли в его первой половине в следующих организациях:

ЧТУП ”ЗападХимТорг“ (730 тыс. записей) (утечка);

ООО ”ДПМ“ (226 тыс. записей) (утечка);

РУП ”Витебское агентство по государственной регистрации и земельному кадастру“ (50 тыс. записей) (временная потеря контроля над содержимым локальной сети);

ООО ”Инмедбай“ (14 тыс. записей) (утечка);

БГУ (6 тыс. записей) (утечка);

ЧТУП ”Юркас“ (5 тыс. записей) (утечка).

В случае выявления Центром в глобальной компьютерной сети Интернет незаконно распространенных баз персональных данных оператору выносится требование об информировании субъектов персональных данных о произошедшей утечке (например, путем индивидуальной рассылки и размещения информации на своем сайте в глобальной компьютерной сети Интернет) и направлении им рекомендаций по изменению скомпрометированных логина и пароля.

Кроме того, Центр обращается к владельцам соответствующих интернет-ресурсов, где опубликована такая информация, за ее удалением.

Удаление персональных данных.

Центр имеет право требовать от операторов блокирования или удаления полученных незаконным путем персональных данных, прекращения обработки персональных данных, если иными способами невозможно обеспечить защиту прав субъектов персональных данных (абзацы шестой и седьмой пункта 8 Положения о Центре).

Основаниями для вынесения такого требования в 2023 году являлись:

обработка персональных данных без надлежащих правовых оснований (например, распространение видеоизображений субъектов персональных данных в социальных сетях, сведений о должниках по оплате жилищно-коммунальных услуг и т.п.);

обработка персональных данных, которые являются избыточными для достижения конкретной цели (например, истребование копий паспортов для внесения сведений в договор с субъектом персональных данных);

продолжение обработки персональных данных после достижения целей их обработки (например, сохранение на интернет-ресурсах учреждений образования списков зачисленных студентов за предыдущие годы).

Центром уделяется значительное внимание удалению незаконно обрабатываемых персональных данных. Помимо очевидного нарушения прав субъектов персональных данных следует учитывать, что персональные данные являются ценным активом, привлекающим внимание злоумышленников. Так, например, накопление копий паспортов у оператора (особенно, в его информационных ресурсах (системах)) может повысить риск нарушения систем защиты персональных данных и компрометации всех обрабатываемых оператором персональных данных.

При незаконном распространении персональных данных на зарубежных интернет-ресурсах Центр обращается с запросом об их удалении к владельцам этих ресурсов, а также к уполномоченным органам по защите персональных данных соответствующих государств.

В 2023 году Центром удалено 2 722 106 незаконно обрабатываемых записей о субъектах персональных данных. Из этого количества 622 106 записей носят уникальный характер, из которых 599 961 запись удалена в рамках предупредительной работы.

Государственный информационный ресурс ”Реестр операторов персональных данных“.

Подпунктом 3.6 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“ на операторов с 1 января 2024 г. дополнительно возложена обязанность вносить в создаваемый Центром государственный информационный ресурс ”Реестр операторов персональных данных“ (далее – Реестр) сведения об информационных ресурсах (системах), содержащих персональные данные, а также обеспечивать актуализацию соответствующих сведений.

Виды информационных ресурсов (систем), сведения о которых подлежат внесению в Реестр, а также перечень включаемых в него сведений и срок их внесения определены приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 1 июня 2022 г. № 94 ”О государственном информационном ресурсе ”Реестр операторов персональных данных“.

Поскольку владельцем и оператором Реестра является Центр, в 2023 году велась работа по его созданию, проведению открытых тестирований, введению в эксплуатацию.

В преддверии начала его работы Центром подготовлены разъяснения по наиболее актуальным вопросам функционирования Реестра и внесению в него сведений об информационных ресурсах (системах), а также видеоруководство пользователя, содержащее пошаговую инструкцию по авторизации и внесению сведений в Реестр.

Материалы размещены на сайте Центра и его YouTube-канале.

Добровольный аудит.

Проведение аудитов соблюдения операторами требований законодательства о персональных данных имеет своей целью оказание содействия операторам в устранении нарушений и построении эффективной системы защиты персональных данных.

В 2023 году Центром на договорной основе проведено 4 добровольных аудита. При этом 2 аудита носили частичный характер (по решению операторов проведены в отношении конкретных бизнес-процессов).

В 2023 году в Центр поступило 1468 обращений граждан и юридических лиц по вопросам разъяснения законодательства о персональных данных. Это на 31 % больше по сравнению с 2022 годом.

По результатам их рассмотрения подготовлено 363 ответа на обращения граждан и 540 – на обращения (запросы) юридических лиц.

В рамках личного приема и работы горячей линии даны разъяснения 565 заявителям.

Основные вопросы, содержащиеся в обращениях граждан и юридических лиц, касались определения правовых оснований обработки персональных данных, получения согласия на обработку персональных данных, осуществления видеонаблюдения и аудиозаписи, соблюдения иных требований к обработке персональных данных, реализации мер по обеспечению защиты персональных данных и прав субъектов персональных данных, трансграничной передачи персональных данных, разграничения правового статуса оператора и уполномоченного лица.

Кроме того, в истекшем году рассмотрена 191 жалоба субъектов персональных данных по вопросам обработки персональных данных операторами, что почти вдвое больше, чем в 2022 году.

Это свидетельствует о росте правовой осведомленности и заинтересованности граждан по вопросам защиты своих прав как субъектов персональных данных.

