Проверки НЦЗПД: как быть готовым

1.

Проверки НЦЗПД:
как быть готовым
Надежда Шакель
кандидат юридических наук, доцент
эксперт в вопросах интеллектуальной
собственности и персональных данных
старший юрист ООО «Степановский, Папакуль
и партнеры. Юридические услуги»

2.

Контрольная деятельность НЦЗПД
Положения Указа Президента Республики Беларусь от 16 октября 2009 г. №
510 «О совершенствовании контрольной (надзорной) деятельности в
Республике Беларусь» не применяются при осуществлении Национальным
центром защиты персональных данных контроля за обработкой
персональных данных операторами (уполномоченными лицами).
Порядок проведения проверок Национальным центром защиты персональных
данных определен Указом Президента Республики Беларусь от 28 октября
2021 г. № 422 «О мерах по совершенствованию защиты персональных
данных».

3.

Контрольная деятельность НЦЗПД
Не допускается вмешательство в деятельность
Национального центра защиты персональных
данных
по
осуществлению
контроля,
направление поручений или указаний.

4.

Контрольная деятельность НЦЗПД
Камеральные проверки
Анализ информации в СМИ и Интернете, а также
документов и иной информации, включая полученную от
оператора (уполномоченного лица) по запросу НЦЗПД.
Проводится без уведомления проверяемого субъекта.
По результатам проверки проверяемому субъекту могут
быть направлены рекомендации об устранении
выявленных нарушений.
Важно:
срок на исполнение рекомендаций – 1 месяц (либо
мотивированное пояснение о причинах/сроках). Далее
НЦЗПД принимает решение о внеплановой проверке.

5.

Контрольная деятельность НЦЗПД
Внеплановые проверки
Могут назначаться директором НЦЗПД при наличии:
сведений о нарушении требований законодательства о персональных данных,
в том числе полученных от организации или физического лица;
жалоб субъектов персональных данных.
Анонимная информация не будет служить основанием для внеплановых
проверок.

6.

Контрольная деятельность НЦЗПД
Плановые проверки:
не чаще 1 раза в 2 года в отношении одного
субъекта;
план проверок публикуется на официальном
сайте НЦЗПД не позднее 30 декабря года,
предшествующего году проведения проверки;
о назначении плановой проверки оператор
(уполномоченное
лицо)
письменно
уведомляется не позднее 10 рабочих дней до
начала ее проведения.

7.

Контрольная деятельность НЦЗПД
Для проведения плановой или внеплановой
проверки директором Национального центра
защиты персональных данных:
формируется комиссия
(далее – комиссия);
по
проверке
при
проведении
плановой
или
внеплановой
проверки
руководитель
комиссии самостоятельно определяет
методы и способы ее осуществления.

8.

Контрольная деятельность НЦЗПД
Для проведения плановой или внеплановой проверки директором
Национального центра защиты персональных данных выдается предписание
на проведение проверки, в котором указывается:
наименование оператора (уполномоченного лица);
вид проверки (плановая или внеплановая);
даты начала проверки;
сроки ее проведения;
состав комиссии;
вопросы, подлежащие проверке.

9.

Контрольная деятельность НЦЗПД
Проверяющие вправе требовать от оператора (уполномоченного лица):
представления документов (их копий) и (или) сведений, связанных с
обработкой персональных данных.
Если такие документы (их копии) в соответствии с требованиями
законодательства могут находиться не в месте проверки, они должны быть
представлены не позднее следующего рабочего дня со дня предъявления
требования о представлении документов (их копий);

10.

Контрольная деятельность НЦЗПД
Проверяющие вправе требовать от оператора (уполномоченного лица):
обеспечения доступа при предъявлении служебных удостоверений
и предписания на проведение проверки (в отношении объектов, допуск
на которые ограничен в соответствии с законодательством, – документов,
предусмотренных законодательством для допуска на такие объекты)
в помещения и иные объекты (на территории), в которых осуществляется
обработка ПД (за исключением жилых помещений), и к программнотехническим средствам, с помощью которых осуществляется такая
обработка.
При невозможности (затруднительности) исследования указанных программнотехнических средств на месте по решению НЦЗПД такие программнотехнические средства могут изыматься на срок, не превышающий срока
проведения проверки.

11.

Контрольная деятельность НЦЗПД
В ходе плановой или внеплановой проверки оцениваются
меры, принятые оператором (уполномоченным лицом) для обеспечения
защиты персональных данных, а также
их достаточность для защиты персональных данных.

12.

Новый Закон о ПД, 2021.
Статья 17. Меры по обеспечению защиты персональных данных
Новый Закон о ПД, 2021. Статья 17.
Меры по обеспечению защиты персональных данных
Определили ли вы ответственного за
осуществление внутреннего контроля за
обработкой персональных данных?
Какие при этом использовались критерии?

