В соответствии с абзацем вторым пункта 3 статьи 18 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон о защите персональных данных) и абзацем вторым пункта 7 Положения о Национальном центре защиты персональных данных, утвержденного Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 (далее – Положение о Центре), Национальный центр защиты персональных данных (далее, если не определено иное, – Центр) осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами) в следующих формах:

плановые проверки (План проверок соблюдения законодательства о персональных данных публикуется на сайте Центра в глобальной компьютерной сети Интернет (далее – сайт Центра) не позднее 30 декабря года, предшествующего году проведения проверки.);

внеплановые проверки;

камеральные проверки.

В 2023 году при осуществлении контроля применялись все три формы проверок. По итогам их проведения в каждом случае были выявлены нарушения.

Кроме того, основаниями для проведения контрольных мероприятий служили жалобы субъектов персональных данных на нарушения их прав при обработке персональных данных. Выполняя свою задачу по восстановлению нарушенных прав, Центр по результатам рассмотрения таких жалоб вынес операторам более 180 требований об устранении выявленных нарушений.

Плановые проверки.

В 2023 году проведено 13 плановых проверок соблюдения законодательства о персональных данных в отношении следующих операторов:

При отборе операторов для включения в план проверок в качестве основных критериев учитывались:

масштабная обработка операторами персональных данных;

осуществление ими видов деятельности, по которым субъектами персональных данных в 2022 году было подано большое количество обоснованных жалоб (в частности, в сферах торговли и услуг, страхования и иной финансовой деятельности).

Внеплановые проверки.

В 2023 году Центром проведено 7 внеплановых проверок. Основаниями для их назначения стали, в частности:

нарушения систем защиты персональных данных, повлекшие их утечку (проверки в отношении ООО ”Инмедбай“, УП ”Торговый дом ”Лагуна“, ООО ”ДПМ“, ООО ”Онлайн Маршрутки“);

невыполнение рекомендаций, данных по результатам проведения камеральных проверок (проверка в отношении ООО ”Плэй хард“) (На практике для устранения нарушений, выявленных по итогам проведения камеральных проверок, Центром предоставляется, как правило, один месяц. Если оператору требуется больше времени (например, по причине необходимости корректировки бизнес-процессов), он вправе обратиться в Центр с ходатайством о продлении сроков устранения нарушений, обосновав его наличием объективных причин, препятствующих устранению нарушений в установленный срок, и отразив конкретные сроки устранения нарушений. В свою очередь, длительное невыполнение без уважительных причин либо неоднократное ненадлежащее выполнение рекомендаций, данных по итогам проведения камеральной проверки, может послужить основанием для проведения внеплановой проверки);

невыполнение уполномоченным лицом обязательных мер по обеспечению защиты персональных данных (проверка в отношении ООО ”Белан Технологии“) (Проверка оператором соблюдения уполномоченным лицом обязательных мер по обеспечению защиты персональных данных является важной мерой по обеспечению защиты персональных данных, которая должна быть реализована всеми операторами как часть риск-ориентированного подхода. При проведении каждой плановой или внеплановой проверки Центром оценивается, удостоверился ли оператор в принятии обязательных мер по обеспечению защиты персональных данных уполномоченным лицом или нет. Особое внимание уделяется ситуациям, когда оператором переданы на аутсорсинг ключевые бизнес-процессы одному уполномоченному лицу без подтверждения фактической реализации им обязательных мер. В таком случае проведение внеплановой проверки такого уполномоченного лица и при необходимости вынесение требования о приостановке обработки персональных данных выступает действенным способом обеспечения защиты прав граждан).

В целом, в ходе плановых и внеплановых проверок изучалось принятие операторами правовых, организационных и технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

При этом особое внимание уделялось надлежащей реализации обязательных мер по обеспечению защиты персональных данных, предусмотренных пунктом 3 статьи 17 Закона о защите персональных данных и подпунктом 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“.

Камеральные проверки.

В 2023 году Центром проведено 18 камеральных проверок. В 10 случаях поводами для их проведения являлись жалобы субъектов персональных данных, а в 6 случаях – поступившие от операторов уведомления о нарушении систем защиты персональных данных.

Снижение количества камеральных проверок в сравнении с прошлым годом обусловлено смещением акцентов в контрольной работе на рассмотрение конкретных нарушений операторами (уполномоченными лицами) законодательства о персональных данных и принятие мер по их устранению.

Несмотря на вступление Закона о защите персональных данных в силу 15 ноября 2021 г., значительное количество операторов, попавших в ”поле зрения“ Центра в 2022 году, не выполнили полностью или частично обязательные меры по обеспечению защиты персональных данных (например, не приняли и не опубликовали на своем сайте политику в отношении обработки персональных данных).

Поэтому в 2022 году, помимо реагирования на конкретное нарушение, послужившее основанием для проведения камеральной проверки, в рекомендациях по ее результатам указывалось на необходимость принятия операторами всего комплекса обязательных мер по обеспечению защиты персональных данных (при наличии у Центра информации о том, что эти меры не реализованы или реализованы ненадлежащим образом), обеспечения получения надлежащего согласия на обработку персональных данных, устранения иных нарушений, выявленных Центром в ходе мониторинга интернет-ресурсов.

В свою очередь, в 2023 году нарушения, связанные с нереализацией обязательных мер, встречались реже, что свидетельствует о повышении уровня правосознания представителей операторов и, в определенной степени, как показывает обратная связь, их нежелании попадать в ”поле зрения“ уполномоченного органа по формальным основаниям.

Это позволило сконцентрировать усилия Центра на обеспечении защиты прав субъектов персональных данных по конкретным выявленным нарушениям. Так, как отмечалось ранее, в 2023 году Центром вынесено операторам свыше 180 требований об устранении нарушений законодательства о персональных данных, выявленных по жалобам субъектов персональных данных. Обеспечен контроль их исполнения.

Основные нарушения.

Характер выявляемых Центром нарушений изменился. Так, если в 2022 году, как уже отмечалось, преобладали нарушения, связанные с нереализацией обязательных мер по обеспечению защиты персональных данных, то в 2023 году Центром отмечалось преимущественно недостаточная эффективность принимаемых мер либо формальный подход к их реализации (например, принятие необходимых локальных правовых актов без фактического применения их в деятельности оператора, заимствование ”типовых документов“ из аналитических правовых систем без их адаптации к условиям деятельности конкретного оператора и т.п.).