Значительная часть жалоб (35 %) касалась сферы торговли и услуг (торговые сети, интернет-магазины, услуги по организации досуга, консалтинговые и аутсорсинговые услуги и т. п.). В 24 % случаях жалобы были связаны с обработкой личной информации в деятельности организаций жилищно-коммунального хозяйства и организаций собственников (садоводческие товарищества, товарищества собственников, жилищно-строительные кооперативы и т.п.).

Немало поступивших жалоб касалось обработки персональных данных в области почтовой связи и электросвязи, в социальной сфере (здравоохранение, образование), а также затрагивало деятельность банков, финансовых и страховых организаций (по 6 % соответственно). 5% жалоб поступило на действия нанимателей при обработке персональных данных своих работников. Такое же количество жалоб связано с деятельностью государственных органов и иных государственных организаций.

5 % жалоб касалось случаев обработки персональных данных в процессе личного, семейного, домашнего и иного подобного их использования.

Сравнительный анализ поступивших в Центр жалоб за 2022 и 2023 годы свидетельствует об их существенном снижении (в 2 раза) в тех сферах, по которым Центром подготовлены соответствующие рекомендации и разъяснения (в частности, в банковской, трудовой сферах, в сфере связи).

Вместе с тем фиксируется рост жалоб субъектов персональных данных в сфере деятельности организаций жилищно-коммунального хозяйства и организаций собственников, а также в сферах торговли и услуг.

Центром принимаются меры, направленные на создание условий для защиты персональных данных, осуществляется координация с этой целью деятельности государственных органов, иных организаций и граждан.

В 2023 году Центром продолжена реализация модели работы, направленной, прежде всего, на предупреждение нарушений прав субъектов персональных данных, формирование надлежащей правоприменительной практики, единообразного понимания положений Закона о защите персональных данных.

Методологические документы.

Центром подготовлен постатейный практикооринтированный комментарий к Закону о защите персональных данных.

Комментарий разработан с учетом подходов, выработанных Центром за время применения Закона о защите персональных данных, анализа практики его реализации, международного и зарубежного опыта регулирования вопросов защиты персональных данных.

В нем в доступной форме изложены детальный разбор конкретных ситуаций и примеров, рекомендации по организации работы с персональными данными, которые помогут операторам и уполномоченным лицам правильно применять на практике законодательство о персональных данных, а гражданам лучше понять Закон о защите персональных данных и свои права в части оборота личной, конфиденциальной информации.

Основной акцент в методологической деятельности Центра сделан на выработку совместно с заинтересованными государственными органами подходов по наиболее волнующим граждан вопросам.

1) О видеонаблюдении.

В частности, Центром во взаимодействии с заинтересованными государственными органами:

В разъяснениях о порядке осуществления видеонаблюдения в многоквартирных жилых домах Центром дана оценка следующим вопросам:

– правовые основания обработки персональных данных при осуществлении видеонаблюдения;

– круг лиц, которые имеют доступ к онлайн-трансляции (архивам) видеонаблюдения;

– срок хранения видеозаписей;

– обеспечение защиты персональных данных при оказании услуги видеонаблюдения.

Для выполнения предусмотренных Жилищным кодексом Республики Беларусь обязанностей (полномочий) по обеспечению сохранности общего имущества совместного домовладения путем установки по решению общего собрания участников совместного домовладения (если за него проголосовали более половины участников совместного домовладения, принявших участие в общем собрании) камер видеонаблюдения на имуществе, относящемся к общему имуществу совместного домовладения, обработка персональных данных может осуществляться без согласия субъектов персональных данных на основании абзаца двадцатого статьи 6 Закона о защите персональных данных.

Вопрос осуществления видеонаблюдения нанимателем нашел отражение в рекомендациях Центра об обработке персональных данных в связи с трудовой (служебной) деятельностью.

Видеонаблюдение на рабочих местах допускается лишь при наличии специфических обстоятельств, требующих организации постоянного контроля на рабочем месте. Такое видеонаблюдение может иметь место при наличии высокой степени рисков, связанных с опасными условиями труда (на строительных площадках, иных травмоопасных производствах и т.п.), работе с материальными ценностями (кассиры на торговых объектах, в банках и т.п.) или связанной с непрерывным обслуживанием клиентов.

В то же время видеонаблюдение за офисными работниками, работа которых не обременена подобными факторами (рабочие места считаются безопасными) или выборочно на рабочих местах отдельных (конкретных) работников, выполняющих аналогичные функции, признается несоответствующей требованиям статьи 4 Закона о защите персональных данных.
Видеонаблюдение в целях противодействия коррупции может иметь место в исключительных случаях в связи с наличием (в том числе статистически подтвержденных) высоких рисков совершения правонарушений коррупционного характера.

Центром выработаны также рекомендации относительно возможности использования нанимателями видеонаблюдения с видеораспознаванием лиц (уникальной идентификацией) в системах управления и контроля доступом в здание при организации пропускного режима и учета явки работников на работу и ухода с нее.

Использование таких систем видеонаблюдения как единственного механизма учета явки работников на работу и ухода с нее может осуществляться только в случаях, когда такой цели нельзя достичь иным способом (например, с использованием карточки) либо когда такое требование прямо предусмотрено в законодательных актах.

