Отчет о деятельности Национального центра защиты персональных данных Республики Беларусь за 2021 год

Статьей 18 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“, а также Положением о Национальном центре защиты персональных данных (далее – Центр), которое утверждено Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“, определено, что ежегодно не позднее 15 марта Центр публикует в средствах массовой информации отчет о своей деятельности. Сегодня с ним можно ознакомиться на станицах zviazda.by – ведущем сетевом издании, зарегистрированном в Госреестре СМИ.

Мы живем в мире, где практически любое взаимодействие с другими людьми или организациями требует использования в той или иной степени персональных данных граждан (рассчитываясь в магазине банковскими пластиковыми карточками, посещая сайты в глобальной компьютерной сети Интернет, осуществляя переписку через электронную почту, совершая звонки по мобильной связи, отмечая приход и уход с работы, оставляя заявку в жилищно-эксплуатационных службах и во многих иных случаях).

По мере развития информационных технологий, перехода все большего количества общественных отношений в цифровую среду значение персональных данных, которые являются основой для развития и ценным ресурсом в новой информационной реальности, резко возрастает. При этом люди, не желая отказываться от выгод и преимуществ использования информационных технологий, хотят, чтобы их личная информация была надежно защищена.

Так, целью законодательства о персональных данных является обеспечение надлежащего баланса между потребностями организаций по развитию и совершенствованию своих услуг и интересами граждан по защите своих персональных данных, для поддержания которого требуется создание системы контроля за соблюдением законодательства о персональных данных.

В этой связи 15 ноября 2021 года в соответствии с Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“ (далее – Указ № 422) для обеспечения реализации положений Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон о персональных данных) создан Национальный центр защиты персональных данных Республики Беларусь (далее – Национальный центр защиты персональных данных, Центр).

Создание Центра на современном этапе является насущной необходимостью, диктуемой самой жизнью, и несмотря на то, что Центр является очень молодой организацией, на него с самого начала возложена ответственная миссия по повышению качества и уровня защиты персональных данных на территории Республики Беларусь, формированию подходов к ответственному обращению с личной информацией как организациями, так и самими гражданами, в том числе к осознанному принятию решений о предоставлении ими сведений о себе.

Сведения о Центре включены в Единый государственный регистр юридических лиц и индивидуальных предпринимателей (письмо Министерства юстиции Республики Беларусь от 15 ноября 2021 г. № 10-11/4).

Центр является уполномоченным органом по защите прав субъектов персональных данных, действует независимо на основе Конституции Республики Беларусь, Закона о персональных данных, Положения о Национальном центре защиты персональных данных, утвержденного Указом № 422 (далее – Положение о Центре), и иных актов законодательства.

Основными задачами Центра являются:

• принятие мер по защите прав субъектов персональных данных при обработке их персональных данных;
• организация обучения по вопросам защиты персональных данных.

Юридический адрес: ул. К. Цеткин 24, пом.11, 220004, г. Минск, Республика Беларусь. Номер контактного телефона +375 17 367 07 90. Адрес электронной почты: info@cpd.by (для корреспонденции).

Указом Президента Республики Беларусь от 15 ноября 2021 г. № 442 ”Об А.А.Гаеве“ директором Национального центра защиты персональных данных назначен Гаев Андрей Анатольевич.

Для работы в Центр привлекаются высококвалифицированные специалисты в различных областях законодательства, в том числе имеющие ученые степени в области права и опыт преподавания в учреждениях образования.

В соответствии с задачами Центра выделены два основных направления его деятельности, которые курируются заместителями директора Национального центра защиты персональных данных.

Структура Национального центра защиты персональных данных приведена на рисунке 1.

Центром приняты локальные правовые акты, направленные на регламентацию его деятельности, а также вытекающие из статуса оператора в понимании Закона о персональных данных.

Учитывая объем персональных данных, обрабатываемых в Национальном центре защиты персональных данных, а также возложенные на него задачи и функции, в структуре предусмотрена отдельная должность лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, которое непосредственно подчиняется директору Центра.

В целях реализации полномочий, предусмотренных Законом о персональных данных и Положением о Центре, приняты следующие правовые акты:

• приказ директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 12 ”О классификации информационных ресурсов (систем)“ (во исполнение пункта 5 статьи 17 Закона о персональных данных);
• приказ директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 13 ”Об уведомлении о нарушениях системы защиты персональных данных“ (во исполнение абзаца восьмого пункта 1 статьи 16 Закона о персональных данных);
• приказ директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14 ”О трансграничной передаче персональных данных“ (во исполнение абзацев пятого и шестого пункта 3 статьи 18 Закона о персональных данных).

В соответствии с абзацем вторым пункта 3 статьи 18 Закона о персональных данных и абзацем вторым пункта 7 Положения о Центре, Национальный центр защиты персональных данных осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами).

Положением о Центре определены такие формы осуществления контроля, как плановые, внеплановые и камеральные проверки.

В 2021 году плановые проверки не проводились.

В поступивших жалобах субъектов персональных данных также не выявлено оснований для проведения внеплановых проверок.

Проведено 4 камеральные проверки, 3 из которых – по жалобам субъектов персональных данных, 1 – по результатам анализа работниками Центра информации в глобальной компьютерной сети Интернет. Камеральные проверки проводились в отношении организаций, осуществляющих деятельность в различных сферах – жилищно-коммунального хозяйства, банковской, электросвязи, а также в сфере маркетплейса.

