Отчет о деятельности Национального центра защиты персональных данных за 2022 год

В соответствии с абзацем вторым пункта 3 статьи 18 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон о защите персональных данных) и абзацем вторым пункта 7 Положения о Национальном центре защиты персональных данных, утвержденного Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“ (далее – Положение о Центре), Центр осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами) в следующих формах:

плановые проверки (план проверок соблюдения законодательства о персональных данных публикуется на сайте Центра в глобальной компьютерной сети Интернет не позднее 30 декабря года, предшествующего году проведения проверки);

внеплановые проверки (основания назначения указаны в части четвертой пункта 13 Положения о Центре);

камеральные проверки (пункт 26 Положения о Центре).

Основной формой контроля, которая превалировала в первые полгода действия Закона о защите персональных данных и функционирования Центра, являлись камеральные проверки.

Плановые проверки.

В 2022 году проведены 6 плановых проверок соблюдения законодательства о персональных данных следующих организаций:

Такое количество плановых проверок обусловлено новизной правового регулирования и необходимостью предоставить операторам время на реализацию мер по защите персональных данных в соответствии с требованиями Закона о защите персональных данных.

Внеплановые проверки.

В 2022 году Центром проведено 7 внеплановых проверок. Основаниями для их назначения стали:

жалобы субъектов персональных данных (3 проверки);

нарушения систем защиты персональных данных, повлекшие утечку персональных данных (3 проверки);

невыполнение рекомендаций, выданных по результатам проведения камеральных проверок (1 проверка).

В ходе плановых и внеплановых проверок изучалось принятие операторами правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

При этом особое внимание уделено надлежащей реализации обязательных мер по обеспечению защиты персональных данных, предусмотренных пунктом 3 статьи 17 Закона о защите персональных данных и подпунктом 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“.

Камеральные проверки.

В 2022 году Центром проводились камеральные проверки в отношении банков, торговых сетей, товариществ собственников, садоводческих товариществ и кооперативов (гаражных, строительных), страховых организаций, представительств иностранных организаций, операторов, осуществляющих деятельность в сфере информационных технологий (разработка программного обеспечения, сайтов и т.п.), и др.

В большинстве случаев поводами для проведения камеральных проверок являлись жалобы субъектов персональных данных.

Отдельные камеральные проверки были инициированы Центром по результатам анализа и оценки информации, размещенной в глобальной компьютерной сети Интернет.

По итогам проведения всех камеральных проверок (37 операторов) выявлены нарушения законодательства о персональных данных, принимаются меры по устранению выявленных нарушений.

Основные нарушения.

Типичные нарушения, выявленные в ходе проверок (плановых, внеплановых, камеральных):

1) невыполнение обязанности по назначению структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

2) ненадлежащее выполнение обязанности по назначению структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных:

формальное возложение обязанностей на одного из работников, который не имеет объективной возможности выполнять соответствующие функции, в том числе с учетом уже имеющихся у него должностных обязанностей (фактическое неосуществление контроля);

возложение обязанностей на работника, который организует обработку персональных данных (например, на заместителя директора, руководителя кадровой службы организации), что приводит к конфликту интересов, либо назначение таких лиц в каждом структурном подразделении оператора;

3) формальный подход к изданию документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, приводящий к фактической бесполезности таких документов для субъектов персональных данных. В большинстве случаев операторами не было обеспечено соотношение в таком документе целей обработки, категорий субъектов персональных данных, чьи данные подвергаются обработке, перечня обрабатываемых персональных данных, либо не отражались все бизнес-процессы, что нарушает положения пункта 6 статьи 4 Закона о защите персональных данных в части прозрачного характера обработки персональных данных;

4) несоответствие локальных правовых актов требованиям законодательства о персональных данных либо отсутствие требуемых локальных правовых актов (например, порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), перечня информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых являются операторы (уполномоченные лица), перечня уполномоченных лиц и т.п.);

5) несоблюдение требований к поручению обработки персональных данных уполномоченным лицам:

изложение договоров с уполномоченными лицами без учета положений пункта 1 статьи 7 Закона;

привлечение к обработке персональных данных уполномоченных лиц без изучения принятия ими соответствующих правовых, организационных и технических мер для обеспечения обработки персональных данных в соответствии с требованиями Закона о защите персональных данных;