Подобная обработка биометрических персональных данных может быть оправдана, например, в связи с работой на особо опасных, режимных объектах, объектах военного и специального назначения, в банковской сфере в целях охраны помещений, в которых хранятся денежные средства и иные ценности либо установлены серверы, и т.п. В иных случаях такая модель не отвечает требованию соразмерности (пункт 2 статьи 4 Закона о защите персональных данных) и влечет риски для прав субъектов персональных данных.

Видеонаблюдение в организациях здравоохранения сопряжено с обработкой персональных данных, входящих в состав врачебной тайны, а также иной информации о частной жизни физических лиц, включая сведения, составляющие личную и семейную тайну, защита которой в силу ее деликатности и уязвимости гарантируется Конституцией Республики Беларусь и иными законодательными актами. В этой связи с Министерством здравоохранения достигнута договоренность о дальнейшем нормативном урегулировании этого вопроса в отраслевом законодательстве.

Видеонаблюдение в кабинетах врачей должно осуществляться с согласия пациентов.

2) О копиях документов, удостоверяющих личность.

Вопрос правомерности изготовления и последующего хранения операторами (уполномоченными лицами) копий документов, удостоверяющих личность, при обращении к ним по различным вопросам (заключение договоров, осуществление административных процедур, реализация иных прав граждан и т.п.) проработан Центром совместно с Министерством внутренних дел, Министерством юстиции и Министерством экономики.

С учетом объема персональных данных, содержащихся в документе, удостоверяющем личность, как правило, изготовление и хранение операторами (уполномоченными лицами) копии этого документа влекут избыточную обработку персональных данных по отношению к заявленным целям (например, фотоизображения, сведения о гражданстве, сроке действия документа, удостоверяющего личность, дате и месте рождения и т.п.), что нарушает требования статьи 4 Закона о защите персональных данных.

Кроме того, согласно законодательству незаконные действия с документом, удостоверяющим личность, рассматриваются как административное правонарушение.

В этой связи изготовление и приобщение к пакету документов копии документа, удостоверяющего личность, могут иметь место только в случае, если это прямо предусмотрено законодательством.

3) Об объеме сведений, необходимом для оформления доверенности.

Перечень сведений, которые должны содержаться в доверенностях, нормативно определен лишь в отдельных случаях (в частности, в отношении нотариально удостоверенных доверенностей и доверенностей, приравниваемых к нотариально удостоверенным).

В иных ситуациях для того, чтобы лицо, которому предъявляют доверенность, смогло безошибочно идентифицировать представителя, как правило, достаточно указывать в доверенности фамилию, собственное имя, отчество представителя, должность (в доверенности, выдаваемой работнику на представление интересов нанимателя при выполнении им трудовой функции) и, если требуется, – данные документа, удостоверяющего личность.

Указание в доверенности такого реквизита, как адрес места жительства лица, которому выдан этот документ, допускается только если это предусмотрено законодательством.

Особое внимание Центра в 2023 году было уделено оказанию методологической помощи по приведению деятельности организаций социально значимых сфер, включая сферы образования и здравоохранения, в соответствие с законодательством о персональных данных.

В частности, в сфере образования проанализированы во взаимодействии с заинтересованными:

процессы обработки персональных данных детей для целей выдачи ученических билетов, организации вступительной кампании, ведения электронных дневников, регистрации на репетиционное тестирование;

обоснованность, в том числе с учетом поступавших жалоб и обращений, получения от родителей согласий на обработку персональных данных их детей, а также соразмерность объема запрашиваемых учреждениями образования от родителей сведений и целей обработки персональных данных.

По результатам данной работы подготовлены разъяснения Национального центра защиты персональных данных:

Кроме того, Центром актуализирован и усовершенствован ”Портфель оператора“ – электронный архив методологических материалов и форм правовых документов, рекомендуемых для использования в работе операторов (уполномоченных лиц).

Комментарий к Закону о защите персональных данных, разъяснения Центра по обозначенным и иным вопросам, а также ”Портфель оператора“ размещены в свободном доступе на сайте Центра (https://cpd.by/pravovaya-osnova/portfel-operatora/).

Разъяснительные мероприятия Центра.

1) 26 января 2023 г. проведен первый Международный форум по вопросам защиты персональных данных, на котором выступили руководители уполномоченных органов по защите прав субъектов персональных данных Республики Армения, Республики Беларусь, Кыргызской Республики, Республики Сербия, Российской Федерации, государственных органов, иных организаций нашей страны, представители отечественного бизнеса, эксперты в сфере защиты персональных данных и информационной безопасности.

В рамках форума подведены итоги конкурса на лучшую работу в сфере защиты персональных данных, в котором приняли участие студенты, молодые ученые и практикующие юристы, а также организована церемония награждения журналистов и редакций средств массовой информации за сотрудничество и активную информационную поддержку темы защиты персональных данных.

2) С целью оказания методологической помощи представителям системы образования во взаимодействии с Министерством образования Центром на безвозмездной основе организован цикл обучающих семинаров ”Оборот персональных данных в сфере образования: порядок обработки и защиты“. В рамках данного мероприятия в онлайн и оффлайн форматах проведено 7 обучающих семинаров (для каждой области и города Минска).

3) Во взаимодействии с Министерством здравоохранения Центром проведен на безвозмездной основе цикл семинаров на тему ”Оборот персональных данных в здравоохранении: порядок обработки и защиты“. В рамках данного мероприятия семинары проведены во всех областях и в городе Минске.

4) Организован цикл региональных семинаров для прокурорских работников, в рамках которых освещены проблемные вопросы применения законодательства о персональных данных с акцентом на типичные нарушения в этой сфере. Такие семинары были организованы на базе Генеральной прокуратуры, а также прокуратур областей и города Минска.

