Рубрика: Новости

Республиканская благотворительная акция для пожилых людей «От всей души» прошла в масштабном формате по всей стране и завершилась 15 января 2024 года.

К марафону заботы и внимания по отношению к старшему поколению присоединился и коллектив Национального центра защиты персональных данных. Для психоневрологического дома-интерната № 2, где постоянно проживают более 500 престарелых и инвалидов, работниками Центра были приобретены и переданы подарки (бытовая техника и средства гигиены).

По информации Министерства труда и социальной защиты за время акции «От всей души» около полумиллиона рублей направлено на укрепление материально‑технической базы учреждений соцобслуживания, больниц сестринского ухода и хосписов, приобретение медоборудования, спортинвентаря, бытовой и компьютерной техники, а также на подарки одиноким.

Поддержка различных благотворительных проектов и инициатив для сотрудников Центра стало доброй традицией.

С 1 января в Беларуси начал функционировать Реестр операторов персональных данных. Операторам или уполномоченным лицам необходимо внести сведения в реестр не позднее 15 января 2024 года. Войдут ли в этот реестр школьные информационные ресурсы, должны ли вносить в него сведения владельцы мессенджеров и в каких случаях сведения о системах видеонаблюдения должны войти в реестр, рассказал в интервью корреспонденту БЕЛТА заместитель директора Национального центра защиты персональных данных Максим Коршекевич.

— Кто должен вносить сведения в Реестр операторов персональных данных? На кого распространяется это требование (организации, индивидуальные предприниматели, иные граждане)? В какие сроки необходимо внести сведения, если создан новый информационный ресурс (новая система)?

— Прежде чем перейти непосредственно к Реестру операторов персональных данных, считаю необходимым вернуться на два года назад. С 15 ноября 2021 года вступил в силу Закон №99-З от 7 мая 2021 года «О защите персональных данных», которым на операторов персональных данных был возложен комплекс обязанностей, в том числе по соблюдению обязательных мер по обеспечению защиты персональных данных.

Одновременно были введены в действие основные положения указа №422 от 28 октября 2021 года «О мерах по совершенствованию защиты персональных данных». Указ также содержал ряд обязанностей операторов персональных данных. Например, подпунктом 3.5 пункта 3 была установлена обязанность операторов, являющихся организациями, вести и поддерживать в актуальном состоянии перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются.

С начала этого года вступила в силу еще одна норма указа №422 (подпункт 3.6 пункта 3), которой на операторов дополнительно возложена обязанность вносить в формируемый Национальным центром защиты персональных данных Реестр операторов персональных данных сведения об информационных ресурсах (системах), в которых обрабатываются персональные данные. Более того, под это требование подпадают и операторы, не являющиеся организациями, например, индивидуальные предприниматели, иные граждане.

С другой стороны, если мы говорим о реестре, то в него включаются сведения не обо всех ресурсах и системах, а лишь тех, которые соответствуют критериям, определенным в развитие норм указа №422 в приказе Оперативно-аналитического центра при Президенте Беларуси №94 от 1 июня 2022 года «О государственном информационном ресурсе «Реестр операторов персональных данных».

С учетом взаимосвязанных положений подпунктов 3.5 и 3.6 пункта 3 указа №422 сведения о таких информационных ресурсах (системах) должны вноситься в реестр операторами, являющимися их собственниками (владельцами). Отмечу, что критерии для определения статуса лица в качестве собственника
(владельца) информационного ресурса (системы) закреплены в Законе №455-З от 10 ноября 2008 года «Об информации, информатизации и защите информации».

Кстати, сведения об информационных ресурсах (системах) могут вноситься в реестр не только самим оператором, но и по его поручению уполномоченным лицом, то есть лицом, которое от имени или в интересах оператора обрабатывает персональные данные в соответствующем ресурсе (системе).

Сроки внесения сведений в Реестр также определены в приказе №94. Так, оператор или уполномоченное лицо должны внести сведения в реестр не позднее 15 января текущего года, а в отношении информационного ресурса (системы), созданного (созданной) после 1 января 2024 года, — в течение десяти рабочих дней после ввода его (ее) в постоянную эксплуатацию.

— По вашим оценкам, какое количество информационных ресурсов (систем) войдет в реестр?

— По предварительным оценкам, в реестр может быть включено несколько тысяч информационных ресурсов (систем), содержащих персональные данные. Хочу также отметить, что наличие в реестре сведений о соответствующих информационных ресурсах (системах), в которых обрабатываются персональные данные, позволит улучшить информационное обеспечение деятельности нашего центра и повысить на этой основе эффективность защиты прав и законных интересов субъектов персональных данных.