6) несоблюдение требований статьи 5 Закона о защите персональных данных к обработке персональных данных на основании согласия:

несоблюдение свободного характера согласия (например, получение согласия работника на обработку персональных данных в процессе трудовой деятельности, включение согласия в качестве обязательного условия в договор, получение единого согласия на достижение несвязанных между собой целей, невозможность отзыва согласия без ухудшения положения субъекта персональных данных);

несоблюдение однозначного характера согласия (например, получение согласия путем молчания или бездействия субъекта персональных данных);

несоблюдение информированного характера согласия (например, непредоставление либо неполное предоставление информации, предусмотренной пунктом 5 статьи 5 Закона о защите персональных данных, изложение неконкретных целей или сроков обработки персональных данных);

7) неосуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

По результатам проведенных плановых, внеплановых и камеральных проверок Центром в 10 случаях направлены материалы в органы внутренних дел для решения вопроса о наличии оснований для начала административного процесса по соответствующим частям статьи 23.7 Кодекса Республики Беларусь об административных правонарушениях.

При выявлении признаков правонарушений Центром применяются следующие критерии, при наличии которых принимается решение о направлении в органы внутренних дел материалов для инициирования начала административного процесса по статье 23.7 ”Нарушение законодательства о защите персональных данных“ Кодекса Республики Беларусь об административных правонарушениях:

выявленные нарушения затрагивают не только заявителя, но и иных лиц, в том числе социально уязвимые категории субъектов персональных данных (несовершеннолетние, пенсионеры), участников программы лояльности и т.п., либо установлены нарушения при трансграничной передаче персональных данных на территорию иностранных государств, которые не обеспечивают надлежащий уровень защиты прав субъектов персональных данных;

не исполнены рекомендации Центра об устранении выявленных им по итогам камеральной проверки нарушений законодательства о персональных данных.

План проверок соблюдения законодательства о персональных данных на 2023 год.

29 декабря 2022 года план проверок соблюдения законодательства о персональных данных на 2023 год опубликован на сайте Центра в глобальной компьютерной сети Интернет. В него включено 13 операторов, 12 из которых – из сферы торговли и услуг, банковской и страховой деятельности, осуществляющих обработку больших массивов персональных данных. Один из операторов осуществляет масштабную обработку персональных данных несовершеннолетних.

Таким образом, количество плановых проверок увеличено более чем в два раза по сравнению с 2022 годом.

Уведомления о нарушении систем защиты персональных данных.

Нарушение системы защиты персональных данных способно причинить серьезный вред правам и законным интересам субъектов персональных данных. Обязанность по уведомлению Центра о таком инциденте направлена на минимизацию негативных последствий нарушений и выявление всех обстоятельств, ставших причиной инцидента.

Порядок уведомления Центра о нарушениях систем защиты персональных данных определен приказом Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 13 ”Об уведомлении о нарушениях систем защиты персональных данных“.

Уведомление о нарушениях систем защиты персональных данных направляется оператором в Центр при нарушении систем защиты персональных данных, за исключением случаев, когда нарушение систем защиты не привело к:

незаконному распространению, предоставлению персональных данных;

изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.

В этой связи обязанность направления такого уведомления не зависит от количества лиц, затронутых данным нарушением.

В 2022 году в Центр поступило 16 уведомлений о нарушении систем защиты персональных данных. Данными нарушениями оказались затронуты свыше 1,2 млн. субъектов персональных данных.

Наиболее крупные утечки персональных данных в 2022 году произошли в:

торговой сети ”Соседи“ (634 тыс. записей);

торговой сети ”Остров чистоты и вкуса“ (148 тыс. клиентов);

службе курьерской доставки ”СДЭК“ (головной офис в Российской Федерации) (695 872 записей о заказах, сделанных жителями Беларуси);

интернет-магазине nlstar.by (85 тыс. клиентов);

ОАО ”Белгазпромбанк“ (41,9 тыс. клиентов).

Кроме того, произошла утечка персональных данных руководителей ряда государственных органов и организаций – участников процедур государственных закупок (55 тыс. записей) из ресурсов, владельцем которых является РУП ”Национальный центр маркетинга и конъюнктуры цен“: https://icetrade.by/, https://goszakupki.by/, https://ca.ncmps.by/, https://export.by/.

