Реестр операторов персональных данных в Беларуси


С 1 января 2024 года у операторов в связи с обработкой ими персональных данных появилась обязанность вносить в государственный информационный ресурс «Реестр операторов персональных данных» (далее – Реестр операторов) (доступен по ссылке) сведения об информационных ресурсах (системах), содержащих персональные данные, а также обеспечивать актуализацию соответствующих сведений. Обязанность по внесению сведений в Реестр операторов предусмотрена подп. 3.5 п. 3 Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» (далее – Указа № 422). 

В материале юристы REVERA law group помогут разобраться: нужно ли вашей организации направлять сведения в Реестр операторов.

Как определить, нужно ли вашей организации вносить сведения в Реестр операторов? 

Порядок функционирования Реестра операторов определён приказом оперативно-аналитического центра при Президенте Республики Беларусь от 01.06.2022 № 94 «О государственном информационном ресурсе «Реестр операторов персональных данных» (далее – Приказ № 94), также Национальным центром защиты персональных данных Республики Беларусь (далее – НЦЗПД) подготовлены разъяснения относительно Реестра операторов, которые доступны по ссылке и пошаговая видеоинструкция для пользователей Реестра операторов.

Для ответа на вопрос о необходимости внесения сведений в Реестр операторов организации в первую очередь следует проанализировать порядок обработки персональных данных в информационных ресурсах (системах), содержащих персональные данные, собственником (владельцем) которых она является.

Справочно. Информационная система – это совокупность банков данных, информационных технологий и комплекса (комплексов) программно-технических средств; информационный ресурс – организованная совокупность документированной информации, включающая базы данных, другие совокупности взаимосвязанной информации в информационных системах  (ст. 1 Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»).

Так, если организация по итогам анализа процессов обработки персональных данных выявила, что посредством имеющихся информационных ресурсов (систем) осуществляется:

  • трансграничная передача специальных персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, предусмотренных абз. 5-7 п. 1 ст. 9 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;
  • обработка биометрических и (или) генетических персональных данных;
  • обработка персональных данных более 100 тыс. физических лиц;
  • обработка персональных данных более 10 тыс. физических лиц, не достигших возраста 16 лет,

то организация обязана внести сведения о таких информационных ресурсах (системах) в Реестр операторов.

Пример. Организация осуществляет информационную рассылку физическим лицам. Для реализации данной цели собирает персональные данные более 100 тыс. физических лиц и хранит их в информационном ресурсе. В данном случае есть наличие критерия, указанного в абз. 4 подп. 1.1 п. 1 Приказа № 94. Поэтому, сведения о таком информационном ресурсе подлежат внесению в Реестр операторов.

Согласно разъяснениям НЦЗПД для принятия решения о внесении сведений в Реестр операторов необходимо оценивать количество физических лиц, персональные данные которых обрабатываются посредством информационного ресурса (системы), на момент внесения сведений в Реестр операторов.

Какую информацию необходимо вносить в Реестр операторов?

Если по итогам анализа обрабатываемых персональных данных в информационных ресурсах (системах) вы определили, что сведения о них вам необходимо внести в Реестр операторов, то в Реестр операторов необходимо направить информацию о (об): 

  • информационном ресурсе (системе) (наименование, местонахождение систем хранения данных и серверного оборудования, на которых размещается информационный ресурс (система));
  • дате внесения сведений в Реестр операторов их изменения;
  • операторе (полное наименование, место нахождения и регистрационный номер);
  • уполномоченном лице (если таковое имеется), которое осуществляет обработку персональных данных в информационном ресурсе (системе) от имени оператора или в его интересах, в том числе по поручению которого вносятся сведения в Реестр операторов.

В Реестр операторов необходимо вносить сведения только о тех уполномоченных лицах, которые осуществляют обработку персональных данных от имени оператора или в его интересах в информационном ресурсе (системе), подлежащем включению в Реестр операторов;

  • руководителе структурного подразделения или лице, ответственном за осуществление внутреннего контроля за обработкой персональных данных, назначенного оператором и (или) уполномоченным лицом (ФИО, контактный номер телефона, адрес электронной почты);
  • основаниях, предусмотренных для включения информационного ресурса (системы) в Реестр операторов согласно подп. 1.1 п. 1 Приказа № 94;
  • количестве субъектов персональных данных, персональные данные которых обрабатываются в информационном ресурсе (системе) на момент внесения информации в Реестр операторов (указывается ориентировочное количество субъектов персональных данных путём проставления галочки);
  • заявленных целях и правовых основаниях обработки персональных данных;
  • сроках хранения персональных данных;
  • перечне иностранных государств, на территорию которых осуществляется трансграничная передача специальных персональных данных, если на их территории не обеспечивается надлежащий уровень защиты прав субъектов персональных данных.

Указанные сведения могут вноситься в Реестр операторов от имени или в интересах оператора его уполномоченным лицом.

Как подать сведения в Реестр операторов?

Сведения в Реестр операторов можно направить следующими способами: 

  • в электронном виде. 

Для этого необходимо будет пройти процедуру регистрации личного кабинета пользователя и аутентификации оператора (уполномоченного лица).
Аутентификация пользователей будет осуществляться через Государственную систему управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь (ГосСУОК), Единую систему идентификации физических и юридических лиц (ЕС ИФЮЛ) с использованием электронной цифровой подписи.

  • в письменном виде;
  • посредством системы межведомственного документооборота.

Если у организации отсутствует техническая возможность доступа к Реестру операторов, сведения можно направить в виде письма-заявки посредством системы межведомственного документооборота или почтовой связи.

Образец письма-заявки для подачи сведений в Реестр операторов размещён на сайте НЦЗПД.

В какие сроки нужно подать сведения?

Установлены конкретные сроки подачи сведений в Реестр операторов. Так, оператор или уполномоченное лицо должны внести сведения в Реестр операторов:

  • не позднее 15 января 2024 г.,
  • в отношении информационного ресурса (системы), созданного (созданной) после 1 января 2024 г., – в течение 10 рабочих дней после ввода его (её) в постоянную эксплуатацию.

Обращаем внимание, что важно не только внести сведения об информационных ресурсах (системах), но и не забывать актуализировать их. То есть если организация приняла решение обрабатывать персональные данные в ином информационном ресурсе (системе), подпадающим под критерии согласно подп. 1.1 п. 1 Приказа № 94, или же изменился перечень уполномоченных лиц, осуществляющих обработку персональных данных в информационном ресурсе (системе), то в течение 10 рабочих дней после соответствующих изменений, организация обязана внести актуальные сведения в Реестр операторов. 


Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения. 

Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/PR_revera