Типичными нарушениями, выявленными в ходе контрольных мероприятий, явились:

1) фактическое неосуществление внутреннего контроля за обработкой персональных данных, подтверждаемое отсутствием у оператора соответствующих документов (планов проведения мониторинга или проверок структурных подразделений организации, отчетов по итогам проведения контрольных мероприятий), а также неустановление оператором порядка осуществления внутреннего контроля;

2) формальное возложение обязанностей по осуществлению внутреннего контроля на одного из работников, который не имеет объективной возможности выполнять соответствующие функции, в том числе с учетом уже имеющихся у него должностных обязанностей, либо возложение таких обязанностей на работника, который организует и (или) непосредственно осуществляет обработку персональных данных (например, на заместителя директора, руководителя или специалиста кадровой службы организации), что приводит к конфликту интересов;

3) формальный подход к изданию документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, приводящий к фактической бесполезности таких документов для субъектов персональных данных.
В большинстве случаев операторами не обеспечивается соотношение в таком документе целей обработки, категорий субъектов персональных данных, чьи данные подвергаются обработке, перечня обрабатываемых персональных данных, действий, совершаемых с ними, либо не отражаются все бизнес-процессы, что нарушает положения пункта 6 статьи 4 Закона о защите персональных данных в части прозрачного характера обработки персональных данных.
Кроме того, нередко такие документы излагаются сложным языком с использованием специфических юридических или технических терминов, что затрудняет их понимание субъектами персональных данных;

4) неэффективный способ ознакомления работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных (например, размещение на информационных стендах организации либо рассылка посредством корпоративной почты с указанием на необходимость его самостоятельного изучения), без реального обучения с последующим контролем знаний (в формах опроса, тестирования и т.п.);

5) несоответствие установленного порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), реальному положению дел по разграничению прав доступа к персональным данным (например, предоставление работнику доступа к персональным данным, которые не являются необходимыми для его трудовой функции);

6) обработка персональных данных без наличия правового основания. Примерами такой обработки является распространение персональных данных других граждан без их согласия (например, в мессенджерах, социальных сетях и на иных интернет-ресурсах, досках объявлений товариществ собственников и т.п.), звонки с предложением купить какой-либо товар, посетить мероприятие, рассылка рекламных сообщений и размещение на сайте фотографий граждан в рекламных целях без получения их согласия на обработку персональных данных;

7) привлечение к обработке персональных данных уполномоченных лиц без изучения и подтверждения принятия ими соответствующих правовых, организационных и технических мер по обеспечению защиты персональных данных в соответствии с требованиями Закона о защите персональных данных;

8) несоблюдение требований статьи 5 Закона о защите персональных данных к обработке персональных данных на основании согласия:

а) необеспечение свободного характера согласия (например, включение согласия в качестве обязательного условия в договор, получение единого согласия на достижение не связанных между собой целей);

б) необеспечение информированного характера согласия (например, непредоставление либо неполное предоставление информации, предусмотренной пунктом 5 статьи 5 Закона о защите персональных данных, изложение неконкретных целей или сроков обработки персональных данных, определение открытого перечня обрабатываемых персональных данных);

9) неосуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

Операторам следует иметь в виду, что, помимо вынесения по итогам проведения плановой или внеплановой проверки письменного требования (предписания) об устранении выявленных нарушений, Центр вправе принимать решение о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе) с указанием конкретных действий, которые должны быть приостановлены (прекращены), и устанавливать срок такого приостановления (прекращения), не превышающий шести месяцев.

С учетом серьезных последствий, которые влечет для оператора принятие соответствующего решения, Центр использует этот инструмент максимально точечно и взвешенно: в 2023 году решение о приостановлении обработки персональных данных в информационных ресурсах (системах) принято Центром в отношении двух операторов.

Кроме того, за нарушение законодательства о персональных данных установлена административная и уголовная ответственность.

В настоящее время Центр не является органом, ведущим административный процесс, в связи с чем при выявлении в действиях (бездействии) операторов признаков административного правонарушения, соответствующая информация направляется в органы внутренних дел, должностные лица которых наделены полномочиями по составлению протоколов об административных правонарушениях.

Так, по результатам проведенных проверок Центром в 18 случаях направлены материалы в органы внутренних дел для решения вопроса о начале административного процесса по:

статье 23.7 ”Нарушение законодательства о защите персональных данных“ Кодекса Республики Беларусь об административных правонарушениях (далее – КоАП) (16 случаев). Так, например, на Унитарное предприятие ”Торговый дом ”Лагуна“ наложен штраф в размере 20 базовых величин за совершение административного правонарушения, предусмотренного частью 4 данной статьи;

статье 24.1 ”Неисполнение письменного требования (предписания)“ КоАП (1 случай);

статье 24.11 ”Непредставление документов, отчетов и иных материалов“ КоАП (1 случай).

План проверок соблюдения законодательства о персональных данных на 2024 год.

Приказом директора Национального центра защиты персональных данных от 22 декабря 2023 г. № 118 утвержден план проверок соблюдения законодательства о персональных данных на 2024 год, в который включено 11 операторов.

В данный план включены преимущественно операторы, которые осуществляют обработку персональных данных большого количества граждан. Соблюдение законодательства о персональных данных такими операторами обуславливает особое внимание Центра, поскольку, с одной стороны, крупные операторы выступают ”маяком“ для иных операторов, а с другой, нарушение ими законодательства влечет риски нарушения прав одновременно значительного числа субъектов персональных данных.

С учетом того, что включенные в план операторы осуществляют обработку персональных данных в различных сферах (торговля, здравоохранение, игорный бизнес и т.п.), изучение их деятельности позволит Центру получить более полную картину реализации на практике законодательства о персональных данных, в том числе выявить проблемные вопросы и предложить варианты их решения.

На основании анализа поступающих в Центр жалоб и обращений по вопросам реализации требований Закона о защите персональных данных в организациях здравоохранения и образования, с учетом большого количества таких организаций, значимости их деятельности для населения и обрабатываемой ими личной информации, а также постоянного взаимодействия с уязвимыми категориями субъектов персональных данных (несовершеннолетние, пациенты) в план впервые включены организации, осуществляющие обработку персональных данных в соответствующих сферах жизнедеятельности населения.

Уведомления о нарушении систем защиты персональных данных.