В случае выявления в глобальной компьютерной сети Интернет незаконно распространенных баз персональных данных Центром выносится оператору требование об информировании субъектов персональных данных о произошедшей утечке (например, путем индивидуальной рассылки и размещения информации на своем сайте в глобальной компьютерной сети Интернет) и направлении им рекомендаций изменить скомпрометированный пароль.

Кроме того, Центр обращается к владельцам соответствующих интернет-ресурсов, где опубликована такая информация, с запросом об ее удалении.

Также Центр самостоятельно проводит мероприятия по выявлению и удалению распространенных баз данных. В целом, по итогу проведенных Центром мероприятий из сети Интернет удалено свыше 1,6 млн. записей с незаконно распространенными персональными данными жителей республики, в том числе из ресурсов, владельцами которых являются организации, расположенные в иностранных государствах.

Добровольный аудит.

В 2022 году Центром на договорной основе проведено 2 добровольных аудита соблюдения операторами (уполномоченными лицами) требований законодательства о персональных данных.

Всего в 2022 году в Центр поступило 1018 обращений о разъяснении законодательства о персональных данных.

По результатам рассмотрения обращений дан 301 ответ на обращения граждан, 515 ответов на обращения юридических лиц, а в ходе личного приема и в рамках работы горячей линии даны разъяснения 202 заявителям.

Тематика поступивших в Центр жалоб субъектов персональных данных:

Рассмотрена 101 жалоба субъектов персональных данных по вопросам обработки операторами персональных данных в следующих сферах деятельности:

Принимая во внимание одновременное вступление в силу Закона о защите персональных данных и создание Центра (15 ноября 2021 г.), на эту дату отсутствовала методологическая база для принятия операторами (уполномоченными лицами) мер по его реализации.

В этой связи в первой половине 2022 г. основные усилия Центра были направлены на формирование основы для реализации законодательства о персональных данных и проведение широкой разъяснительной работы среди государственных органов и иных организаций.

В настоящее время операторы (уполномоченные лица) обеспечены методологическими документами (включая образцы, шаблоны, формы), необходимыми для должной организации работы по реализации Закона о защите персональных данных.

Все документы размещены на официальном сайте Центра в глобальной компьютерной сети Интернет и находятся в свободном доступе для использования всеми операторами (уполномоченными лицами).

Методологические документы.

Для оперативной поддержки операторов (уполномоченных лиц) Центром разработан пошаговый алгоритм приведения их деятельности в соответствие с требованиями Закона о защите персональных данных.

Алгоритм размещен на официальном сайте Центра в глобальной компьютерной сети Интернет, а также доводится до сведения операторов, уполномоченных лиц в рамках проводимых Центром обучающих мероприятий и оказания образовательных услуг.

Для удобства операторов (уполномоченных лиц), формирования единообразной практики применения Закона о защите персональных данных и во избежание нарушений Центром сформирован ”Портфель оператора“ – электронный архив методологических материалов и форм правовых документов, рекомендуемых для использования в работе операторов (уполномоченных лиц).

В частности, на официальном сайте Центра в глобальной компьютерной сети Интернет размещены:

форма согласия на обработку персональных данных и разъяснения относительно ее заполнения;

Положение о порядке осуществления внутреннего контроля за обработкой персональных данных;

Положение о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

Положение о политике в отношении обработки персональных данных;

Положение о политике в отношении обработки куки;

Положение о политике в отношении обработки персональных данных в процессе трудовой деятельности и при осуществлении административных процедур;

Положение о реестре обработки персональных данных, форма и примеры по формированию реестра обработки персональных данных;

Перечень информационных ресурсов (систем), содержащих персональные данные, и категории персональных данных, подлежащих включению в них;

образец должностной инструкции специалисту по внутреннему контролю за обработкой персональных данных и иные документы.

В рамках комплексной проработки вопросов, связанных с реализацией Закона о защите персональных данных, Центром подготовлены:

Кроме того, с учетом специфики и особенностей осуществляемой обработки персональных данных Центром разработаны комплексные разъяснения о применении Закона о защите персональных данных в 6 сферах, в которых осуществляется обработка значительных массивов персональных данных:

Разъяснительные мероприятия Центра.

1) 28 января 2022 г. по случаю Международного дня защиты персональных данных Центром проведен республиканский онлайн-марафон по вопросам правового регулирования и организации работы по защите персональных данных.

