О мерах по совершенствованию защиты персональных данных

Автор:
Илья Протасеня, юрист

30 октября 2021 в Беларуси был опубликован Указ от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных». Это дополнение к Закону «О защите персональных данных», который вступает в силу с 15.11.2021.

Новое регулирование актуально для всех субъектов хозяйствования, поскольку все выступают операторами персональных данных, как минимум, в отношении данных своих работников.

НОВЫЙ КОНТРОЛИРУЮЩИЙ ОРГАН

Многих волновал вопрос: кто же выступит в качестве контролирующего органа? Теперь есть ответ. С 15 ноября 2021 года в Беларуси создается новый регулятор в сфере защиты персональных данных – Национальный центр защиты персональных данных (НЦЗПД).

Его основные функции:

принятие мер по защите прав субъектов персональных данных (рассмотрение жалоб);
контроль за действиями операторов при обработке персональных данных (в форме проверок, требований изменения, блокировки, прекращения обработки данных);
организация обучения по вопросам защиты персональных данных;
предоставление услуг по проведению аудита по вопросам соблюдения законодательства о персональных данных.

ОБЯЗАТЕЛЬНОЕ ОБУЧЕНИЕ ДЛЯ РАБОТНИКОВ

В соответствии с требованиями Указа следующие категории работников обязаны проходить обучение не реже 1 раза в 5 лет:

лица, ответственные за осуществление внутреннего контроля за обработкой персональных;
лица, непосредственно осуществляющие обработку персональных данных и включенные ОАЦ в соответствующую категорию – в НЦЗПД по образовательной программе повышения квалификации руководящих работников и специалистов,
иные лица, непосредственно осуществляющие обработку персональных данных – в учреждениях образования и иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации.

Кроме того, каждые три года должны проходить обязательное обучение в НЦЗПД работники и (или) иные лица, в обязанности которых входит обеспечение информационной безопасности.

ОТЧЕТНОСТЬ ПЕРЕД НЦЗПД

Операторам необходимо предоставить в НЦЗПД следующую информацию:

о количестве лиц, ответственных за внутренний контроль за обработкой персональных данных — до 15.12.2021;
о количестве лиц, непосредственно осуществляющих обработку персональных данных — до 15.12.2021.

ПОЯВИТСЯ БОЛЬШЕ ДОКУМЕНТОВ

К 15.11.2021, помимо политики конфиденциальности для сайта, и внутреннего ЛПА об обработке персональных данных в компании, белорусские операторы должны утвердить и поддерживать в актуальном состоянии:

перечень информационных ресурсов (систем, веб-сайтов, приложений, онлайн-сервисов и тд.), содержащих персональные данные, собственниками или владельцами которых они являются;
категории персональных данных, которые включаются в такие информационное ресурсы;
перечень уполномоченных лиц (если обработка осуществляется вручную, а не автоматизировано);
срок хранения персональных данных.

РЕЕСТР ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

В Беларуси появится Реестр операторов персональных данных. В реестр будет вноситься актуальная информация об операторах и информационных ресурсах, содержащих персональные данные.

Конкретные виды данных и порядок их включения в реестр будут определены позже (до 01.08.2022) ОАЦ при президенте Республики Беларусь.

НОВЫЕ ВИДЫ ПРОВЕРОК

В рамках контрольных полномочий НЦЗПД будет осуществлять проверки соблюдения законодательства в области персональных данных:

плановые проверки (не чаще 1 раза в 2 года; до 30 декабря года, предшествующего году проведения проверки на сайте НЦЗПД будет опубликован план проверок; проверяемый субъект будет уведомлен за 10 рабочих дней до начала проверки);
внеплановые проверки (по усмотрению НЦЗПД);
камеральные проверки (удаленный анализ сайта и документов оператора).

ОТВЕТСТВЕННОСТЬ

Административная ответственность за нарушение законодательства о персональных данных установлена ст. 23.7 КоАП. Ответственность может наступить за:

умышленные незаконные сбор, обработку, хранение или предоставление персональных данных;
нарушение прав физических лиц, связанных с обработкой персональных данных;
умышленное незаконное распространение персональных данных;
несоблюдение мер обеспечения защиты персональных данных.

Максимальный штраф может достигать 200 базовых величин (BYN 5 800).

Уголовная ответственность за нарушение требований об обработке персональных данных предусмотрена в статьях 203-1 «Незаконные действия в отношении информации о частной жизни и персональных данных» и 203-2 «Несоблюдение мер обеспечения защиты персональных данных» УК.

ЧЕМ МЫ МОЖЕМ ВАМ ПОМОЧЬ?

При возникновении вопросов по новому регулированию в области персональных данных команда SP&P будет рада предоставить детальную профессиональную консультацию или оказать юридическую помощь в комплексной подготовке всех необходимых документов.