13.

Новый Закон о ПД, 2021.
Статья 17. Меры по обеспечению защиты персональных данных
Новый Закон о ПД, 2021. Статья 17.
Меры по обеспечению защиты персональных данных
Каким образом осуществлено
ознакомление работников и иных лиц,
непосредственно осуществляющих
обработку персональных данных, с
положениями законодательства о защите
персональных данных с политиками?

14.

Новый Закон о ПД, 2021. Статья 17.
Меры по обеспечению защиты персональных данных
Подписали ли ваши работники обязательство
о защите персональных данных?
А подрядчики?

15.

Обязательство работников о неразглашении персональных данных
Подписание обязательства, как необходимого документа, влекущего
определенные правовые последствия, осуществляется в случаях, прямо
предусмотренных законодательством.
Законом «О защите персональных данных» понятие «разглашение
персональных данных», равно как и подписание работниками обязательства
о неразглашении ПД не предусмотрены.

16.

Отпечатки пальцев или турникеты?
«Какие сейчас видны нарушения по результатам проведенных проверок
использования персональных данных юрлицами? […] К сожалению, нередко
встречаются случаи, связанные с избыточной обработкой персональных
данных, когда для входа в здание организации, где не требуется каких-либо
сверхмер, начинают собираться биометрические данные (отпечатки пальцев)
просто для того, чтобы прийти на работу. И это несмотря на то, что
организована охрана и турникеты».
Андрей Гаев, директор НЦЗПД. Источник:
https://pravo.by/novosti/obshchestvenno-politicheskie-i-v-oblasti-prava/2022/april/69791/
Национальный правовой Интернет-портал Республики Беларусь

17.

Персональные данные
Можно ли при приеме гражданина на работу потребовать от него предоставления
сведений из единого государственного банка данных о правонарушениях (далее –
ЕГБДП) или запросить такие сведения с его согласия?
Да, но только если:
запрос (предоставление) таких сведений предусмотрен законодательным актом
либо законодательным актом установлены ограничения в связи с привлечением
кандидатов на трудоустройство к административной и (или) уголовной
ответственности.
В иных случаях с учетом требований к обработке ПД обработка таких сведений
независимо от факта наличия (отсутствия) согласия субъекта ПД является избыточной
и содержит признаки администр. правонарушения, предусмотренного ст. 23.7 КоАП.
Источник: НЦЗПД

18.

Указ 422
В случае выявления по результатам плановой или внеплановой проверки
нарушений законодательства о персональных данных, отраженных в акте
плановой или внеплановой проверки, директор НЦЗПД в течение 10 рабочих
дней со дня окончания проверки выносит письменное требование
(предписание) об устранении выявленных нарушений и (или) приостановлении
(прекращении) обработки персональных данных в информационном ресурсе
(системе) с указанием конкретных действий, которые должны быть
приостановлены (прекращены), и устанавливает срок такого устранения и (или)
приостановления (прекращения), не превышающий шести месяцев.

19.

Статья 17 (3) Закона о ПД.
Обязательные меры по обеспечению защиты персональных данных
Указ Президента Республики Беларусь от 09.12.2019 N 449 «О
совершенствовании государственного регулирования в области защиты
информации»
Руководитель организации несет персональную ответственность за
организацию работ по технической и криптографической защите информации в
организации.
Контроль за технической и криптографической защитой информации (далее контроль) осуществляется ОАЦ в форме проверок, проводимых в соответствии
с планом проверок технической и криптографической защиты информации,
утверждаемым начальником ОАЦ и размещаемым на официальном сайте ОАЦ в
глобальной компьютерной сети Интернет не позднее 30 декабря года,
предшествующего году проведения проверки.

20.

Анализ бизнес-процессов
Операторы (уполномоченные лица), имеющие положительное заключение
Национального центра защиты персональных данных по итогам проведения
добровольного
аудита
соблюдения
требований
законодательства
о персональных данных, не подлежат плановым проверкам в течение пяти лет
со дня получения соответствующего заключения.
Указ 422

21.

Вопросы & ответы
Время для ответов
на интересующие вас вопросы

22.

Минск | Беларусь
ул. Куйбышева, д. 16, 4-й этаж, 220029
тeл./факс: +375 17 269 55 00 | 204 86 72
моб.: +375 29 340 44 83 | 33 300 44 83
[email protected]
spplaw.by
facebook.com/spplaw
linkedin.com/company/spplaw/
instagram.com/spplaw.by/
t.me/spplaw_for_business
ООО «Степановский, Папакуль и партнеры. Юридические услуги» УНП: 193588385 ©