В мероприятии приняли участие около 200 операторов из числа организаций социальной сферы и более 4,5 тысяч представителей учреждений образования, здравоохранения, культуры, социальной защиты, а также средств массовой информации со всех регионов страны.

Участникам мероприятия представлена информация о стандартах защиты персональных данных, правоотношениях, регулируемых Законом о защите персональных данных, субъектах, на которых распространяется его действие, мерах по обеспечению защиты персональных данных, разъяснены вопросы обработки персональных данных в связи с трудовой (служебной) деятельностью.

2) С февраля по апрель 2022 года проведен цикл региональных семинаров по вопросам защиты персональных данных ”Работа с персональными данными: системный подход“.

Данные семинары проведены на базе Брестского, Витебского, Гомельского, Гродненского, Минского областных исполнительных комитетов, а также  Минского городского исполнительного комитета. В них приняли участие руководители и специалисты областных, районных и городских исполнительных комитетов, иных организаций названных областей (более 4 тысяч человек).

Ключевая цель данных мероприятий – разработка ”дорожной карты“ по реализации ”на местах“ Закона о защите персональных данных, выработка единообразного и системного подхода по обеспечению законного сбора персональных данных, их безопасного использования, хранения и иной обработки персональных данных операторами.

3) С мая по июль 2022 года во взаимодействии с Министерством образования Центром организован цикл секторальных мероприятий для работников сферы образования, координирующих организацию работы с персональными данными (в том числе осуществляющих внутренний контроль за их обработкой), с целью оказания им методологической помощи.

Проведено 8 мероприятий по теме ”Оборот персональных данных в образовании: порядок обработки и защиты“, в которых приняли участие около 2 тысяч специалистов высших, средних, средних специальных, профессионально-технических учреждений образования, а также организаций, подчиненных Министерству образования, со всех областей и г. Минска.

4) 1 июня 2022 г. по случаю Международного дня защиты детей специалистами Центра проведено консультирование по вопросам защиты персональных данных несовершеннолетних.

В рамках проводимых по этому случаю мероприятий Центром разработана памятка ”Как защитить персональные данные детей: руководство для родителей“, отражающая ключевые правила личной и цифровой безопасности, которая размещена на сайте Центра в глобальной компьютерной сети Интернет и в социальных сетях.

5) В декабре 2022 года во взаимодействии с Министерством здравоохранения Центром начат цикл мероприятий для работников сферы здравоохранения, включая медицинских работников, ”Оборот персональных данных в здравоохранении: порядок обработки и защиты“.

Работа консультативного совета при Национальном Центре защиты персональных данных.

Во исполнение пункта 12 Положения о Центре принят приказ директора Национального центра защиты персональных данных от 11 января 2022 г. № 1 ”О консультативном совете при Национальном центре защиты персональных данных“.

Данным приказом утверждено Положение о консультативном совете при Национальном центре защиты персональных данных.

В состав консультативного совета вошли представители государственных органов, профильных ассоциаций, научного сообщества, бизнеса и сферы информационных технологий.

На первом заседании консультативного совета в январе 2022 года рассмотрены вопросы, касающиеся применения Закона о защите персональных данных:

к обработке персональных данных, собранных до 15 ноября 2021 г.;

в отношении иностранных организаций, осуществляющих свою деятельность на территории Республики Беларусь через представительства, открытые в порядке, предусмотренном законодательством Республики Беларусь.

На втором заседании консультативного совета в ноябре 2022 года:

рассмотрены Рекомендации Национального центра защиты персональных данных о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных;

обсуждены вопросы, касающиеся определения в соответствии с Законом о защите персональных данных статуса физических лиц, выполняющих работы (оказывающих услуги) по гражданско-правовым договорам, организаций, оказывающих почтовые, курьерские услуги, услуги по перевозке, юридические услуги.

Кроме того, с учетом имеющейся проблематики, связанной с обработкой персональных данных посредством видеонаблюдения, решением консультативного совета в целях формирования общего подхода к порядку осуществления видеонаблюдения в Республике Беларусь, учитывающего требования законодательства о персональных данных, и выработки критериев по определению случаев, когда обработка персональных данных посредством видеонаблюдения будет обоснованной с учетом баланса общественных интересов и интересов субъектов персональных данных, создана рабочая группа по вопросам видеонаблюдения.

Взаимодействие с государственными органами и иными организациями.