Нарушение системы защиты персональных данных способно причинить серьезный вред правам и законным интересам субъектов персональных данных. Обязанность по уведомлению Центра о таком инциденте направлена на минимизацию негативных последствий нарушений, выявление и устранение всех обстоятельств, ставших причиной инцидента.

Порядок уведомления Центра о нарушениях систем защиты персональных данных определен приказом Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 13 ”Об уведомлении о нарушениях систем защиты персональных данных“.

Такое уведомление направляется оператором в Центр при нарушении систем защиты персональных данных, за исключением случаев, когда нарушение систем защиты не привело к:

незаконному распространению, предоставлению персональных данных;

изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.

Обязанность направления такого уведомления не зависит от количества лиц, затронутых инцидентом.

В 2023 году в Центр поступило 17 уведомлений о нарушении систем защиты персональных данных. Особый вред для субъектов персональных данных несут утечки персональных данных. С целью их выявления Центром проводится ежедневный мониторинг, в ходе которого анализируется содержание десятков интернет-ресурсов.

В отличие от 2022 года количество случаев утечек персональных данных, как и количество субъектов персональных данных, затронутых утечками, сократилось. Такому положению дел способствовало принятие операторами необходимых мер по обеспечению защиты персональных данных, в том числе для упреждения административной нагрузки в связи с проведением проверок соответствующими органами по факту утечек и последующим применением санкций, а также недопущения значительных репутационных потерь.

Наиболее крупные нарушения систем защиты персональных данных в 2023 году произошли в его первой половине в следующих организациях:

ЧТУП ”ЗападХимТорг“ (730 тыс. записей) (утечка);

ООО ”ДПМ“ (226 тыс. записей) (утечка);

РУП ”Витебское агентство по государственной регистрации и земельному кадастру“ (50 тыс. записей) (временная потеря контроля над содержимым локальной сети);

ООО ”Инмедбай“ (14 тыс. записей) (утечка);

БГУ (6 тыс. записей) (утечка);

ЧТУП ”Юркас“ (5 тыс. записей) (утечка).

В случае выявления Центром в глобальной компьютерной сети Интернет незаконно распространенных баз персональных данных оператору выносится требование об информировании субъектов персональных данных о произошедшей утечке (например, путем индивидуальной рассылки и размещения информации на своем сайте в глобальной компьютерной сети Интернет) и направлении им рекомендаций по изменению скомпрометированных логина и пароля.

Кроме того, Центр обращается к владельцам соответствующих интернет-ресурсов, где опубликована такая информация, за ее удалением.

Удаление персональных данных.

Центр имеет право требовать от операторов блокирования или удаления полученных незаконным путем персональных данных, прекращения обработки персональных данных, если иными способами невозможно обеспечить защиту прав субъектов персональных данных (абзацы шестой и седьмой пункта 8 Положения о Центре).

Основаниями для вынесения такого требования в 2023 году являлись:

обработка персональных данных без надлежащих правовых оснований (например, распространение видеоизображений субъектов персональных данных в социальных сетях, сведений о должниках по оплате жилищно-коммунальных услуг и т.п.);

обработка персональных данных, которые являются избыточными для достижения конкретной цели (например, истребование копий паспортов для внесения сведений в договор с субъектом персональных данных);

продолжение обработки персональных данных после достижения целей их обработки (например, сохранение на интернет-ресурсах учреждений образования списков зачисленных студентов за предыдущие годы).

Центром уделяется значительное внимание удалению незаконно обрабатываемых персональных данных. Помимо очевидного нарушения прав субъектов персональных данных следует учитывать, что персональные данные являются ценным активом, привлекающим внимание злоумышленников. Так, например, накопление копий паспортов у оператора (особенно, в его информационных ресурсах (системах)) может повысить риск нарушения систем защиты персональных данных и компрометации всех обрабатываемых оператором персональных данных.

При незаконном распространении персональных данных на зарубежных интернет-ресурсах Центр обращается с запросом об их удалении к владельцам этих ресурсов, а также к уполномоченным органам по защите персональных данных соответствующих государств.

В 2023 году Центром удалено 2 722 106 незаконно обрабатываемых записей о субъектах персональных данных. Из этого количества 622 106 записей носят уникальный характер, из которых 599 961 запись удалена в рамках предупредительной работы.

Государственный информационный ресурс ”Реестр операторов персональных данных“.

Подпунктом 3.6 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“ на операторов с 1 января 2024 г. дополнительно возложена обязанность вносить в создаваемый Центром государственный информационный ресурс ”Реестр операторов персональных данных“ (далее – Реестр) сведения об информационных ресурсах (системах), содержащих персональные данные, а также обеспечивать актуализацию соответствующих сведений.

Виды информационных ресурсов (систем), сведения о которых подлежат внесению в Реестр, а также перечень включаемых в него сведений и срок их внесения определены приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 1 июня 2022 г. № 94 ”О государственном информационном ресурсе ”Реестр операторов персональных данных“.

Поскольку владельцем и оператором Реестра является Центр, в 2023 году велась работа по его созданию, проведению открытых тестирований, введению в эксплуатацию.

В преддверии начала его работы Центром подготовлены разъяснения по наиболее актуальным вопросам функционирования Реестра и внесению в него сведений об информационных ресурсах (системах), а также видеоруководство пользователя, содержащее пошаговую инструкцию по авторизации и внесению сведений в Реестр.

Материалы размещены на сайте Центра и его YouTube-канале.

Добровольный аудит.

Проведение аудитов соблюдения операторами требований законодательства о персональных данных имеет своей целью оказание содействия операторам в устранении нарушений и построении эффективной системы защиты персональных данных.

В 2023 году Центром на договорной основе проведено 4 добровольных аудита. При этом 2 аудита носили частичный характер (по решению операторов проведены в отношении конкретных бизнес-процессов).

В 2023 году в Центр поступило 1468 обращений граждан и юридических лиц по вопросам разъяснения законодательства о персональных данных. Это на 31 % больше по сравнению с 2022 годом.

По результатам их рассмотрения подготовлено 363 ответа на обращения граждан и 540 – на обращения (запросы) юридических лиц.

В рамках личного приема и работы горячей линии даны разъяснения 565 заявителям.