— Каким критериям должен соответствовать информационный ресурс (система) для внесения сведений о нем в реестр?

— В приказе №94 определено четыре таких критерия. Во-первых, в реестр включается информация об информационных ресурсах (системах), посредством которых осуществляется трансграничная передача специальных персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных. Исключение составляют случаи трансграничной передачи персональных данных, предусмотренные абзацами пятым — седьмым п.1 ст.9 Закона «О защите персональных данных». Например, не нужно вносить в реестр сведения о ресурсе (системе) в случае, если обработка данных осуществляется в рамках исполнения международных договоров Беларуси.

Во-вторых, это ресурсы (системы), посредством которых осуществляется обработка биометрических и (или) генетических персональных данных. В этом случае нужно руководствоваться определениями терминов «биометрические персональные данные» и «генетические персональные данные», которые даны в статье 1 Закона «О защите персональных данных».

Следующие два критерия носят количественный характер и предусматривают обработку в ресурсе (системе) персональных данных более 100 тыс. физических лиц, а также обработку персональных данных более 10 тыс. физических лиц, не достигших 16 лет. К слову, для оценки соответствия информационного ресурса (системы) этим критериям учитывается количество физических лиц, персональные данные которых обрабатываются посредством ресурса (системы), на момент внесения сведений в реестр.

Таким образом, если посредством информационного ресурса (системы) осуществляется обработка персональных данных и такая обработка соответствует одному и (или) нескольким из названных критериев, сведения о таком ресурсе (системе) нужно внести в реестр.

— Говоря о критериях, вы называли специальные персональные данные. Поясните, что это такое.

— К ним относятся персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также уже упомянутые биометрические и генетические персональные данные.

Выделение в отдельную группу таких персональных данных обусловлено тем, что их обработка связана с потенциально более высоким риском нарушения прав субъектов персональных данных. Так, их раскрытие может привести к дискриминации, травле лица, преследованию за убеждения, разрыву дружеских или семейных связей и т.п. В этой связи законом установлен особый правовой режим обработки специальных персональных данных.

По этим же соображениям приказом №94 установлена обязанность операторов вносить в реестр информацию об информационных ресурсах (системах), посредством которых осуществляется трансграничная передача специальных персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных.

— В продолжение этого вопроса. Правильно ли я понимаю, что если массив персональных данных хранится, допустим, в американской системе хранения данных, то оператор должен внести информационный ресурс (систему) в реестр, а если в российской — нет?

— Начну с того, что сегодня практика хранения или иной обработки персональных данных на серверах сторонних организаций достаточно распространена. Широко востребованы так называемые облачные хранилища, иные системы хранения данных. Подобный рынок у нас в стране активно развивается. Создана необходимая инфраструктура для безопасного хранения и иной обработки любой информации, в том числе персональных данных.

Что же касается передачи персональных данных для обработки за пределы страны, например, для хранения в иностранных облачных хранилищах, то следует иметь в виду, что серверы таких хранилищ расположены на территории иностранных государств, поэтому в таком случае мы имеем дело с трансграничной передачей персональных данных. Примерами трансграничной передачи являются также передача белорусской организацией, входящей в группу компаний, персональных данных заграничной материнской компании, передача собранных данных о клиентах на хранение, например, на Google Диск, Яндекс Диск.

Любая трансграничная передача персональных данных возможна лишь при наличии соответствующих правовых оснований. Причем, если речь идет о передаче данных в государства, в которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, то она возможна при соблюдении еще более жестких условий. При передаче специальных персональных данных в такие государства сведения о соответствующем ресурсе (системе) подлежат внесению в реестр.

Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, установлен приказом Национального центра защиты персональных данных Беларуси №14 от 15 ноября 2021 года «О трансграничной передаче персональных данных». К таким государствам относятся страны, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в Страсбурге 28 января 1981 года, а также государства — члены Евразийского экономического союза, в том числе Российская Федерация.

Соответственно, в Реестр вносятся сведения об информационных ресурсах (системах), посредством которых осуществляется трансграничная передача специальных персональных данных на территорию государств, не вошедших в указанный перечень. Например, в Соединенные Штаты Америки. Не нужно забывать, что при передаче персональных данных в иностранное государство для хранения или иной обработки от имени или в интересах белорусского оператора, последним должно быть обеспечено (в том числе путем заключения отдельного договора или включения необходимых положений в иной договор) соблюдение лицом в иностранном государстве, у которого персональные данные будут храниться или обрабатываться иным образом, предусмотренных Законом требований к обработке персональных данных, в том числе мер по обеспечению их защиты, определенных ст.17 Закона «О защите персональных данных». При этом следует иметь в виду, что применительно к специальным персональным данным такие требования, в том числе в отношении защиты информации в информационной системе, наиболее строгие.