За 2022 год Центром направлено 185 инициативных писем государственным органам и иным организациям по вопросам, связанным с реализацией Закона о защите персональных данных.

Основные вопросы, содержащиеся в инициативных письмах, касались:

назначения лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных;

разъяснения законодательства о персональных данных;

обеспечения соблюдения требований законодательства о персональных данных и привлечения к ответственности за его нарушение;

развития взаимодействия и совершенствования законодательства в сфере защиты прав субъектов персональных данных;

проведения обучения и внешнего независимого аудита.

Участие Центра в нормотворческой деятельности.

Одной из функций Центра, предусмотренной абзацем седьмым пункта 2 статьи 18 Закона о защите персональных данных, является участие в подготовке проектов актов законодательства о персональных данных.

В 2022 году Центром рассмотрено 75 проектов нормативных правовых актов, включая проекты международных договоров.

По результатам рассмотрения проектов нормативных правовых актов заинтересованным государственным органам направлены замечания и предложения по их корректировке с учетом положений Закона о защите персональных данных, в том числе принято участие в заседании рабочих групп и экспертных советов заинтересованных государственных органов по обсуждению соответствующих замечаний и предложений Центра.

В целях урегулирования имеющихся проблем в правоприменительной практике и надлежащей правовой регламентации размещения изображений физических лиц на официальных сайтах государственных органов и организаций с учетом требований Закона о защите персональных данных Центром инициировано внесение изменений в Положение о порядке функционирования интернет-сайтов государственных органов и организаций, утвержденное постановлением Совета Министров Республики Беларусь от 29 апреля  2010 г. № 645 ”О некоторых вопросах интернет-сайтов государственных органов и организаций“. В частности, предложено определить перечень должностных лиц государственных органов и организаций, информация о которых, включая их фотографическое изображение, должна быть размещена на интернет-сайте, а также закрепить норму, разрешающую сопровождать размещаемую на интернет-сайте информацию о новостях изображениями граждан, полученными при проведении мероприятий с участием этих государственных органов и организаций.

Предложения Центра реализованы в постановлении Совета Министров Республики Беларусь от 30 декабря 2022 г. № 972 ”Об изменении постановления Совета Министров Республики Беларусь от 29 апреля 2010 г. № 645“.

Кроме того, по инициативе Центра Единый квалификационный справочник должностей служащих дополнен квалификационной характеристикой специалиста по внутреннему контролю за обработкой персональных данных (постановление Министерства труда и социальной защиты Республики Беларусь от 31 октября 2022 г. № 62 ”Об изменении постановлений Министерства труда Республики Беларусь от 30 декабря 1999 г. № 159 и Министерства труда и социальной защиты Республики Беларусь от 2 января 2012 г. № 1“).

Просветительская деятельность Центра.

В 2022 году проводилась активная просветительская работа с молодежью, учащимися и студентами. Так, в формате дней открытых дверей проведены встречи руководства Центра со студентами Белорусского государственного университета, Академии управления при Президенте Республики Беларусь, Международного университета ”МИТСО“.

На протяжении 2022 года значительное внимание уделялось вопросам взаимодействия со СМИ, развитию сайта Центра в глобальной компьютерной сети Интернет, социальных сетей, каналов коммуникации с гражданами.

На площадках Национального пресс-центра и Дома прессы проводились тематические пресс-конференции. Руководство и работники Центра открыты к взаимодействию со СМИ, дают комментарии, разъяснения и рекомендации в части бережного и рачительного отношения к персональным данным.

Первой информационной площадкой для взаимодействия Центра с гражданами, операторами, уполномоченными лицами и СМИ стал Telegram-канал ”Центр персональных данных“, аудитория которого за год выросла практически в 5 раз.

На протяжении года рос индекс медиаактивности Центра.
За 12 месяцев работы Центром было подготовлено и инициировано более 480 публикаций в СМИ, в том числе в теле- и радиоэфирах, интервью новостным порталам и печатным изданиям, анонсов и информационных сообщений. На страницах газет и журналов, а также в эфирах телевидения и радио освещались наиболее важные для общества вопросы деятельности Центра, такие как правила безопасного оборота персональных данных, информация о нарушениях систем их защиты, которые привели к утечке персональных данных, практика привлечения к ответственности за нарушение законодательства о персональных данных, порядок и правила работы операторов с персональными данными и обучения в этой сфере.

