Мониторинг соблюдения организациями требований по обработке персональных данных осуществляется Национальным центром защиты персональных данных Республики Беларусь (далее – НЦЗПД) путём проведения ряда контрольных мероприятий.К каким последствиям организациям необходимо быть готовым в случае несоблюдения требований по обработке и защите персональных данных разъяснят юристы REVERA law group Алёна Поторская и Юлия Бурмистрова.Проведение проверокСогласно п. 6 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных» (далее – Указ № 422) одной из основных задач НЦЗПД является принятие мер по защите прав субъектов персональных данных при их обработке. Такую задачу НЦЗПД реализует путём проведения контрольных мероприятий в формах проверок:плановых,внеплановых,камеральных.За 2022 год Национальным центром защиты персональных данных Республики Беларусь всего было проведено 50 проверок.Плановые проверкиПлановые проверки проводятся согласно планам проверок соблюдения законодательства о персональных данных, которые публикуются на официальном сайте НЦЗПД не позднее 30 декабря года, предшествующего году проведения проверки.В 2022 году НЦЗПД были проведены плановые проверки в отношении 6 организаций. План проверок на 2023 год увеличился, в него уже включены 13 субъектов хозяйствования из разных сфер деятельности, в частности, в план включены ЗАО «Альфа-Банк», ООО «Проект Дилбай» (deal.by) и иные организации.Не позднее 10 рабочих дней до начала проведения проверки НЦЗПД письменно уведомляет организацию, попавшую в план проверок о проведении такой проверки.Внеплановые проверкиПо информации из отчёта о деятельности НЦЗПД за 2022 год было проведено 7 внеплановых проверок. Такие проверки зачастую проводятся в случаях если:в отношении действий организации была направлена жалоба субъекта персональных данных о нарушении его прав.в организации произошла «утечка» персональных данных ввиду нарушений систем защиты персональных данных.по результатам проведения камеральной проверки организацией не были выполнены требования НЦЗПД.Если такая жалобы была направлена анонимно, то указанная в ней информация не является основанием для назначения внеплановой проверки.Наиболее крупные «утечки» за 2022 год произошли в торговой сети «Соседи», ОАО «Белгазпромбанк», торговой сети «Остров чистоты и вкуса».В рамках как плановых, так и внеплановых проверок проверяющие могут требовать от организаций, в отношении которых проводится проверка представить:документы (их копии) и (или) сведения, связанные с обработкой персональных данных;доступ в помещения и иные объекты (на территории организаций), в которых осуществляется обработка персональных данных;доступ к программно-техническим средствам, с помощью которых осуществляется обработка, а также вправе изымать программно-технические средства на срок проведения проверки, если на месте невозможно их исследовать;доступ, в т.ч. удалённый, к использованию информационных ресурсов (систем).Например, если ваша организация использует программу 1С или иную, посредством которой вы обрабатываете персональные данные работников, контрагентов и т.д., то в рамках внеплановой и плановой проверок проверяющие могут потребовать доступ к ним для анализа правомерности обработки персональных данных в таких системах. Такой доступ также могут попросить предоставить и к персональным данным, которые хранятся на бумажных носителях, например, к личным делам работников.Камеральные проверкиКамеральные проверки – ещё одна форма контрольных мероприятий, проводимых НЦЗПД. Особенностью таких проверок является то, что они проводятся по месту нахождения НЦЗПД без выезда в проверяемую организацию. Также в отличии от плановых и внеплановых проверок, о проведении камеральной проверки НЦЗПД заранее не предупреждает проверяемую организацию.Камеральные проверки проводятся путём изучения, анализа и оценки:информации, размещенной в СМИ, интернете о деятельности организации;документов и иной информации, в том числе полученной от организации по запросу НЦЗПД.Например, если у организации есть сайт, посредством которого собираются персональные данные (регистрация на сайте, заполнение окошек «Обратная связь», «Подпишись на рассылку» и т.д.), то в рамках камеральной проверки НЦЗПД может проанализировать такой сайт на предмет соответствия требованиям, предъявляемым к обработке персональных данных.В большинстве случаев камеральные проверки проводятся по жалобам субъектов персональных данных, также проверки были инициированы НЦЗПД по результатам анализа и оценки информации, размещенной в интернете.НЦЗПД в 2022 году было проведено 37 камеральных проверок. По информации из отчёта о деятельности НЦЗПД по итогам всех камеральных проверок выявлены нарушения законодательства о персональных данных.Важно отметить, что в планах у НЦЗПД на 2023 год активная работа по мониторингу интернет-ресурсов, в том числе зарубежного сегмента, с целью удаления незаконно распространенных персональных данных.Нарушения, выявленные в ходе проведения проверокВ ходе проверок НЦЗПД тщательно анализируется исполнение организациями обязательных мер, предусмотренных ст. 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон), а также положениями Указа № 422.Ниже приведены наиболее частые нарушения, допускаемые организациями при обработке персональных данных.