5) На базе Центра впервые для специалистов по осуществлению внутреннего контроля за обработкой персональных данных организована рабочая встреча на тему ”Внутренний контроль за обработкой персональных данных: анализ практики и перспективы развития“.

Мероприятие прошло в формате открытого микрофона и позволило представителям различных организаций (банки, страховые компании, торговые сети, учреждения образования и т.д.) обменяться профессиональным опытом, обсудить проблемы, возникающие при реализации требований законодательства, найти возможные пути их решения.

В рамках мероприятия обсуждены вопросы ведения операторами реестра обработки персональных данных, оптимизации работы с согласиями на обработку персональных данных, включая организацию порядка их отзыва, обучения работников вопросам защиты персональных данных, взаимодействия специалистов по осуществлению внутреннего контроля за обработкой персональных данных со специалистами по информационной безопасности.

По итогам мероприятия лучшие практики осуществления внутреннего контроля за обработкой персональных данных в обобщенном формате размещены на сайте Центра, а также на сайте ООО ”ЮрСпектр“.

Участниками мероприятия отмечена актуальность и эффективность подобного формата взаимодействия с Центром и высказана заинтересованность в продолжении такого взаимодействия в дальнейшем.

Работа консультативного совета при Национальном Центре защиты персональных данных.

В 2023 году при консультативном совете при Национальном центре защиты персональных данных была создана рабочая группа по вопросам видеонаблюдения, в которую наряду с представителями Центра вошли представители Транспортной инспекции Министерства транспорта и коммуникаций, Министерства энергетики, Министерства здравоохранения, Национального банка, Министерства связи и информатизации, Министерства юстиции, Министерства образования и РУП ”Белтелеком“.

По результатам обзора международного и зарубежного опыта, национального законодательства, регулирующего порядок обработки персональных данных посредством осуществления видеонаблюдения, анализа правоприменительной практики рабочей группой принято решение о необходимости и целесообразности регулирования данного вопроса в отраслевом законодательстве.

Взаимодействие Центра с государственными органами и иными организациями. Участие в нормотворческой деятельности.

В вопросах защиты персональных данных важно объединение усилий всех заинтересованных сторон: граждан, бизнеса, а также государственных органов.

Деятельность государственных органов и подчиненным им, входящих в их состав (систему) организаций неразрывно связана со сбором или иной обработкой больших массивов персональных данных. Государственные органы являются владельцами информационных ресурсов и систем, содержащих значительное количество информации о гражданах, необходимой для их эффективной деятельности, принятия управленческих решений.

В 2023 году Центром было продолжено активное взаимодействие с государственными органами, в том числе по вопросу приведения отраслевого законодательства в соответствие с требованиями Закона о защите персональных данных.

В Концепции правовой политики Республики Беларусь, утвержденной Указом Президента Республики Беларусь от 28 июня 2023 г. № 196, в качестве одной из задач в сферах конституционного законодательства и законодательства о государственном управлении определена задача своевременной актуализации законодательства и совершенствования практики обработки персональных данных.

В частности, Центром организован ряд соответствующих мероприятий.

1) 19 апреля Центром проведен семинар на тему ”Реализация Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ в республиканских органах государственного управления и организациях, входящих в их состав (систему)“.

В мероприятии приняли участие более 50 представителей государственных органов, включая руководство Аппарата Совета Министров Республики Беларусь и республиканских органов государственного управления.

2) 12 мая Центром проведен круглый стол на тему ”Реализация Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ в нормотворческой деятельности“. Цель мероприятия – выработка единых подходов в направлении гармонизации отраслевого законодательства с требованиями Закона о защите персональных данных.

В мероприятии приняли участие руководители и специалисты структурных подразделений государственных органов и организаций, ответственных за проведение обязательных экспертиз проектов нормативных правовых актов государственных органов и организаций (Совет Республики Национального собрания Республики Беларусь, Аппарат Совета Министров Республики Беларусь, Министерство юстиции, Национальный центр законодательства и правовых исследований Республики Беларусь, Национальный центр правовой информации Республики Беларусь и др.).

По результатам проведенного мероприятия подготовлен документ, отражающий выработанные подходы по реализации Закона о защите персональных данных в нормотворческом процессе, который размещен на сайте Центра.

3) По результатам обобщения итогов проведенных Центром проверок подготовлена информация о типичных нарушениях законодательства о персональных данных, которая направлена в Генеральную прокуратуру Республики Беларусь в порядке взаимодействия в целях ее использования органами прокуратуры при осуществлении надзора за исполнением законодательства о персональных данных.

4) В сфере здравоохранения проработан, в том числе с рядом организаций здравоохранения государственного и частного сектора, вопрос о практике реализации положений Закона о защите персональных данных в части получения согласия на внесение и обработку персональных данных пациентов в электронной медицинской карте, информационных системах организаций здравоохранения.

По итогам данной работы соответствующие предложения по корректировке законодательства о здравоохранении направлены в Палату представителей Национального собрания Республики Беларусь.

В 2023 году Центром рассмотрено 112 проектов нормативных правовых актов и международных договоров.

В соответствии с абзацем седьмым пункта 2 статьи 18 Закона о защите персональных данных Центр принимает участие в подготовке проектов актов законодательства о персональных данных.

По сравнению с 2022 годом количество поступивших проектов нормативных правовых актов и международных договоров возросло почти в 1,5 раза.