На специализированных информационных ресурсах ”Экономическая газета“, Информационно-поисковой системе (ИПС) ”ЭТАЛОН-ONLINE“, портале ”ilex“ на постоянной основе размещаются разработанные Центром рекомендуемые формы, шаблоны документов, аналитические материалы, информация о проводимой разъяснительной работе, новостной контент и ответы на часто задаваемые вопросы.

Информационную поддержку деятельности Центра на постоянной основе оказывают информационные агентства ”БелТА“, ”Минск-новости“ юридический научно-практический журнал ”Юстиция Беларуси“, ”Экономическая газета“, Национальный правовой Интернет-портал Республики Беларусь ”Pravo.by“, газеты ”Звязда“, ”СБ. Беларусь сегодня“, ”Настаўніцкая газета“, ”Аргументы и факты в Беларуси“, телеканалы ”ОНТ“, ”Беларусь 1“, ”Яснае ТВ“, ”СТВ“.

2 февраля 2022 г. Центром обеспечен свободный доступ к официальному сайту cpd.by (цпд.бел), который посещает порядка тысячи уникальных посетителей. Самые посещаемые разделы – ”Портфель оператора“, который содержит шаблоны ”готовых решений“ по приведению деятельности операторов в соответствие с Законом о защите персональных данных, а также раздел ”Образовательные услуги“.

Официальный сайт Центра получил специальный диплом жюри престижной интернет-премии ”ТИБО-2022“ в одной из наиболее популярных номинаций у соискателей наград – ”Ресурсы органов государственной власти“ (было подано порядка сорока заявок).

С целью определения мнения граждан об обеспечении их прав и свобод при обработке персональных данных, а также анализа понимания в организациях принимаемых мер защиты обрабатываемых персональных данных Институтом социологии Национальной академии наук Беларуси по заказу Центра реализовано социологическое исследование на тему ”Ценность и защита персональных данных на современном этапе“.

Планируется, что проведение такого исследования будет осуществляться на регулярной основе и позволит оценивать мнение общества по вопросу защиты персональных данных.

Большинство респондентов (75,8 %) высоко ценят значимость личной информации, при этом 45,7 % из них придерживаются мнения о возможности защиты персональных данных, а 30,1 % опасаются невозможности их защиты в современных условиях.

Только 15,3 % респондентов не осознают значимости защиты персональных данных: воспринимают их как просто информацию о себе (12,2 %) и не придают им никакой ценности (3,1 %).

Более половины опрошенных (56,5 %) с той или иной периодичностью при использовании интернет-сервисов, требующих предоставления персональных данных, знакомятся с Политикой в отношении обработки персональных данных. Каждый четвертый респондент (24,9 %) читает ее всегда, а каждый третий (31,6 %) – время от времени.

Тех, кто не знакомится с текстом Политики (26,6 %), чуть более чем в два раза меньше, в сравнении с теми, кто ее читает (56,5 %). Не читают Политику обработки персональных данных респонденты по двум причинам: не считают это нужным (9,8 %) или не понимают сути (16,8 %).

Более половины опрошенных (57,5 %) имеют опыт предоставления согласия на обработку персональных данных за последние 12 месяцев, при этом каждому третьему респонденту (33,0 %) не приходилось давать такого согласия. Почти каждый десятый (9,5 %) затруднился с ответом.

Каждый четвертый респондент (25,8 %) воспользовался своим правом отказаться предоставлять свои персональные данные. В то же время основная часть респондентов не сталкивалась с ситуациями, в которых у них была необходимость воспользоваться данным правом за последний год (60,2 %).

С вопросами осуществления телефонных звонков с предложениями различных товаров и услуг без их согласия сталкивалось 63,3 % опрошенных, а с рассылкой рекламных сообщений (спама) на мобильный телефон или электронную почту без их согласия – 58,8 %.

Реже встречаются на практике, но несут в себе гораздо больше угроз действия, в которых имеют место признаки состава правонарушений или преступлений: мошенничество с банковскими картами, электронными деньгами, СМС-оплатой, которому подвергались 16,9 % опрошенных, а также взлом социальных сетей и распространение персональных данных, с которым столкнулись 15,8 %.

Отдельной проблемой является публикация персональных данных без разрешения. Так, 4,0 % из опрошенных столкнулись с опубликованием их персональных данных в Интернете, а 1,4 % – в других СМИ (кроме глобальной компьютерной сети Интернет).

