Национальный центр защиты персональных данных является уполномоченным органом по защите прав субъектов персональных данных, который в соответствии с абзацем вторым пункта 3 статьи 18 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ и абзацем вторым пункта 7 Положения о Национальном центре защиты персональных данных, утвержденного Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“ (далее – Положение), осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами).
В Главе 4 Положения определены следующие формы осуществления контроля:
- плановые проверки;
- внеплановые проверки;
- камеральные проверки.
Плановые проверки проводятся в соответствии с планом проверок соблюдения законодательства о персональных данных, ежегодно утверждаемым директором Национального центра защиты персональных данных и размещаемым на официальном сайте Национального центра защиты персональных данных в глобальной компьютерной сети Интернет.
План проверок размещается не позднее 30 декабря года, предшествующего году проведения проверки.
Внеплановые проверки могут назначаться директором Национального центра защиты персональных данных при наличии сведений, в том числе полученных от организации или физического лица, жалоб субъектов персональных данных, свидетельствующих о совершаемом (совершенном) нарушении требований законодательства о персональных данных.
О назначении плановой проверки оператор (уполномоченное лицо) письменно уведомляется не позднее 10 рабочих дней до начала ее проведения.
Проведение внеплановой проверки допускается и без такого уведомления.
По результатам плановой или внеплановой проверки составляется акт в двух экземплярах, в котором должны быть отражены:
- соответствие (несоответствие) принятых оператором (уполномоченным лицом) мер по обеспечению защиты персональных данных требованиям законодательства о персональных данных;
- экспертная оценка комиссией достаточности принятых оператором (уполномоченным лицом) мер для защиты персональных данных;
- выявленные нарушения законодательства о персональных данных либо вывод об отсутствии таких нарушений.
В случае выявления по результатам плановой или внеплановой проверки нарушений законодательства о персональных данных директор Национального центра защиты персональных данных в течение 10 рабочих дней со дня окончания проверки выносит письменное требование (предписание) об устранении выявленных нарушений и (или) приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе) с указанием конкретных действий, которые должны быть приостановлены (прекращены), и устанавливает срок такого устранения и (или) приостановления (прекращения), не превышающий 6 месяцев.
При наличии возражений по акту плановой или внеплановой проверки не позднее 15 рабочих дней со дня поступления акта оператору (уполномоченному лицу) или вручения его уполномоченному представителю представляются в Национальный центр защиты персональных данных письменные возражения по его содержанию.
Вынесенное по результатам плановой или внеплановой проверки письменное требование (предписание) об устранении нарушений и (или) приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе), а также действия (бездействие) проверяющих могут быть обжалованы оператором (уполномоченным лицом) в судебном порядке.
В свою очередь, камеральные проверки проводятся Национальным центром защиты персональных данных по месту своего нахождения посредством изучения, анализа и оценки:
- информации, размещенной в средствах массовой информации и глобальной компьютерной сети Интернет;
- документов и иной информации, в том числе полученной от оператора (уполномоченного лица) по запросу Национального центра защиты персональных данных.
Камеральная проверка проводится без выдачи предписания на ее проведение и уведомления об этом оператора (уполномоченного лица). По результатам такой проверки оператору (уполномоченному лицу) могут быть направлены рекомендации об устранении выявленных нарушений законодательства о персональных данных.
Положения Указа Президента Республики Беларусь от 16 октября 2009 г. № 510 ”О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь“ не применяются при осуществлении Национальным центром защиты персональных данных контроля за обработкой персональных данных операторами (уполномоченными лицами). Порядок проведения проверок Национальным центром защиты персональных данных определен Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“