По результатам рассмотрения проектов заинтересованным государственным органам направлены замечания и предложения по их корректировке с учетом положений Закона о защите персональных данных, в том числе принято участие в заседаниях рабочих групп и экспертных советов заинтересованных государственных органов по обсуждению соответствующих инициатив Центра.

Особое внимание при рассмотрении проектов нормативных правовых актов уделялось минимизации обрабатываемых персональных данных. Основные замечания и предложения Центра по результатам рассмотрения проектов касались исключения избыточной обработки персональных данных, уточнения целей обработки и объема обрабатываемых персональных данных, в том числе в информационных ресурсах (системах), полномочий государственных органов и иных организаций на предоставление или получение персональных данных.

Просветительская деятельность Центра.

Центром во взаимодействии со СМИ ведется активная работа по правовому просвещению населения в сфере защиты персональных данных и цифровой безопасности.

На регулярной основе проводятся просветительские мероприятия и тематические встречи (в онлайн и оффлайн формате), в том числе с молодежью, учащимися и студентами.

Так, за 2023 год в них приняли участие более 6 тыс. человек, более 1,5 тыс. из которых дети и молодежь.

Центром реализованы просветительские проекты ”Детям о персональных данных“, ”Безопасность в сети“, а также создан специальный тематический раздел на сайте Центра, развиваются и другие социальные сети и мессенджер Центра, где размещается полезная информация для детской и молодежной аудитории.

Центром создан видеоролик для школьников, в котором разъясняется, что такое персональные данные, даются советы и рекомендации экспертов по безопасности персональных данных. На различных площадках в Интернете его посмотрели более 5 тыс. человек.

Совместно с Белорусским республиканским союзом юристов, Министерством образования в 2023 году проводилась масштабная социальная акция ”Фестиваль в гостях у регионов“, на протяжении года в ней приняло участие более 500 учащихся школ, колледжей и лицеев.

В рамках данного проекта представители Центра проинформировали участников о важных правилах безопасности в глобальной компьютерной сети Интернет, защите персональных данных, кибербуллинге, способах урегулирования конфликтов, проводили тематические квизы о защите персональных данных.

В рамках разъяснительной работы, а также с целью привлечения внимания к деятельности Центра, оказываемым им образовательным услугам и их продвижению на базе Центра 5 сентября 2023 года проведен День открытых дверей.

В 2023 году Центром подготовлено и инициировано более 900 публикаций в СМИ и на интернет-ресурсах, в том числе интервью в теле- и радиоэфирах, печатных изданиях, электронных СМИ, анонсов и информационных сообщений на информационно-правовых порталах. Информационную поддержку на постоянной основе оказывают агентства ”БелТА“, ”Минск-новости“, порталы ”Pravo.by“ и ”Млын.by“, газета ”Звязда“, ”СБ: Беларусь сегодня“, ”Экономическая газета“, телеканалы ”ЯСНАе TV“, ”Беларусь 1“, ”ОНТ“, ”СТВ“. На площадках Национального пресс-центра и Дома прессы проведены тематические пресс-конференции.

Ключевые проблемные вопросы оборота персональных данных, информация о правонарушениях и инцидентах, связанных с утечками данных, информация о создаваемых государством условиям для их защиты, а также правилах цифровой гигиены озвучены в рамках телевизионных эфиров и сетевых проектах (программы ”Марков. Ничего личного“, ”Неделя“, ”Зона Х“, ”Страна говорит“).

На специализированных информационных ресурсах ”Экономическая газета“, Информационно-поисковой системе (ИПС) ”ЭТАЛОН-ONLINE“, портале ”ilex“ на постоянной основе размещаются разработанные Центром рекомендуемые формы, шаблоны документов, аналитические материалы, информация о проводимой разъяснительной работе, новостной контент и ответы на часто задаваемые вопросы.

Аудитория Telegram-канала ”Центр персональных данных“ за год выросла на 3,5 тыс. и к началу 2024 года составила 8,5 тыс. подписчиков.

В 2023 году Telegram-канал Центра стал победителем конкурса ”Интернет-премия ”ТИБО“ в номинации ”Аккаунты органов госуправления в социальных сетях и мессенджерах“. По результатам голосования жюри конкурса Telegram-канал ”Центр персональных данных“ набрал наибольшее количество баллов и получил специальный диплом жюри конкурса.

Развивался на протяжении года сайт Центра, ежедневно его посещает порядка 1,5 тыс. человек.

С целью привлечения внимания к проблемам обработки персональных данных и необходимости их надлежащей защиты, а также обеспечения реализации права граждан на получение полной, достоверной и своевременной информации, профилактики преступлений и правонарушений, связанных с оборотом персональных данных, формирования в обществе отношения к ним как к социальной ценности, на протяжении 2023 года в эфирах 10 телевизионных каналов, 12 каналов радио, на объектах Белорусской железной дороги, Минского метрополитена, государственных предприятий ”Минсктранс“ и ”Миноблавтротранс“ размещалась и ротировалась социальная реклама Центра.

Наружная реклама в виде билбордов размещалась на территории Беларуси на рекламных конструкциях в 60 городах, в том числе в Минске, областных центрах, а также в городах Полоцк, Новополоцк, Барановичи, Орша, Калинковичи, Борисов, Жлобин, Мозырь, Слуцк, Солигорск, Барановичи.

Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“ Центру предоставлено право реализовывать образовательную программу повышения квалификации руководящих работников и специалистов, в том числе по вопросам технической и (или) криптографической защиты информации, защиты персональных данных.