Уровень осведомленности населения по вопросам нормативного правового регулирования защиты персональных данных является умеренным: 44,7 % опрошенных белорусов знают о принятии в мае 2021 года Закона о защите персональных данных. Поляризация мнения (с учетом того, что 47,1 % указали на незнание такого Закона, а 8,2 % респондентов затруднились с ответом) говорит, что население скорее находится на стадии знакомства с работой правовой системы, регулирующей данный вопрос.

Таким образом, результаты опроса с одной стороны отражают важность для субъектов персональных данных вопросов защиты персональных данных, с другой – выявляют проблематику данных правоотношений, которая в том числе требует повышения правовой грамотности субъектов персональных данных и формирования у них бережного отношения к своим персональным данным.

Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“ Центру предоставлено право реализовывать образовательную программу повышения квалификации руководящих работников и специалистов, в том числе по вопросам технической и (или) криптографической защиты информации, защиты персональных данных.

Образовательная деятельность Центра в 2022 году развивалась в следующих направлениях:

проведение обучающих семинаров, вебинаров, в том числе корпоративных;

реализация образовательных программ повышения квалификации руководящих работников и специалистов;

проработка вопроса по открытию новой специальности переподготовки ”Защита персональных данных“ на базе Института информационных технологий Белорусского государственного университета информатики и радиоэлектроники на уровне высшего образования, обеспечивающей получение квалификации ”специалист по безопасности данных“.

Центр аккредитован Министерством образования по профилю образования ”Коммуникации. Право. Экономика. Управление. Экономика и организация производства“, направление образования ”Право“; профилю образования ”Техника и технологии“, направление образования ”Информатика и вычислительная техника“; профилю образования ”Службы безопасности“, направлениям образования ”Государственная безопасность“, ”Информационная безопасность“.

С 5 сентября в Центре началась реализация образовательной программы повышения квалификации руководящих работников и специалистов. Это долгожданное событие республиканского значения, – впервые в Беларуси специалистам, которые отвечают за защиту персональных данных в организациях и работают с этими данными, предоставлена возможность повышать квалификацию и развивать свои профессиональные компетенции.

За 2022 год в образовательных и просветительских мероприятиях Центра приняли участие 15 991 человек, из них:

курсы повышения квалификации прошли 1136 человек, в том числе по вопросам защиты персональных данных – 900, информационной безопасности – 169, технической защите государственных секретов – 67;

обучающие семинары – 1067 человек;

вебинары – 752 человека;

корпоративные обучение – 502 человека;

региональные и секторальные семинары и практикумы – 7950 человек;

онлайн-марафоны – 4584 человека.

Центром проводились обучающие корпоративные семинары, как правило для организаций и субъектов хозяйствования, у которых в процессе деятельности накапливается большой объем информации конфиденциального характера и содержащей персональные данные.

85 % участников всех образовательных и просветительских мероприятий Центра обучались на безвозмездной основе.

Центром проводится работа по развитию международного сотрудничества и партнёрства с уполномоченными органами по защите прав субъектов персональных данных других государств.

В 2022 году подписаны меморандумы и соглашения о сотрудничестве с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций Российской Федерации, Государственным агентством по защите персональных данных при Кабинете Министров Кыргызской Республики, а также с Комиссаром по информации общественной важности и защите персональных данных Республики Сербия.

Особую ценность в рамках партнерства и взаимодействия Центра и уполномоченных органов по защите персональных данных других государств будет иметь практический положительный опыт по решению актуальных проблем защиты персональных данных граждан, затрагивающий весь комплекс вопросов, связанных с защитой таких данных, совершенствованием национального законодательства в этих направлениях и организацией взаимодействия регуляторов и операторов.

В 2022 году продолжена деятельность Центра по укреплению организационно-технической базы. В обозначенный период приобретались оборудование, технические средства, программные продукты, в том числе для целей защиты информации и модернизации локально-вычислительной сети.

Оснащение учебных помещений отвечает потребностям и интересам всех участников образовательного процесса и соответствует санитарным нормам и правилам. Для осуществления эффективного образовательного процессса компьютерные классы укомплектованы новыми современными персональными электронно-вычислительными машинами, на которых имеется необходимое для корректной работы программное обеспечение, и обеспечен высокоскоростной доступ к ресурсам сети Интернет.