Несмотря на то, что проверенные организации осуществляли деятельность в различных сферах, по результатам проведения камеральных проверок в каждой из изученных организаций были выявлены однотипные нарушения.

1. Обработка персональных данных на основании общего согласия, получаемого для достижения различных несвязанных целей, что нарушало требования свободного характера согласия.
2. Нарушения в части информированного характера согласия. Так, изучение информации, предоставляемой операторами до получения согласия субъекта персональных данных, свидетельствует о том, что такая информация предоставлялась в объеме, недостаточном для признания согласия информированным.
3. Политика оператора в отношении обработки персональных данных не соответствовала требованиям Закона о персональных данных в части прозрачности обработки персональных данных.

По результатам проведенных Центром камеральных проверок операторам были направлены рекомендации об устранении выявленных нарушений и организован контроль за представлением ими сведений (в том числе, подтверждающих документов) об устранении выявленных нарушений.

В 2021 году Центром рассмотрено 61 обращение, из которых:
22 обращения граждан и индивидуальных предпринимателей, в том числе 6 обращений – в ходе личного приема;
39 обращений юридических лиц.

За период с 15 ноября по 31 декабря 2021 года Центром рассмотрено 7 жалоб субъектов персональных данных.

Основные вопросы, содержащиеся в обращениях и жалобах касались:

• необходимости получения согласия на обработку персональных данных физических лиц в конкретной ситуации;
• выбора правового основания на обработку персональных данных;
• реализации обязанностей операторов, уполномоченных лиц и прав субъектов персональных данных;
• разграничения правового статуса оператора и уполномоченного лица.

Центром рассмотрено 12 запросов государственных органов по вопросам применения законодательства о персональных данных.

Количество рассмотренных обращений граждан и юридических лиц, а также запросов государственных органов по вопросам применения законодательства о персональных данных за период с 15 ноября 2021 г. по 31 декабря 2022 г. представлено на рисунке 2.

Количество обращений и запросов организаций согласно сферам деятельности представлены на рисунке 3.

Центром использовались различные формы разъяснений законодательства о персональных данных и его применении:

• ответы на обращения граждан и юридических лиц, запросы государственных органов и иных организаций;
• подготовка рекомендаций по применению законодательства о персональных данных;
• доведение информации о законодательстве о персональных данных до широкого круга лиц;
• выступление в средствах массовой информации и т.п.

С 15 ноября по 31 декабря 2021 года дано около 100 разъяснений законодательства о персональных данных в рамках ответов на обращения граждан, юридических лиц, запросов государственных органов, личных приемов граждан и юридических лиц, проводимых руководством Центра.

В целях формирования единообразных подходов к структуре и форме документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных подготовлены Рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных. Рекомендации размещены в банке данных ”Правоприменительная практика“ информационно-правовой системы ”ЭТАЛОН-ONLINE“.

7 декабря 2021 года создан официальный канал в мессенджере Telegram, в котором освещается актуальная информация о деятельности Центра, размещаются разъяснения законодательства о персональных данных, актуальные новости в сфере защиты персональных данных, сведения о проводимых тематических вебинарах и семинарах. Особое внимание уделялось адаптации правового контента, порой сложной для восприятия граждан информации.

В Telegram-канале Центра ведутся рубрики ”Важно знать“, ”Центр рекомендует“, а также ”Вопрос/ответ“, которые включают в себя ответы на часто поступающие вопросы от граждан и юридических лиц, разъяснения, пошаговые инструкции, алгоритмы действий в той или иной правовой ситуации.

За период с 15 ноября по 31 декабря 2021 года организован ряд вебинаров и корпоративных мероприятий, в которых приняли участие более 350 человек.

Состоялось более 50 выступлений в теле- и радиоэфирах, печатных и электронных средствах массовой информации по вопросам деятельности Центра.

Указом № 422 Центру предоставлено право реализовывать образовательную программу повышения квалификации руководящих работников и специалистов, в том числе по вопросам технической и (или) криптографической защиты информации, защиты персональных данных.

Для реализации этого права получено разрешение Министерства образования Республики Беларусь на открытие подготовки в целях реализации образовательной программы повышения квалификации руководящих работников и специалистов по профилям образования, направлениям образования (приказ Министерства образования от 24 ноября 2021 г. № 815 ”Об открытии подготовки по профилям образования, направлениям образования“).

В соответствии с требованиями Положения о лицензировании отдельных видов деятельности, утвержденного Указом Президента Республики Беларусь от 1 сентября 2010 г. № 450 ”О лицензировании отдельных видов деятельности“, Центром получено специальное разрешение (лицензия) на право осуществления образовательной деятельности – № 02100/599, выданное на основании решения от 6 декабря 2021 г. № 846 и зарегистрированное в реестре специальных разрешений (лицензий) Министерства образования за № 599.

В соответствии с требованиями законодательства об образовании с 10 декабря 2021 г. до 6 января 2022 г. согласно приказу директора Центра организовано проведение процедуры самоконтроля за обеспечением качества образования для последующего обращения в Департамент контроля качества образования Министерства образования о проведении административной процедуры государственной аккредитации по профилям и направлениям образования.

С целью изучения и применения лучших практик и положительного опыта других государств в сфере защиты персональных данных Центром подготовлены письма в профильные органы, агентства и службы по защите персональных данных ряда государств с предложениями о сотрудничестве. Центром подготовлен проект соглашения о сотрудничестве, который предложен в качестве основы для взаимодействия.

Директор