Нарушения, связанные с назначением структурного подразделения / лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (далее – ответственное лицо) и невыполнением ответственным лицом возложенных на него обязанностей.Примерами таких нарушений является:отсутствие в организации ответственного лица;фактическое неосуществление или невозможность осуществления возложенных обязанностей;некорректное определение ответственного лица – возложение обязанностей на работника, который организует обработку персональных данных (например, на директора, зам. директора, руководителя кадровой службы организации), либо назначение ответственных лиц в каждом структурном подразделении организации.Формальный подход к изданию документов, определяющих политику организации в отношении обработки персональных данных.Отсутствие всех необходимых документов в организации, определяющих политику в отношении обработки персональных данных; отсутствие в таких документах перечня третьих лиц (категорий таких лиц), которым организация передает персональные данные и т.д.Неоформление / некорректное оформление отношений между организациями и третьими лицами, которым организации передают персональные данные.Незаключение договоров / положений в ранее заключенные договоры между организациями и третьими лицами, которым передаются персональные данные; изложение таких договоров / положений в договоры без учета требований, предусмотренных Законом;Несоблюдение требований, предъявляемых к порядку получения согласия на обработку персональных данных.Распространёнными нарушениями, связанными с получением согласия на обработку персональных данных, являются обработка данных без получения согласия, когда такое согласное требуется; несоблюдение свободного характера получения согласия (заранее проставленные «галочки» в чек-боксах на получение маркетинговой рассылки, иное).Неосуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь.Какие меры предпринимаются в отношении организаций после проведения проверок?Вынесение письменных требований (предписаний).В случае выявления нарушений по итогам проведения плановых и внеплановых проверок выносятся письменные требования (предписания):об устранении нарушений и (или)о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе).По итогам камеральной проверки в случае наличия нарушений, организации могут быть направлены рекомендации по их устранению.Наименее приятный итог проверок для бизнеса – получение предписания о приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе). На основании такого предписания организация, имеющая сайт не сможет обрабатывать (собирать, хранить и т.д.) персональные данные, полученные с его помощью. Фактически вся деятельности организации, оказывающей услуги через сайт приостанавливается на срок до устранения нарушений, не превышающий 6 месяцев (оформление заказов через сайт, бронирование / покупка билетов и т.д.).Указанная мера НЦЗПД впервые была применена в отношении ООО «Инмедбай» по факту утечки персональных данных 14,5 тыс. пользователей интернет-ресурса inmed.by, который предоставлял услуги онлайн-записи в медицинские центры. Обработка персональных данных в информационном ресурсе inmed.by была приостановлена на 6 месяцев.Привлечение к ответственностиЗа нарушение законодательства о персональных данных предусмотрены следующие виды ответственности:дисциплинарная (п. 10 ч. 1 ст. 47 Трудового кодекса от 26 июля 1999 г. № 296-З);административная (ст. 23.7 Кодекса об административных правонарушениях от 6 января 2021 г. № 91-З);уголовная (ст.ст. 2031, 2032 Уголовного кодекса 9 июля 1999 г. № 275-З);гражданско-правовая ответственность (п. 2 ст. 19 Закона предусматривает возмещение морального вреда, имущественного вреда и понесенных субъектом персональных данных убытков).За 2022 год по итогам проведения плановых, внеплановых и камеральных проверок направлены материалы о привлечении к административной ответственности в отношении 10 организаций. Максимальный размер штрафа в случае незаконного распространения персональных данных по ст. 23.7 КоАП составляет 200 базовых величин.Важно! Основными критериями при направлении НЦЗПД материалов о привлечении к административной ответственности в органы внутренних дела, следующие:нарушения затрагивают не только заявителя, но и иных лиц, в том числе социально уязвимые категории субъектов персональных данных (несовершеннолетние, пенсионеры), участников программы лояльности и т.п.;установлены нарушения при трансграничной передаче персональных данных на территорию иностранных государств, которые не обеспечивают надлежащий уровень защиты прав субъектов персональных данных;не исполнены рекомендации НЦЗПД об устранении выявленных им по итогам камеральной проверки нарушений законодательства о персональных данных.В настоящее время правом на составление протоколов о совершении административных правонарушений, наделены должностные лица органов внутренних дел, но в перспективе ожидается расширение полномочий НЦЗПД и наделение правом на составление протоколов о совершении административных правонарушений.Таким образом, важно мониторить бизнес-процессы в организации, касающиеся обработки персональных данных, соблюдать обязательные требования законодательства по обработке и защите персональных данных для избежания негативных последствий для своего бизнеса.Для приведение работы организаций в соответствие с законодательством по защите персональных данных вам может помочь чек-лист, подготовленный юристами REVERA law group.