Иногородние слушатели на время обучения в Центре обеспечены местами для проживания.

Продолжается работа по формированию профессионального кадрового состава. В частности, 4 работника Центра имеют степень кандидата юридических наук.

Учитывая объем персональных данных, обрабатываемых в Центре, а также возложенные на него задачи и функции, в структуре управления контроля и аудита в 2022 году создан сектор по вопросам технической защиты персональных данных, в котором работают специалисты, имеющие техническое образование и опыт работы в сфере защиты информации.

Структура Центра по состоянию на 31 декабря 2022 года:

В 2023 году внимание Центра будет сосредоточено на решении ряда проблемных вопросов:

1) На системной основе будет проводиться мониторинг интернет-ресурсов, а том числе зарубежного сегмента, с целью удаления незаконно распространенных персональных данных.

2) Трансграничная передача персональных данных.

Расширяется практика переноса обработки персональных данных граждан Беларуси на территорию иных государств.

Необходимо выработать оптимальный механизм трансграничной передачи в целях защиты прав субъектов персональных данных, снижения рисков утраты цифрового суверенитета, недопущения влияния этого процесса на отечественный рынок IT-услуг.

3) Обработка биометрических персональных данных несовершеннолетних (отпечатков пальцев, изображений лиц и т.п.).

Их незаконное предоставление, распространение, в том числе вследствие утечки, персональных данных имеет серьезные последствия для несовершеннолетнего, его будущей жизнедеятельности.

Обработка биометрических персональных данных несовершеннолетних должна осуществляться только в случаях, прямо предусмотренных законодательными актами, и в объеме, минимально необходимом для целей обработки.

4) Упорядочение видеонаблюдения.

Расширяется практика ведения видеонаблюдения, чему способствует удешевление технологий и повышение доступности технических средств (видеорегистраторы, видеокамеры и др.).

Особую обеспокоенность людей вызывает практика видеонаблюдения за ними на рабочих местах, в гардеробах и др. Имеют место ситуации, когда такое видеонаблюдение ведется скрытно и работники о нем не осведомлены.

В этой связи будет продолжена работа по выработке критериев для определения случаев, когда обработка персональных данных посредством видеонаблюдения будет обоснованной с учетом баланса общественных интересов и прав субъектов персональных данных.

5) Взаимодействие института защиты персональных данных с другими правовыми институтами.

В 2023 году Центром будет продолжена работа по обеспечению согласованности с Законом о защите персональных данных иных актов законодательства, в том числе регулирующих охраняемую законом тайну.

6) Расширение полномочий Центра в части привлечения к административной ответственности.

В настоящее время правом на составление протоколов о совершении административных правонарушений, предусмотренных статьями 23.7 ”Нарушение законодательства о защите персональных данных“ и 24.11 ”Непредставление документов, отчетов и иных материалов“ Кодекса Республики Беларусь об административных правонарушениях, наделены должностные лица органов внутренних дел.

Вместе с тем обработка персональных данных требует оценки деятельности оператора и его должностных лиц, анализа локальных правовых актов оператора и практики их реализации, разъяснения Закона о защите персональных данных, а квалификация соответствующих правонарушений представляет определенную сложность и требует специальных познаний.

В этой связи представляется целесообразным наделение должностных лиц Центра правом на составление протоколов по рассматриваемым статьям Кодекса Республики Беларусь об административных правонарушениях.

7) Предупредительная и разъяснительная работа.

С целью обеспечения реализации требований Закона о защите персональных данных, соблюдения прав субъектов персональных данных, формирования ”цифровой гигиены“ в обществе и информирования населения относительно порядка обработки персональных данных планируется расширение предупредительной и разъяснительной работы Центра.

Такая работа будет осуществляется, в том числе посредством выработки официальных разъяснений и рекомендаций Центра по применению законодательства о персональных данных, взаимодействия со СМИ, доведения полезной информации по вопросам защиты персональных данных на сайте Центра в глобальной компьютерной сети Интернет (cpd.by), социальных сетях и мессенджерах Центра (Telegram, Instagram, YouTube), взаимодействия с государственными органами и иными организациями, осуществления образовательного процесса и повышения квалификации специалистов, работающих с персональными данными, повышения грамотности в вопросах обработки персональных данных субъектов персональных данных.

Директор                                                                              А.А.Гаев