Реестр операторов персональных данных в Беларуси
- Как определить, нужно ли вашей организации вносить сведения в Реестр операторов?
- Какую информацию необходимо вносить в Реестр операторов?
- Как подать сведения в Реестр операторов?
- В какие сроки нужно подать сведения?
С 1 января 2024 года у операторов в связи с обработкой ими персональных данных появилась обязанность вносить в государственный информационный ресурс «Реестр операторов персональных данных» (далее – Реестр операторов) (доступен по ссылке) сведения об информационных ресурсах (системах), содержащих персональные данные, а также обеспечивать актуализацию соответствующих сведений. Обязанность по внесению сведений в Реестр операторов предусмотрена подп. 3.5 п. 3 Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» (далее – Указа № 422).
В материале юристы REVERA law group помогут разобраться: нужно ли вашей организации направлять сведения в Реестр операторов.
Как определить, нужно ли вашей организации вносить сведения в Реестр операторов?
Порядок функционирования Реестра операторов определён приказом оперативно-аналитического центра при Президенте Республики Беларусь от 01.06.2022 № 94 «О государственном информационном ресурсе «Реестр операторов персональных данных» (далее – Приказ № 94), также Национальным центром защиты персональных данных Республики Беларусь (далее – НЦЗПД) подготовлены разъяснения относительно Реестра операторов, которые доступны по ссылке и пошаговая видеоинструкция для пользователей Реестра операторов.
Для ответа на вопрос о необходимости внесения сведений в Реестр операторов организации в первую очередь следует проанализировать порядок обработки персональных данных в информационных ресурсах (системах), содержащих персональные данные, собственником (владельцем) которых она является.
Справочно. Информационная система – это совокупность банков данных, информационных технологий и комплекса (комплексов) программно-технических средств; информационный ресурс – организованная совокупность документированной информации, включающая базы данных, другие совокупности взаимосвязанной информации в информационных системах (ст. 1 Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»).
Так, если организация по итогам анализа процессов обработки персональных данных выявила, что посредством имеющихся информационных ресурсов (систем) осуществляется:
- трансграничная передача специальных персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, предусмотренных абз. 5-7 п. 1 ст. 9 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;
- обработка биометрических и (или) генетических персональных данных;
- обработка персональных данных более 100 тыс. физических лиц;
- обработка персональных данных более 10 тыс. физических лиц, не достигших возраста 16 лет,
то организация обязана внести сведения о таких информационных ресурсах (системах) в Реестр операторов.
Пример. Организация осуществляет информационную рассылку физическим лицам. Для реализации данной цели собирает персональные данные более 100 тыс. физических лиц и хранит их в информационном ресурсе. В данном случае есть наличие критерия, указанного в абз. 4 подп. 1.1 п. 1 Приказа № 94. Поэтому, сведения о таком информационном ресурсе подлежат внесению в Реестр операторов.
Согласно разъяснениям НЦЗПД для принятия решения о внесении сведений в Реестр операторов необходимо оценивать количество физических лиц, персональные данные которых обрабатываются посредством информационного ресурса (системы), на момент внесения сведений в Реестр операторов.
Какую информацию необходимо вносить в Реестр операторов?
Если по итогам анализа обрабатываемых персональных данных в информационных ресурсах (системах) вы определили, что сведения о них вам необходимо внести в Реестр операторов, то в Реестр операторов необходимо направить информацию о (об):
- информационном ресурсе (системе) (наименование, местонахождение систем хранения данных и серверного оборудования, на которых размещается информационный ресурс (система));
- дате внесения сведений в Реестр операторов их изменения;
- операторе (полное наименование, место нахождения и регистрационный номер);
- уполномоченном лице (если таковое имеется), которое осуществляет обработку персональных данных в информационном ресурсе (системе) от имени оператора или в его интересах, в том числе по поручению которого вносятся сведения в Реестр операторов.
В Реестр операторов необходимо вносить сведения только о тех уполномоченных лицах, которые осуществляют обработку персональных данных от имени оператора или в его интересах в информационном ресурсе (системе), подлежащем включению в Реестр операторов;
- руководителе структурного подразделения или лице, ответственном за осуществление внутреннего контроля за обработкой персональных данных, назначенного оператором и (или) уполномоченным лицом (ФИО, контактный номер телефона, адрес электронной почты);
- основаниях, предусмотренных для включения информационного ресурса (системы) в Реестр операторов согласно подп. 1.1 п. 1 Приказа № 94;
- количестве субъектов персональных данных, персональные данные которых обрабатываются в информационном ресурсе (системе) на момент внесения информации в Реестр операторов (указывается ориентировочное количество субъектов персональных данных путём проставления галочки);
- заявленных целях и правовых основаниях обработки персональных данных;
- сроках хранения персональных данных;
- перечне иностранных государств, на территорию которых осуществляется трансграничная передача специальных персональных данных, если на их территории не обеспечивается надлежащий уровень защиты прав субъектов персональных данных.
Указанные сведения могут вноситься в Реестр операторов от имени или в интересах оператора его уполномоченным лицом.
Как подать сведения в Реестр операторов?
Сведения в Реестр операторов можно направить следующими способами:
- в электронном виде.
Для этого необходимо будет пройти процедуру регистрации личного кабинета пользователя и аутентификации оператора (уполномоченного лица).
Аутентификация пользователей будет осуществляться через Государственную систему управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь (ГосСУОК), Единую систему идентификации физических и юридических лиц (ЕС ИФЮЛ) с использованием электронной цифровой подписи.
- в письменном виде;
- посредством системы межведомственного документооборота.
Если у организации отсутствует техническая возможность доступа к Реестру операторов, сведения можно направить в виде письма-заявки посредством системы межведомственного документооборота или почтовой связи.
Образец письма-заявки для подачи сведений в Реестр операторов размещён на сайте НЦЗПД.
В какие сроки нужно подать сведения?
Установлены конкретные сроки подачи сведений в Реестр операторов. Так, оператор или уполномоченное лицо должны внести сведения в Реестр операторов:
- не позднее 15 января 2024 г.,
- в отношении информационного ресурса (системы), созданного (созданной) после 1 января 2024 г., – в течение 10 рабочих дней после ввода его (её) в постоянную эксплуатацию.
Обращаем внимание, что важно не только внести сведения об информационных ресурсах (системах), но и не забывать актуализировать их. То есть если организация приняла решение обрабатывать персональные данные в ином информационном ресурсе (системе), подпадающим под критерии согласно подп. 1.1 п. 1 Приказа № 94, или же изменился перечень уполномоченных лиц, осуществляющих обработку персональных данных в информационном ресурсе (системе), то в течение 10 рабочих дней после соответствующих изменений, организация обязана внести актуальные сведения в Реестр операторов.
Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения.
Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/PR_revera