Образовательная деятельность Центра в 2023 году развивалась по следующим направлениям:

реализация образовательных программ повышения квалификации руководящих работников и специалистов;

проведение обучающих семинаров, вебинаров, в том числе корпоративных.

В связи с изменением законодательства в сфере образования Центр аккредитован Министерством образования по профилю образования ”Бизнес, управление и право“, направлению образования ”Право“; профилю образования ”Информационно-коммуникационные технологии“, направлению образования ”Информационные и коммуникационные технологии“; профилю образования ”Службы“, направлению образования ”Службы безопасности“.

Кроме этого, Центром внесены дополнения в лицензию на образовательную деятельность, позволяющие реализовывать образовательные программы дополнительного образования взрослых в дистанционной форме получения образования.
За 2023 год обучением, мероприятиями просветительского и разъяснительного характера, проводимыми Центром,
охвачено 9 842 человека.

Обучение в общей сумме прошли 3 842 человека, включая:

курсы повышения квалификации – 2 359 человек, в том числе по вопросам защиты персональных данных – 1 756 человек, информационной безопасности – 505 человек, технической защиты государственных секретов – 98 человек;

обучающие семинары и курсы целевого назначения – 1 483 человека, в том числе в корпоративном формате – 783 человека.

Кроме того, в процессе разъяснительной и просветительской деятельности Центра прошли обучение в рамках:

дистанционных информационно-консультационных услуг – 174 человека;

цикла семинаров ”Оборот персональных данных в сфере образования: порядок обработки и защиты“ – 3 132 человека;

цикла семинаров ”Защита персональных данных в сфере здравоохранения“ – 1 116 человек;

иных тематических мероприятиях просветительского характера, в том числе организованных для молодежи, – 1 578 человек.

Среди экспертов и специалистов в области защиты персональных данных, освоивших реализуемые Центром образовательные программы, является актуальным получение аналитической и трендовой информации от представителей государственного регулятора в формате информационно-консультационной услуги, предоставляемой с применением дистанционных технологий (вебинар), в процессе оказания которой разъясняются и обсуждаются наиболее актуальные вопросы методологии защиты персональных данных, результаты контрольной деятельности Центра, наиболее часто встречаемые нарушения и характерные недостатки при организации работы по защите персональных данных.

В целях удовлетворения запросов и потребностей специалистов в области информационной безопасности и защиты информации, а также с учетом развития системы защиты персональных данных в республике в данной сфере, Центром проводится плановая работа по расширению учебных программ. С марта успешно реализуется учебная программа ”Основы защиты информационных систем организаций здравоохранения“.

Также разработана учебная программа повышения квалификации для специалистов, обеспечивающих техническую защиту персональных данных, по теме ”Обезличивание и деобезличивание персональных данных“, обучение по которой проводится с сентября 2023 года.

Помимо изложенного, разработано 6 уникальных учебных программ обучающих курсов, раскрывающих особенности реализации требований законодательства по защите персональных данных в различных сферах деятельности.

В 2023 году Центром продолжена работа по развитию международного сотрудничества с уполномоченными органами по защите прав субъектов персональных данных других государств, в том числе в рамках Союзного государства и на площадке Евразийского экономического союза.

Предложения Центра по развитию взаимодействия уполномоченных органов по защите прав субъектов персональных данных, в том числе в части согласования проектов правовых актов Союзного государства, предусматривающих обработку персональных данных (создание информационных систем, информационных ресурсов, баз (банков) данных, реестров (регистров), обмен информацией и т.д.), нашли отражение в Итоговом документе X Форума регионов России и Беларуси, который проводился с 26 по 28 июня 2023 г. в Уфе при поддержке Совета Федерации Федерального Собрания Российской Федерации и Совета Республики Национального Собрания Республики Беларусь.

Вовлечение органов Союзного государства в обсуждение вопросов защиты персональных данных, в том числе организация мероприятий по данной тематике на площадке и (или) с участием органов Союзного государства, полагаем, будет способствовать повышению эффективности защиты прав субъектов персональных данных Союзного государства, включая усиление информационной функции права Союзного государства и повышение правосознания и правовой культуры в общерегиональном контексте.

В рамках работы над проектом международного договора об обороте данных в Евразийском экономическом союзе с учетом сложности и многоаспектности данного вопроса, в том числе в преломлении на различные сферы деятельности, Центром предложено также создать на площадке Евразийской экономической комиссии рабочую группу с участием представителей уполномоченных органов по защите прав субъектов персональных данных государств – участников Евразийского экономического союза для выработки согласованных подходов в регулировании вопроса оборота персональных данных.

Кроме того, в 2023 году Центром продолжена работа по заключению соглашений о сотрудничестве с уполномоченными органами по защите прав субъектов персональных данных других государств. Соответствующие предложения направлены Центром зарубежным партнерам.

В 2023 году продолжена деятельность Центра по укреплению организационно-технической базы. В обозначенный период предпринимались меры, направленные на обеспечение защиты информации и модернизацию локально-вычислительной сети, в том числе для этих целей приобреталось оборудование, технические средства, программные продукты.

В целях усиления роли и расширения участия Центра в совершенствовании национального законодательства, с учетом положений Закона о защите персональных данных в 2023 году в структуре Центра в рамках имеющейся штатной численности создан сектор по обеспечению нормотворческой деятельности.

