Реестр операторов персональных данных в Республике Беларусь

В эпоху цифровизации и развития информационных технологий, персональные данные не зря называют «новой нефтью», ведь вопрос их защиты с каждым днем становится все более актуальным.

Обработка личной информации требует строгого соблюдения норм законодательства и стандартов безопасности, за что отвечает Закон о защите персональных данных.

Реестр операторов персональных данных в РБ начал действовать с начала этого года. Это новый инструмент надзора за обеспечением прозрачности обработки личных данных субъектов ПД. За ведение реестра операторов персональных данных отвечает Национальный центр (НЦЗПД). Реестр включает сведения об информационных ресурсах и системах (ИР(ИС)), в которых осуществляется обработка персональных данных в РБ.

Любой желающий может проверить кто входит в Реестр на сайте НЦЗПД, а государственные органы и иные организации могут запросить информацию из Реестра о конкретных ИР(ИС) путем направления запроса в центр. Ответ предоставляется в виде выписки в срок до 10-и рабочих дней.

Информацию об ИР(ИС) вносят оператор персональных данных либо по его поручению, от его имени и в его интересах – уполномоченное лицо.

Какие информационные ресурсы (системы) подлежат включению в Реестр

Для того, чтобы ответить на этот вопрос оператору нужно оценить:

• Является ли он собственником или владельцем ИР(ИС);
• Обрабатываются ли в ИР (ИС) личные данные;
• Соответствует ли ИР (ИС) критериям, установленным в Приказе ОАЦ №94 (Приказ).

Если на все названные условия ответ положительный, значит ИР(ИС) определенно должны быть включены в Реестр.

Остановимся и подробнее рассмотрим критерии Приказа.

1. Осуществление трансграничной передачи специальных ПД с помощью ИР (ИС), при отсутствии должного уровня обеспечения безопасности ПД субъектов в другой стране.

Например, фармацевтическая компания проводит клинические испытания препарата. При этом медицинские данные участников испытаний хранятся в облачной информационной системе, расположенной на сервере Индии.

Здесь имеет место передача таких специальных данных как сведения о состоянии здоровья лица, а информация при этом хранится в стране, где не обеспечивается надлежащая степень защиты в сфере ПД.

2. Использование ИР (ИС) для обработки биометрических/генетических данных.

Например, организация использует систему распознавания лиц для доступа в офис. После приема на работу, новые сотрудники проходят процедуру регистрации в биометрической системе. В процессе регистрации с помощью камеры фиксируются изображения лица каждого сотрудника. Таким образом, организация обрабатывает уникальные биометрические параметры лица и хранит в базе данных компании.

3. Обработка ПД более 100 тыс. физлиц.

При этом общая численность физ. лиц определяется на момент внесения ИР (ИС) в Реестр.

Например, финансово-кредитное учреждение предоставляет банковские услуги своим клиентам и ведет учет их данных в ИС. Количество клиентов данного учреждения составляет от ста тысяч физических лиц.

4. Обработка ПД более 10 тыс. физлиц, не достигших возраста 16 лет.

Например, сеть онлайн-платформ предоставляет образовательные курсы для школьников. Ученики курсов, регистрируются на платформе, заполняя форму со своими данными, такими как ФИО, дата рождения, контактная информация. Общее количество учеников, не достигших 16-и лет составляет от десяти тысяч, а их данные хранятся в ИС данной платформы.

Сроки

Срок для включения в Реестр – в течение 10-и рабочих дней после начала использования ИР (ИС).

Но кроме того, важно еще и контролировать необходимость редактирования информации. Например, если в компании появился новый ресурс, который отвечает необходимым признакам, следует обновить информацию в течение 10-и рабочих дней.

Включение в реестр операторов персональных данных

Подача сведений в Реестр предполагает соблюдение определенной последовательности. Для начала следует пройти регистрацию через Единую систему идентификации физических и юридических лиц (ЕС ИФЮЛ) с использованием ЭЦП. После успешной регистрации система открывает вход в личный кабинет, где можно найти карточку-заявку, которую следует заполнить.

В заявке необходимо указать:

• Кем является организация по отношению к ИР(ИС) о которых вносятся сведения. Если информация предоставляется уполномоченным лицом, следует также указать данные оператора;
• Организацию, которая фактически осуществляет хранение ПД;
• Фактический адрес нахождения систем хранения и серверов;
• Название ИР (ИС) и иные характеристики;
• Сроки хранения ПД, выраженные в количестве месяцев;
• Информация о лицах, уполномоченных осуществлять внутренний контроль за обработкой ПД;
• Выбрать один или несколько критериев, которым соответствует ИР(ИС) согласно Приказу №94;
• Перечислить цели обработки ПД и их основания.

Статус рассмотрения заявки будет доступен в личном кабинете.
В процессе ее рассмотрения, Центр либо отклоняет, либо одобряет заявку. После ее одобрения информация об ИР (ИС) включается в Реестр в течение 3-ех рабочих дней.

При возникновении технических трудностей, Центром предусмотрена возможность включения информации с использованием межведомственного документооборота или почтовой связи, с целью придерживания отведенных сроков. При таких обстоятельствах заявка отправляется еще и на e-mail НЦЗПД.

Ответственность

Важно вовремя внести данные об ИР(ИС) в Реестр, поскольку непредоставление информации может повлечь за собой административное наказание в виде штрафа до 20 базовых величин, согласно ст. 24.11 КоАП.

В конце хотелось бы отметить, что защита персональных данных в Республике Беларусь это сложный и ответственный процесс, который лучше доверить опытным юристам.

Юристы юридической компании «ЮС ИнвестЪ» имеют большой опыт в сфере защиты персональных данных и готовы проконсультировать Вас по всем возникшим вопросам в этой области, а также оказать помощь в разработке необходимых документов.