Основные вопросы, содержащиеся в обращениях граждан и юридических лиц, касались определения правовых оснований обработки персональных данных, получения согласия на обработку персональных данных, осуществления видеонаблюдения и аудиозаписи, соблюдения иных требований к обработке персональных данных, реализации мер по обеспечению защиты персональных данных и прав субъектов персональных данных, трансграничной передачи персональных данных, разграничения правового статуса оператора и уполномоченного лица.

Кроме того, в истекшем году рассмотрена 191 жалоба субъектов персональных данных по вопросам обработки персональных данных операторами, что почти вдвое больше, чем в 2022 году.

Это свидетельствует о росте правовой осведомленности и заинтересованности граждан по вопросам защиты своих прав как субъектов персональных данных.

Значительная часть жалоб (35 %) касалась сферы торговли и услуг (торговые сети, интернет-магазины, услуги по организации досуга, консалтинговые и аутсорсинговые услуги и т. п.). В 24 % случаях жалобы были связаны с обработкой личной информации в деятельности организаций жилищно-коммунального хозяйства и организаций собственников (садоводческие товарищества, товарищества собственников, жилищно-строительные кооперативы и т.п.).

Немало поступивших жалоб касалось обработки персональных данных в области почтовой связи и электросвязи, в социальной сфере (здравоохранение, образование), а также затрагивало деятельность банков, финансовых и страховых организаций (по 6 % соответственно). 5% жалоб поступило на действия нанимателей при обработке персональных данных своих работников. Такое же количество жалоб связано с деятельностью государственных органов и иных государственных организаций.

5 % жалоб касалось случаев обработки персональных данных в процессе личного, семейного, домашнего и иного подобного их использования.

Сравнительный анализ поступивших в Центр жалоб за 2022 и 2023 годы свидетельствует об их существенном снижении (в 2 раза) в тех сферах, по которым Центром подготовлены соответствующие рекомендации и разъяснения (в частности, в банковской, трудовой сферах, в сфере связи).

Вместе с тем фиксируется рост жалоб субъектов персональных данных в сфере деятельности организаций жилищно-коммунального хозяйства и организаций собственников, а также в сферах торговли и услуг.

Центром принимаются меры, направленные на создание условий для защиты персональных данных, осуществляется координация с этой целью деятельности государственных органов, иных организаций и граждан.

В 2023 году Центром продолжена реализация модели работы, направленной, прежде всего, на предупреждение нарушений прав субъектов персональных данных, формирование надлежащей правоприменительной практики, единообразного понимания положений Закона о защите персональных данных.

Методологические документы.

Центром подготовлен постатейный практикооринтированный комментарий к Закону о защите персональных данных.

Комментарий разработан с учетом подходов, выработанных Центром за время применения Закона о защите персональных данных, анализа практики его реализации, международного и зарубежного опыта регулирования вопросов защиты персональных данных.

В нем в доступной форме изложены детальный разбор конкретных ситуаций и примеров, рекомендации по организации работы с персональными данными, которые помогут операторам и уполномоченным лицам правильно применять на практике законодательство о персональных данных, а гражданам лучше понять Закон о защите персональных данных и свои права в части оборота личной, конфиденциальной информации.

Основной акцент в методологической деятельности Центра сделан на выработку совместно с заинтересованными государственными органами подходов по наиболее волнующим граждан вопросам.

1) О видеонаблюдении.

В частности, Центром во взаимодействии с заинтересованными государственными органами:

В разъяснениях о порядке осуществления видеонаблюдения в многоквартирных жилых домах Центром дана оценка следующим вопросам:

– правовые основания обработки персональных данных при осуществлении видеонаблюдения;

– круг лиц, которые имеют доступ к онлайн-трансляции (архивам) видеонаблюдения;

– срок хранения видеозаписей;

– обеспечение защиты персональных данных при оказании услуги видеонаблюдения.

Для выполнения предусмотренных Жилищным кодексом Республики Беларусь обязанностей (полномочий) по обеспечению сохранности общего имущества совместного домовладения путем установки по решению общего собрания участников совместного домовладения (если за него проголосовали более половины участников совместного домовладения, принявших участие в общем собрании) камер видеонаблюдения на имуществе, относящемся к общему имуществу совместного домовладения, обработка персональных данных может осуществляться без согласия субъектов персональных данных на основании абзаца двадцатого статьи 6 Закона о защите персональных данных.

Вопрос осуществления видеонаблюдения нанимателем нашел отражение в рекомендациях Центра об обработке персональных данных в связи с трудовой (служебной) деятельностью.

Видеонаблюдение на рабочих местах допускается лишь при наличии специфических обстоятельств, требующих организации постоянного контроля на рабочем месте. Такое видеонаблюдение может иметь место при наличии высокой степени рисков, связанных с опасными условиями труда (на строительных площадках, иных травмоопасных производствах и т.п.), работе с материальными ценностями (кассиры на торговых объектах, в банках и т.п.) или связанной с непрерывным обслуживанием клиентов.

В то же время видеонаблюдение за офисными работниками, работа которых не обременена подобными факторами (рабочие места считаются безопасными) или выборочно на рабочих местах отдельных (конкретных) работников, выполняющих аналогичные функции, признается несоответствующей требованиям статьи 4 Закона о защите персональных данных.
Видеонаблюдение в целях противодействия коррупции может иметь место в исключительных случаях в связи с наличием (в том числе статистически подтвержденных) высоких рисков совершения правонарушений коррупционного характера.

Центром выработаны также рекомендации относительно возможности использования нанимателями видеонаблюдения с видеораспознаванием лиц (уникальной идентификацией) в системах управления и контроля доступом в здание при организации пропускного режима и учета явки работников на работу и ухода с нее.

Использование таких систем видеонаблюдения как единственного механизма учета явки работников на работу и ухода с нее может осуществляться только в случаях, когда такой цели нельзя достичь иным способом (например, с использованием карточки) либо когда такое требование прямо предусмотрено в законодательных актах.

Подобная обработка биометрических персональных данных может быть оправдана, например, в связи с работой на особо опасных, режимных объектах, объектах военного и специального назначения, в банковской сфере в целях охраны помещений, в которых хранятся денежные средства и иные ценности либо установлены серверы, и т.п. В иных случаях такая модель не отвечает требованию соразмерности (пункт 2 статьи 4 Закона о защите персональных данных) и влечет риски для прав субъектов персональных данных.