Его работники имеют высшее юридическое образование, знания в области нормотворческой техники и опыт работы по подготовке проектов нормативных правовых актов, проведению их юридической экспертизы в государственных органах, уполномоченных на принятие нормативных правовых актов.

Структура Центра по состоянию на 31 декабря 2023 года:

В 2024 году внимание Центра будет сосредоточено на следующих приоритетных задачах:

1. Совершенствование механизмов защиты прав субъектов персональных данных.

Представляется целесообразным:

закрепление в национальном законодательстве требования локализации в республике отдельных наиболее чувствительных категорий персональных данных;

Одним из вариантов минимизации рисков, связанных с трансграничной передачей персональных данных, как для субъектов персональных данных, так и для национальной безопасности, в том числе экономического и информационного суверенитета Республики Беларусь, может быть установление требования по локализации отдельных категорий особо чувствительных категорий персональных данных на территории республики. По данному вопросу подготовлен и прорабатывается с заинтересованными соответствующий проект Указа Президента Республики Беларусь.

Реализация данного предложения, с одной стороны, будет способствовать исключению переноса обработки ”чувствительной“ личной информации на территорию иностранных государств и повышению на этой основе защиты прав граждан, а, с другой стороны, – развитию собственного рынка хостинг-услуг.

законодательное регулирование вопроса приостановления доступа к интернет-ресурсам, функционирование которых осуществляется с нарушением требований Закона о защите персональных данных (распространение персональных данных без надлежащего правового основания и т. д.);

наделение Центра полномочиями органа, ведущего административный процесс;

усиление административной ответственности за нарушение законодательства о персональных данных.

2. Развитие методологической базы для реализации Закона о защите персональных данных.

Будут продолжены:

проработка вопросов, связанных с использованием систем видеонаблюдения в отдельных отраслях (сферах) деятельности, и, при необходимости, закрепление выработанных подходов в отраслевом законодательстве;

оказание методологической помощи по приведению в соответствие с законодательством о персональных данных деятельности организаций в сферах образования и здравоохранения. Результатом такой работы должен стать пакет типовых решений по реализации обязательных мер по обеспечению защиты персональных данных в этих отраслях.

С учетом тенденции роста поступающих в Центр обращений будут подготовлены разъяснения об обработке персональных данных при осуществлении деятельности гаражных кооперативов, товариществ собственников, организаций застройщиков, садоводческих товариществ.

3. Приведение отраслевого законодательства в соответствие с требованиями Закона о защите персональных данных.

Наряду с рассмотрением проектов нормативных правовых актов Центр будет осуществлять мониторинг действующего законодательства, в том числе на предмет избыточной обработки персональных данных.

4. Обращенность на каждого слушателя учебного процесса в рамках реализации Центром задачи по организации обучения по вопросам защиты персональных данных, создание максимально благоприятных условий для овладения обучающимися знаниями, доступность обучения, в том числе, для лиц с ограниченными возможностями. Для этого ведется работа по внедрению дистанционной формы получения образования при повышении квалификации руководящих работников и специалистов.

5. Развитие взаимодействия с операторами, бизнес-союзами и общественными объединениями.

Формирование практики реализации Закона о защите персональных данных не может осуществляться в отрыве от практической деятельности организаций. В этой связи важным направлением представляется проведение работы с лицами, назначенными ответственными за осуществление внутреннего контроля за обработкой персональных данных у операторов, в целях обсуждения актуальных вопросов применения Закона о защите персональных данных и обмена практическим опытом.

Кроме того, учитывая отсутствие у Центра территориальных структур, значительный положительный эффект в формировании у операторов модели правильного обращения с персональными данными и снижении рисков их неправомерной обработки и утечки может дать взаимодействие с бизнес-союзами и отраслевыми ассоциациями.

Потенциал этих организаций также может быть полезным при совершенствовании отраслевого законодательства по вопросам защиты прав субъектов персональных данных. Это позволит учитывать интересы всех заинтересованных и вырабатывать максимально взвешенные подходы к правовому регулированию данных вопросов.

Директор                                                                              А.А.Гаев

Современное динамичное развитие информационных технологий, цифровых сервисов и цифровых инструментов как в Республике Беларусь, так и в глобальном масштабе, придает вопросам защиты персональных данных все более актуальное значение.

Закон Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон) закрепил основополагающие требования к обработке персональных данных, а также перечень обязательных правовых, организационных и технических мер по обеспечению защиты персональных данных. Соблюдение этих требований является важным условием, направленным на защиту прав субъектов персональных данных, в том числе при их обработке в цифровом пространстве, а также минимизацию рисков незаконной обработки персональных данных и их утечки.

Данный подход нашел свое отражение в основных программных документах республики, принятых в 2024 году на среднесрочную перспективу.

Решением Всебелорусского народного собрания от 2 апреля 2024 г. № 5 утверждена Концепция национальной безопасности Республики Беларусь, согласно которой неправомерные действия в отношении персональных данных названы в числе основных угроз национальной безопасности. При этом одним из важнейших направлений нейтрализации внутренних источников угроз национальной безопасности в информационной сфере обозначено обеспечение защиты персональных данных от несанкционированного или случайного доступа к ним, иных неправомерных действий.

Соответствующие положения закреплены также в Концепции обеспечения суверенитета Республики Беларусь в сфере цифрового развития до 2030 года, утвержденной постановлением Совета Министров Республики Беларусь от 31 декабря 2024 г. № 1074, которой закреплена обязанность при разработке отечественного программного обеспечения учитывать требования законодательства о персональных данных.