— Предположим, в компании ведется несколько информационных ресурсов для различных целей. В одном аккумулируются и обрабатываются персональные данные о работниках, второй служит для профсоюзных целей. Какие сведения необходимо подавать в реестр операторов персональных данных?

— В случае, если сразу несколько информационных ресурсов оператора соответствуют одному или нескольким критериям, предусмотренным приказом №94, сведения о каждом из них оператор должен внести в реестр.

В случае, если ни один из информационных ресурсов не соответствует таким критериям, но в совокупности в них обрабатываются персональные данные более 100 тыс. физических лиц, то в реестр необходимо внести сведения об информационной системе оператора, включающей данные информационные ресурсы.

Подробнее с примерами определения информационных ресурсов (систем), сведения о которых подлежат внесению в реестр, можно ознакомиться на сайте центра в разделе «Реестр операторов персональных данных». При этом необходимо отметить, что профсоюзная организация в понимании Закона «О защите персональных данных» является самостоятельным оператором. Поэтому в рассматриваемой ситуации важно разобраться с вопросом, кто является собственником (владельцем) того информационного ресурса, который служит для профсоюзных целей. И с учетом этого определять лицо, обязанное внести сведения о ресурсе в реестр. Конечно, маловероятно, что в «профсоюзном» ресурсе конкретной первичной профсоюзной организации обрабатываются персональные данные более 100 тыс. физических лиц (даже с учетом бывших работников, сохраняющих членство в профсоюзе).

— Персональные данные детей — особо чувствительный вопрос. Нужно ли вносить школьные информационные ресурсы в реестр операторов персональных данных, учитывая, что количество учеников во всей школе вряд ли будет превышать 10 тыс.? Впрочем, в школах существуют медицинские пункты, в которых хранятся и обрабатываются специальные персональные данные несовершеннолетних.

— Обязанность по внесению сведений об информационных ресурсах (системах) в реестр возложена на всех операторов, независимо от формы собственности, в том числе на операторов, являющихся государственными организациями.

Учреждения общего среднего образования — не исключение. Единственным условием является соответствие информационного ресурса одному или нескольким критериям, предусмотренным приказом №94. При этом, как отмечалось ранее, оператор вносит в реестр сведения об информационных ресурсах, собственником (владельцем) которых он является. Следует также помнить, что при подсчете количества физических лиц, не достигших 16 лет, персональные данные которых обрабатываются в информационном ресурсе (системе), учреждениям образования необходимо учитывать и данные о бывших учениках (учащихся), не достигших шестнадцатилетнего возраста, которые хранятся в ресурсе (системе) в пределах сроков, предусмотренных законодательством об архивном деле и делопроизводстве. Поэтому невозможно однозначно утверждать, все ли школы, например, будут обязаны внести сведения о своих информационных ресурсах (системах) в реестр.

Очевидно, что небольшие сельские школы, наверняка, могут не иметь такого количества субъектов персональных данных в своих информационных ресурсах (системах). В больших районных или столичных школах ситуация может быть иная. Поэтому необходимо анализировать ситуацию в каждой конкретной школе.

— Должны ли товарищества собственников вносить сведения в реестр, если в многоквартирном жилом доме установлено видеонаблюдение? Аналогичный вопрос касается организаций, в которых применяется видеонаблюдение.

— Учитывая особенности обработки персональных данных посредством систем видеонаблюдения, а также требования об ограничении сроков хранения таких персональных данных в этих системах, сведения о системах видеонаблюдения в реестр не вносятся. Исключение составляют случаи, когда при их использовании осуществляется обработка изображения человека в целях уникальной идентификации субъектов персональных данных с использованием специальных технических средств. В таком случае мы уже имеем дело с обработкой в системе видеонаблюдения биометрических персональных данных.

— Должны ли вносить сведения в реестр владельцы мессенджеров с количеством подписчиков, превышающим 100 тыс.? И в целом возлагается ли обязанность по внесению сведений в реестр на иностранные организации?