Видеонаблюдение в организациях здравоохранения сопряжено с обработкой персональных данных, входящих в состав врачебной тайны, а также иной информации о частной жизни физических лиц, включая сведения, составляющие личную и семейную тайну, защита которой в силу ее деликатности и уязвимости гарантируется Конституцией Республики Беларусь и иными законодательными актами. В этой связи с Министерством здравоохранения достигнута договоренность о дальнейшем нормативном урегулировании этого вопроса в отраслевом законодательстве.

Видеонаблюдение в кабинетах врачей должно осуществляться с согласия пациентов.

2) О копиях документов, удостоверяющих личность.

Вопрос правомерности изготовления и последующего хранения операторами (уполномоченными лицами) копий документов, удостоверяющих личность, при обращении к ним по различным вопросам (заключение договоров, осуществление административных процедур, реализация иных прав граждан и т.п.) проработан Центром совместно с Министерством внутренних дел, Министерством юстиции и Министерством экономики.

С учетом объема персональных данных, содержащихся в документе, удостоверяющем личность, как правило, изготовление и хранение операторами (уполномоченными лицами) копии этого документа влекут избыточную обработку персональных данных по отношению к заявленным целям (например, фотоизображения, сведения о гражданстве, сроке действия документа, удостоверяющего личность, дате и месте рождения и т.п.), что нарушает требования статьи 4 Закона о защите персональных данных.

Кроме того, согласно законодательству незаконные действия с документом, удостоверяющим личность, рассматриваются как административное правонарушение.

В этой связи изготовление и приобщение к пакету документов копии документа, удостоверяющего личность, могут иметь место только в случае, если это прямо предусмотрено законодательством.

3) Об объеме сведений, необходимом для оформления доверенности.

Перечень сведений, которые должны содержаться в доверенностях, нормативно определен лишь в отдельных случаях (в частности, в отношении нотариально удостоверенных доверенностей и доверенностей, приравниваемых к нотариально удостоверенным).

В иных ситуациях для того, чтобы лицо, которому предъявляют доверенность, смогло безошибочно идентифицировать представителя, как правило, достаточно указывать в доверенности фамилию, собственное имя, отчество представителя, должность (в доверенности, выдаваемой работнику на представление интересов нанимателя при выполнении им трудовой функции) и, если требуется, – данные документа, удостоверяющего личность.

Указание в доверенности такого реквизита, как адрес места жительства лица, которому выдан этот документ, допускается только если это предусмотрено законодательством.

Особое внимание Центра в 2023 году было уделено оказанию методологической помощи по приведению деятельности организаций социально значимых сфер, включая сферы образования и здравоохранения, в соответствие с законодательством о персональных данных.

В частности, в сфере образования проанализированы во взаимодействии с заинтересованными:

процессы обработки персональных данных детей для целей выдачи ученических билетов, организации вступительной кампании, ведения электронных дневников, регистрации на репетиционное тестирование;

обоснованность, в том числе с учетом поступавших жалоб и обращений, получения от родителей согласий на обработку персональных данных их детей, а также соразмерность объема запрашиваемых учреждениями образования от родителей сведений и целей обработки персональных данных.

По результатам данной работы подготовлены разъяснения Национального центра защиты персональных данных:

Кроме того, Центром актуализирован и усовершенствован ”Портфель оператора“ – электронный архив методологических материалов и форм правовых документов, рекомендуемых для использования в работе операторов (уполномоченных лиц).

Комментарий к Закону о защите персональных данных, разъяснения Центра по обозначенным и иным вопросам, а также ”Портфель оператора“ размещены в свободном доступе на сайте Центра (https://cpd.by/pravovaya-osnova/portfel-operatora/).

Разъяснительные мероприятия Центра.

1) 26 января 2023 г. проведен первый Международный форум по вопросам защиты персональных данных, на котором выступили руководители уполномоченных органов по защите прав субъектов персональных данных Республики Армения, Республики Беларусь, Кыргызской Республики, Республики Сербия, Российской Федерации, государственных органов, иных организаций нашей страны, представители отечественного бизнеса, эксперты в сфере защиты персональных данных и информационной безопасности.

В рамках форума подведены итоги конкурса на лучшую работу в сфере защиты персональных данных, в котором приняли участие студенты, молодые ученые и практикующие юристы, а также организована церемония награждения журналистов и редакций средств массовой информации за сотрудничество и активную информационную поддержку темы защиты персональных данных.

2) С целью оказания методологической помощи представителям системы образования во взаимодействии с Министерством образования Центром на безвозмездной основе организован цикл обучающих семинаров ”Оборот персональных данных в сфере образования: порядок обработки и защиты“. В рамках данного мероприятия в онлайн и оффлайн форматах проведено 7 обучающих семинаров (для каждой области и города Минска).

3) Во взаимодействии с Министерством здравоохранения Центром проведен на безвозмездной основе цикл семинаров на тему ”Оборот персональных данных в здравоохранении: порядок обработки и защиты“. В рамках данного мероприятия семинары проведены во всех областях и в городе Минске.

4) Организован цикл региональных семинаров для прокурорских работников, в рамках которых освещены проблемные вопросы применения законодательства о персональных данных с акцентом на типичные нарушения в этой сфере. Такие семинары были организованы на базе Генеральной прокуратуры, а также прокуратур областей и города Минска.

5) На базе Центра впервые для специалистов по осуществлению внутреннего контроля за обработкой персональных данных организована рабочая встреча на тему ”Внутренний контроль за обработкой персональных данных: анализ практики и перспективы развития“.

Мероприятие прошло в формате открытого микрофона и позволило представителям различных организаций (банки, страховые компании, торговые сети, учреждения образования и т.д.) обменяться профессиональным опытом, обсудить проблемы, возникающие при реализации требований законодательства, найти возможные пути их решения.

В рамках мероприятия обсуждены вопросы ведения операторами реестра обработки персональных данных, оптимизации работы с согласиями на обработку персональных данных, включая организацию порядка их отзыва, обучения работников вопросам защиты персональных данных, взаимодействия специалистов по осуществлению внутреннего контроля за обработкой персональных данных со специалистами по информационной безопасности.

По итогам мероприятия лучшие практики осуществления внутреннего контроля за обработкой персональных данных в обобщенном формате размещены на сайте Центра, а также на сайте ООО ”ЮрСпектр“.

Участниками мероприятия отмечена актуальность и эффективность подобного формата взаимодействия с Центром и высказана заинтересованность в продолжении такого взаимодействия в дальнейшем.