Тематика защиты персональных данных в цифровой среде являлась предметом рассмотрения в рамках проведенных 22 ноября 2024 г. парламентских слушаний на тему ”Развитие цифрового права в Республике Беларусь“.

В докладе директора Национального центра защиты персональных данных Гаева А.А. на тему ”Цифровизация общества и персональные данные: баланс интересов“ отмечены необходимость сочетания цифрового развития республики, применяемых передовых технологий с комплексными мерами по защите информации, а также актуальные

вопросы, связанные с защитой персональных данных в условиях использования технологий больших данных и искусственного интеллекта, систем видеонаблюдения, охраной изображения гражданина и необходимостью их комплексного регулирования на законодательном уровне.

В 2024 году Национальный центр защиты персональных данных (далее – Центр) как уполномоченный орган по защите прав субъектов персональных данных продолжил реализацию комплексного подхода к обеспечению защиты персональных данных в различных форматах взаимодействия с государственными органами, операторами (уполномоченными лицами) и гражданами.

Такой подход обеспечивался как в рамках оказания гражданам и организациям практической помощи в решении возникающих у них вопросов обработки личной информации, принятия мер по защите прав граждан в этой сфере, проведения проверок, так и в процессе развития методологической базы для реализации Закона, проведения широкой разъяснительной работы, освещения вопросов защиты личной информации в медийном пространстве, на мероприятиях образовательного характера.

При этом деятельность Центра в целом носила предупредительный характер и была направлена, в первую очередь, на создание условий для защиты персональных данных, принятие превентивных мер по обеспечению их защиты.

Сегодня можно констатировать, что, несмотря на новизну института защиты персональных данных, положения Закона восприняты организациями и гражданами, а заложенные в нем законодателем базовые подходы и принципы позволяют планомерно реализовывать задачи, на достижение которых он направлен.

Граждане стали активно пользоваться предоставленными им государством правами и обращаться за их защитой. Количество жалоб на нарушения этих прав в 2024 году увеличилось более чем в 2,5 раза. При этом число обращений о разъяснении норм права уменьшилось на 11%, что свидетельствует о повышении правовой осведомленности организаций и граждан в вопросах защиты персональных данных.

Настоящий отчет дополнен примерами и краткими пояснениями для целей совершенствования практики обработки персональных данных и недопущения нарушений прав граждан в этой сфере.

В 2024 году Центром рассмотрено 1304 обращения (запроса) граждан и юридических лиц по вопросам разъяснения законодательства о персональных данных, что на 11% меньше, чем в 2023 году.

По результатам их рассмотрения даны ответы 497 гражданам и 807 организациям.

В рамках личного приема и работы горячей линии предоставлена информация 616 заявителям.

Большинство вопросов, с которыми граждане и организации обращались в Центр, касались разъяснения применения законодательства о персональных данных в части:

• определения правовых оснований обработки персональных данных (получение согласия на обработку, обработка персональных данных в рамках договорных отношений, для выполнения обязанностей (полномочий), предусмотренных законодательными актами, и т.п.);
• соблюдения иных требований к обработке персональных данных (требования соразмерности, ограничения цели, запрета избыточности, прозрачности, ограничения хранения);
• предоставления персональных данных третьим лицам;
• осуществления видеонаблюдения и аудиозаписи;
• размещения персональных данных на интернет-сайтах, в социальных сетях и мессенджерах;
• отнесения сведений к персональным данным;
• трансграничной передачи персональных данных;
• разграничения правового статуса оператора и уполномоченного лица.

При этом количество рассмотренных Центром в истекшем году жалоб субъектов персональных данных по вопросам обработки персональных данных (525) превысило показатель 2023 года в 2,7 раза, что свидетельствует о заинтересованности граждан в вопросах защиты своих прав как субъектов персональных данных.

Около 60% жалоб признаны обоснованными полностью либо частично, 32% – оставлены без удовлетворения, 8% – оставлены без рассмотрения по существу.

Подавляющее количество жалоб поступило из г. Минска (62%), наименьшее – из Гродненской и Могилевской областей (3 и 4% соответственно).

В структуре поступивших жалоб по категориям лиц, осуществлявших обработку персональных данных, ключевую позицию занимают вопросы обработки персональных данных в сфере торговли и услуг (торговые сети, интернет-магазины и т.п.) – 33%.

В сравнении с 2023 годом наблюдался рост жалоб, связанных с обработкой персональных данных в процессе личного, домашнего и иного подобного использования. Их число составило 13% от общего количества поступивших в Центр жалоб.

Несмотря на то, что на подобную обработку персональных данных действие Закона не распространяется, граждане не свободны в сборе и распространении личной информации о других лицах. Статья 18 Закона Республики Беларусь от 10 ноября 2008 г. № 455-З ”Об информации, информатизации и защите информации“ предусматривает, что сбор, обработка, хранение, предоставление, распространение информации о частной жизни физического лица, а также пользование ею и обработка персональных данных осуществляются с согласия данного физического лица, если иное не установлено законодательными актами.

В два раза уменьшилось количество жалоб в деятельности организаций жилищно-коммунального хозяйства и организаций собственников (садоводческие товарищества, товарищества собственников, жилищно-строительные, гаражные кооперативы) (12%).

В основном в таких жалобах поднимались вопросы правомерности предоставления информации, содержащей персональные данные членов организации собственников, в том числе имеющих задолженность, другим членам и третьим лицам, а также получения доступа к информации о деятельности такой организаций, с которой вправе ознакомиться член организации собственников.