Работа консультативного совета при Национальном Центре защиты персональных данных.

В 2023 году при консультативном совете при Национальном центре защиты персональных данных была создана рабочая группа по вопросам видеонаблюдения, в которую наряду с представителями Центра вошли представители Транспортной инспекции Министерства транспорта и коммуникаций, Министерства энергетики, Министерства здравоохранения, Национального банка, Министерства связи и информатизации, Министерства юстиции, Министерства образования и РУП ”Белтелеком“.

По результатам обзора международного и зарубежного опыта, национального законодательства, регулирующего порядок обработки персональных данных посредством осуществления видеонаблюдения, анализа правоприменительной практики рабочей группой принято решение о необходимости и целесообразности регулирования данного вопроса в отраслевом законодательстве.

Взаимодействие Центра с государственными органами и иными организациями. Участие в нормотворческой деятельности.

В вопросах защиты персональных данных важно объединение усилий всех заинтересованных сторон: граждан, бизнеса, а также государственных органов.

Деятельность государственных органов и подчиненным им, входящих в их состав (систему) организаций неразрывно связана со сбором или иной обработкой больших массивов персональных данных. Государственные органы являются владельцами информационных ресурсов и систем, содержащих значительное количество информации о гражданах, необходимой для их эффективной деятельности, принятия управленческих решений.

В 2023 году Центром было продолжено активное взаимодействие с государственными органами, в том числе по вопросу приведения отраслевого законодательства в соответствие с требованиями Закона о защите персональных данных.

В Концепции правовой политики Республики Беларусь, утвержденной Указом Президента Республики Беларусь от 28 июня 2023 г. № 196, в качестве одной из задач в сферах конституционного законодательства и законодательства о государственном управлении определена задача своевременной актуализации законодательства и совершенствования практики обработки персональных данных.

В частности, Центром организован ряд соответствующих мероприятий.

1) 19 апреля Центром проведен семинар на тему ”Реализация Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ в республиканских органах государственного управления и организациях, входящих в их состав (систему)“.

В мероприятии приняли участие более 50 представителей государственных органов, включая руководство Аппарата Совета Министров Республики Беларусь и республиканских органов государственного управления.

2) 12 мая Центром проведен круглый стол на тему ”Реализация Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ в нормотворческой деятельности“. Цель мероприятия – выработка единых подходов в направлении гармонизации отраслевого законодательства с требованиями Закона о защите персональных данных.

В мероприятии приняли участие руководители и специалисты структурных подразделений государственных органов и организаций, ответственных за проведение обязательных экспертиз проектов нормативных правовых актов государственных органов и организаций (Совет Республики Национального собрания Республики Беларусь, Аппарат Совета Министров Республики Беларусь, Министерство юстиции, Национальный центр законодательства и правовых исследований Республики Беларусь, Национальный центр правовой информации Республики Беларусь и др.).

По результатам проведенного мероприятия подготовлен документ, отражающий выработанные подходы по реализации Закона о защите персональных данных в нормотворческом процессе, который размещен на сайте Центра.

3) По результатам обобщения итогов проведенных Центром проверок подготовлена информация о типичных нарушениях законодательства о персональных данных, которая направлена в Генеральную прокуратуру Республики Беларусь в порядке взаимодействия в целях ее использования органами прокуратуры при осуществлении надзора за исполнением законодательства о персональных данных.

4) В сфере здравоохранения проработан, в том числе с рядом организаций здравоохранения государственного и частного сектора, вопрос о практике реализации положений Закона о защите персональных данных в части получения согласия на внесение и обработку персональных данных пациентов в электронной медицинской карте, информационных системах организаций здравоохранения.

По итогам данной работы соответствующие предложения по корректировке законодательства о здравоохранении направлены в Палату представителей Национального собрания Республики Беларусь.

В 2023 году Центром рассмотрено 112 проектов нормативных правовых актов и международных договоров.

В соответствии с абзацем седьмым пункта 2 статьи 18 Закона о защите персональных данных Центр принимает участие в подготовке проектов актов законодательства о персональных данных.

По сравнению с 2022 годом количество поступивших проектов нормативных правовых актов и международных договоров возросло почти в 1,5 раза.

По результатам рассмотрения проектов заинтересованным государственным органам направлены замечания и предложения по их корректировке с учетом положений Закона о защите персональных данных, в том числе принято участие в заседаниях рабочих групп и экспертных советов заинтересованных государственных органов по обсуждению соответствующих инициатив Центра.

Особое внимание при рассмотрении проектов нормативных правовых актов уделялось минимизации обрабатываемых персональных данных. Основные замечания и предложения Центра по результатам рассмотрения проектов касались исключения избыточной обработки персональных данных, уточнения целей обработки и объема обрабатываемых персональных данных, в том числе в информационных ресурсах (системах), полномочий государственных органов и иных организаций на предоставление или получение персональных данных.

Просветительская деятельность Центра.

Центром во взаимодействии со СМИ ведется активная работа по правовому просвещению населения в сфере защиты персональных данных и цифровой безопасности.

На регулярной основе проводятся просветительские мероприятия и тематические встречи (в онлайн и оффлайн формате), в том числе с молодежью, учащимися и студентами.

Так, за 2023 год в них приняли участие более 6 тыс. человек, более 1,5 тыс. из которых дети и молодежь.

Центром реализованы просветительские проекты ”Детям о персональных данных“, ”Безопасность в сети“, а также создан специальный тематический раздел на сайте Центра, развиваются и другие социальные сети и мессенджер Центра, где размещается полезная информация для детской и молодежной аудитории.

Центром создан видеоролик для школьников, в котором разъясняется, что такое персональные данные, даются советы и рекомендации экспертов по безопасности персональных данных. На различных площадках в Интернете его посмотрели более 5 тыс. человек.

Совместно с Белорусским республиканским союзом юристов, Министерством образования в 2023 году проводилась масштабная социальная акция ”Фестиваль в гостях у регионов“, на протяжении года в ней приняло участие более 500 учащихся школ, колледжей и лицеев.

В рамках данного проекта представители Центра проинформировали участников о важных правилах безопасности в глобальной компьютерной сети Интернет, защите персональных данных, кибербуллинге, способах урегулирования конфликтов, проводили тематические квизы о защите персональных данных.

В рамках разъяснительной работы, а также с целью привлечения внимания к деятельности Центра, оказываемым им образовательным услугам и их продвижению на базе Центра 5 сентября 2023 года проведен День открытых дверей.

В 2023 году Центром подготовлено и инициировано более 900 публикаций в СМИ и на интернет-ресурсах, в том числе интервью в теле- и радиоэфирах, печатных изданиях, электронных СМИ, анонсов и информационных сообщений на информационно-правовых порталах. Информационную поддержку на постоянной основе оказывают агентства ”БелТА“, ”Минск-новости“, порталы ”Pravo.by“ и ”Млын.by“, газета ”Звязда“, ”СБ: Беларусь сегодня“, ”Экономическая газета“, телеканалы ”ЯСНАе TV“, ”Беларусь 1“, ”ОНТ“, ”СТВ“. На площадках Национального пресс-центра и Дома прессы проведены тематические пресс-конференции.

Ключевые проблемные вопросы оборота персональных данных, информация о правонарушениях и инцидентах, связанных с утечками данных, информация о создаваемых государством условиям для их защиты, а также правилах цифровой гигиены озвучены в рамках телевизионных эфиров и сетевых проектах (программы ”Марков. Ничего личного“, ”Неделя“, ”Зона Х“, ”Страна говорит“).

На специализированных информационных ресурсах ”Экономическая газета“, Информационно-поисковой системе (ИПС) ”ЭТАЛОН-ONLINE“, портале ”ilex“ на постоянной основе размещаются разработанные Центром рекомендуемые формы, шаблоны документов, аналитические материалы, информация о проводимой разъяснительной работе, новостной контент и ответы на часто задаваемые вопросы.

Аудитория Telegram-канала ”Центр персональных данных“ за год выросла на 3,5 тыс. и к началу 2024 года составила 8,5 тыс. подписчиков.

В 2023 году Telegram-канал Центра стал победителем конкурса ”Интернет-премия ”ТИБО“ в номинации ”Аккаунты органов госуправления в социальных сетях и мессенджерах“. По результатам голосования жюри конкурса Telegram-канал ”Центр персональных данных“ набрал наибольшее количество баллов и получил специальный диплом жюри конкурса.

Развивался на протяжении года сайт Центра, ежедневно его посещает порядка 1,5 тыс. человек.

С целью привлечения внимания к проблемам обработки персональных данных и необходимости их надлежащей защиты, а также обеспечения реализации права граждан на получение полной, достоверной и своевременной информации, профилактики преступлений и правонарушений, связанных с оборотом персональных данных, формирования в обществе отношения к ним как к социальной ценности, на протяжении 2023 года в эфирах 10 телевизионных каналов, 12 каналов радио, на объектах Белорусской железной дороги, Минского метрополитена, государственных предприятий ”Минсктранс“ и ”Миноблавтротранс“ размещалась и ротировалась социальная реклама Центра.

Наружная реклама в виде билбордов размещалась на территории Беларуси на рекламных конструкциях в 60 городах, в том числе в Минске, областных центрах, а также в городах Полоцк, Новополоцк, Барановичи, Орша, Калинковичи, Борисов, Жлобин, Мозырь, Слуцк, Солигорск, Барановичи.

Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“ Центру предоставлено право реализовывать образовательную программу повышения квалификации руководящих работников и специалистов, в том числе по вопросам технической и (или) криптографической защиты информации, защиты персональных данных.

Образовательная деятельность Центра в 2023 году развивалась по следующим направлениям:

реализация образовательных программ повышения квалификации руководящих работников и специалистов;

проведение обучающих семинаров, вебинаров, в том числе корпоративных.

В связи с изменением законодательства в сфере образования Центр аккредитован Министерством образования по профилю образования ”Бизнес, управление и право“, направлению образования ”Право“; профилю образования ”Информационно-коммуникационные технологии“, направлению образования ”Информационные и коммуникационные технологии“; профилю образования ”Службы“, направлению образования ”Службы безопасности“.

Кроме этого, Центром внесены дополнения в лицензию на образовательную деятельность, позволяющие реализовывать образовательные программы дополнительного образования взрослых в дистанционной форме получения образования.
За 2023 год обучением, мероприятиями просветительского и разъяснительного характера, проводимыми Центром,
охвачено 9 842 человека.

Обучение в общей сумме прошли 3 842 человека, включая:

курсы повышения квалификации – 2 359 человек, в том числе по вопросам защиты персональных данных – 1 756 человек, информационной безопасности – 505 человек, технической защиты государственных секретов – 98 человек;

обучающие семинары и курсы целевого назначения – 1 483 человека, в том числе в корпоративном формате – 783 человека.

Кроме того, в процессе разъяснительной и просветительской деятельности Центра прошли обучение в рамках:

дистанционных информационно-консультационных услуг – 174 человека;

цикла семинаров ”Оборот персональных данных в сфере образования: порядок обработки и защиты“ – 3 132 человека;

цикла семинаров ”Защита персональных данных в сфере здравоохранения“ – 1 116 человек;

иных тематических мероприятиях просветительского характера, в том числе организованных для молодежи, – 1 578 человек.

Среди экспертов и специалистов в области защиты персональных данных, освоивших реализуемые Центром образовательные программы, является актуальным получение аналитической и трендовой информации от представителей государственного регулятора в формате информационно-консультационной услуги, предоставляемой с применением дистанционных технологий (вебинар), в процессе оказания которой разъясняются и обсуждаются наиболее актуальные вопросы методологии защиты персональных данных, результаты контрольной деятельности Центра, наиболее часто встречаемые нарушения и характерные недостатки при организации работы по защите персональных данных.

В целях удовлетворения запросов и потребностей специалистов в области информационной безопасности и защиты информации, а также с учетом развития системы защиты персональных данных в республике в данной сфере, Центром проводится плановая работа по расширению учебных программ. С марта успешно реализуется учебная программа ”Основы защиты информационных систем организаций здравоохранения“.

Также разработана учебная программа повышения квалификации для специалистов, обеспечивающих техническую защиту персональных данных, по теме ”Обезличивание и деобезличивание персональных данных“, обучение по которой проводится с сентября 2023 года.

Помимо изложенного, разработано 6 уникальных учебных программ обучающих курсов, раскрывающих особенности реализации требований законодательства по защите персональных данных в различных сферах деятельности.

В 2023 году Центром продолжена работа по развитию международного сотрудничества с уполномоченными органами по защите прав субъектов персональных данных других государств, в том числе в рамках Союзного государства и на площадке Евразийского экономического союза.

Предложения Центра по развитию взаимодействия уполномоченных органов по защите прав субъектов персональных данных, в том числе в части согласования проектов правовых актов Союзного государства, предусматривающих обработку персональных данных (создание информационных систем, информационных ресурсов, баз (банков) данных, реестров (регистров), обмен информацией и т.д.), нашли отражение в Итоговом документе X Форума регионов России и Беларуси, который проводился с 26 по 28 июня 2023 г. в Уфе при поддержке Совета Федерации Федерального Собрания Российской Федерации и Совета Республики Национального Собрания Республики Беларусь.

Вовлечение органов Союзного государства в обсуждение вопросов защиты персональных данных, в том числе организация мероприятий по данной тематике на площадке и (или) с участием органов Союзного государства, полагаем, будет способствовать повышению эффективности защиты прав субъектов персональных данных Союзного государства, включая усиление информационной функции права Союзного государства и повышение правосознания и правовой культуры в общерегиональном контексте.

В рамках работы над проектом международного договора об обороте данных в Евразийском экономическом союзе с учетом сложности и многоаспектности данного вопроса, в том числе в преломлении на различные сферы деятельности, Центром предложено также создать на площадке Евразийской экономической комиссии рабочую группу с участием представителей уполномоченных органов по защите прав субъектов персональных данных государств – участников Евразийского экономического союза для выработки согласованных подходов в регулировании вопроса оборота персональных данных.

Кроме того, в 2023 году Центром продолжена работа по заключению соглашений о сотрудничестве с уполномоченными органами по защите прав субъектов персональных данных других государств. Соответствующие предложения направлены Центром зарубежным партнерам.

В 2023 году продолжена деятельность Центра по укреплению организационно-технической базы. В обозначенный период предпринимались меры, направленные на обеспечение защиты информации и модернизацию локально-вычислительной сети, в том числе для этих целей приобреталось оборудование, технические средства, программные продукты.

В целях усиления роли и расширения участия Центра в совершенствовании национального законодательства, с учетом положений Закона о защите персональных данных в 2023 году в структуре Центра в рамках имеющейся штатной численности создан сектор по обеспечению нормотворческой деятельности.

Его работники имеют высшее юридическое образование, знания в области нормотворческой техники и опыт работы по подготовке проектов нормативных правовых актов, проведению их юридической экспертизы в государственных органах, уполномоченных на принятие нормативных правовых актов.

Структура Центра по состоянию на 31 декабря 2023 года:

В 2024 году внимание Центра будет сосредоточено на следующих приоритетных задачах:

1. Совершенствование механизмов защиты прав субъектов персональных данных.

Представляется целесообразным:

закрепление в национальном законодательстве требования локализации в республике отдельных наиболее чувствительных категорий персональных данных;

Одним из вариантов минимизации рисков, связанных с трансграничной передачей персональных данных, как для субъектов персональных данных, так и для национальной безопасности, в том числе экономического и информационного суверенитета Республики Беларусь, может быть установление требования по локализации отдельных категорий особо чувствительных категорий персональных данных на территории республики. По данному вопросу подготовлен и прорабатывается с заинтересованными соответствующий проект Указа Президента Республики Беларусь.

Реализация данного предложения, с одной стороны, будет способствовать исключению переноса обработки ”чувствительной“ личной информации на территорию иностранных государств и повышению на этой основе защиты прав граждан, а, с другой стороны, – развитию собственного рынка хостинг-услуг.

законодательное регулирование вопроса приостановления доступа к интернет-ресурсам, функционирование которых осуществляется с нарушением требований Закона о защите персональных данных (распространение персональных данных без надлежащего правового основания и т. д.);

наделение Центра полномочиями органа, ведущего административный процесс;

усиление административной ответственности за нарушение законодательства о персональных данных.

2. Развитие методологической базы для реализации Закона о защите персональных данных.

Будут продолжены:

проработка вопросов, связанных с использованием систем видеонаблюдения в отдельных отраслях (сферах) деятельности, и, при необходимости, закрепление выработанных подходов в отраслевом законодательстве;

оказание методологической помощи по приведению в соответствие с законодательством о персональных данных деятельности организаций в сферах образования и здравоохранения. Результатом такой работы должен стать пакет типовых решений по реализации обязательных мер по обеспечению защиты персональных данных в этих отраслях.

С учетом тенденции роста поступающих в Центр обращений будут подготовлены разъяснения об обработке персональных данных при осуществлении деятельности гаражных кооперативов, товариществ собственников, организаций застройщиков, садоводческих товариществ.

3. Приведение отраслевого законодательства в соответствие с требованиями Закона о защите персональных данных.

Наряду с рассмотрением проектов нормативных правовых актов Центр будет осуществлять мониторинг действующего законодательства, в том числе на предмет избыточной обработки персональных данных.

4. Обращенность на каждого слушателя учебного процесса в рамках реализации Центром задачи по организации обучения по вопросам защиты персональных данных, создание максимально благоприятных условий для овладения обучающимися знаниями, доступность обучения, в том числе, для лиц с ограниченными возможностями. Для этого ведется работа по внедрению дистанционной формы получения образования при повышении квалификации руководящих работников и специалистов.

5. Развитие взаимодействия с операторами, бизнес-союзами и общественными объединениями.

Формирование практики реализации Закона о защите персональных данных не может осуществляться в отрыве от практической деятельности организаций. В этой связи важным направлением представляется проведение работы с лицами, назначенными ответственными за осуществление внутреннего контроля за обработкой персональных данных у операторов, в целях обсуждения актуальных вопросов применения Закона о защите персональных данных и обмена практическим опытом.

Кроме того, учитывая отсутствие у Центра территориальных структур, значительный положительный эффект в формировании у операторов модели правильного обращения с персональными данными и снижении рисков их неправомерной обработки и утечки может дать взаимодействие с бизнес-союзами и отраслевыми ассоциациями.

Потенциал этих организаций также может быть полезным при совершенствовании отраслевого законодательства по вопросам защиты прав субъектов персональных данных. Это позволит учитывать интересы всех заинтересованных и вырабатывать максимально взвешенные подходы к правовому регулированию данных вопросов.

Директор                                                                              А.А.Гаев

 

Национальный центр защиты персональных данных Республики Беларусь