— При ответе на данные вопросы следует учитывать сферу действия Закона «О защите персональных данных» и указа №422 по кругу лиц: эти акты распространяются на операторов, являющихся государственными органами, юридическими лицами Беларуси, иными организациями, а также физическими лицами, в том числе индивидуальными предпринимателями. Так, иностранные организации подпадают под их действие в части деятельности на территории Беларуси их представительства. Соответственно, если владельцем мессенджера как информационного ресурса является организация Беларуси, на которую распространяется закон, сведения о данном ресурсе вносятся в реестр при условии его соответствия установленным критериям. Если же владельцем мессенджера является иностранная организация, на которую положения закона не распространяются, вносить информацию о нем в реестр не нужно.

Изложенное не распространяется на владельцев аккаунтов в мессенджерах: им вносить сведения в реестр не нужно.

— Кто и как контролирует правильность внесения сведений в реестр?

— Начну с того, что операторы или уполномоченные лица по их поручению вносят сведения в реестр путем подачи соответствующих заявок. Заявки направляются посредством личного кабинета оператора (уполномоченного лица) на сайте реестра. В случае отсутствия технической возможности доступа к сайту, в порядке исключения, допускается подача заявок в письменной форме посредством системы межведомственного документооборота или почтовой связи.

К слову, видеоинструкция по заполнению и подаче заявки доступна на сайте нашего центра. Там же, в разделе «Реестр операторов персональных данных», можно найти ответы на многие вопросы по внесению сведений в реестр. Если же после ознакомления с ними у вас остались вопросы, их можно направить на нашу почту register@cpd.by. Ответы на типовые вопросы мы продолжим размещать в профильном разделе сайта.

Что касается непосредственно контроля правильности внесения сведений в реестр, то первичная оценка корректности и полноты включенных в заявку сведений осуществляется специалистами нашего центра при ее рассмотрении. Если на данном этапе вопросов не возникает, заявка одобряется и сведения включаются в реестр. Если выявляется, что заявка не соответствует требованиям, установленным приказом №94 (например, не указаны нужные сведения или заявка заполнена некорректно), она отклоняется. При этом оператор должен устранить соответствующие недостатки и направить заявку вновь. При проведении центром плановых или внеплановых проверок операторов проверяющие могут в рамках своих полномочий оценить соответствие указанных в заявке сведений фактическим обстоятельствам, а также своевременность внесения сведений в реестр.

Хочу обратить внимание, что непредставление должностным или иным уполномоченным лицом или индивидуальным предпринимателем в установленные сроки сведений или иных материалов в случаях, когда обязанность их представления предусмотрена законодательными актами, либо представление таких сведений или иных материалов, содержащих заведомо недостоверные сведения, влечет административную ответственность по ст.24.11 Кодекса Республики Беларусь об административных правонарушениях.

— С какой периодичностью, каким образом и в какой срок в реестр вносятся изменения сведений об информационном ресурсе (системе)?

— В соответствии с приказом №94 изменение сведений об информационном ресурсе (системе) осуществляется оператором или уполномоченным лицом в течение десяти рабочих дней после ввода в постоянную эксплуатацию информационного ресурса (системы) в измененном виде или изменения иных сведений, внесенных в реестр.

Для изменения сведений, ранее внесенных в реестр, оператор (уполномоченное лицо) подает соответствующую заявку. Заявка направляется и рассматривается в порядке, аналогичном порядку подачи и рассмотрения заявок на внесение сведений в реестр.

— Если информационный ресурс (система) перестает соответствовать установленным критериям, он(а) исключается из реестра? Кто этим занимается — оператор/владелец ресурса (системы) или оператор реестра – Национальный центр защиты персональных данных?

— Если информационный ресурс (система) перестал соответствовать критериям для его включения в реестр, сведения о нем нужно исключить из реестра. Инициировать такое исключение должен оператор, являющийся собственником (владельцем) ресурса (системы).

В соответствии с приказом №94 исключение сведений об информационном ресурсе (системе) из реестра осуществляется оператором (по его поручению — уполномоченным лицом) в течение десяти рабочих дней после прекращения эксплуатации ресурса (системы) или изменения сведений, внесенных в реестр (в том числе, если информационный ресурс (система) перестал соответствовать критериям для его включения в реестр).

Для исключения из реестра сведений о ресурсе (системе) оператор (уполномоченное лицо) подает в центр заявку в произвольной форме с указанием причины исключения сведений. Такие заявки направляются посредством системы межведомственного документооборота или почтовой связи.

— Кто может иметь доступ к данным реестра?

— Эти вопросы разрешены в приказе №94. Так, сведения об информационном ресурсе (системе), содержащиеся в реестре, будут предоставляться Национальным центром защиты персональных данных государственным органам и иным организациям в объеме, необходимом для выполнения возложенных на них законодательными актами задач и функций. В открытом доступе таких сведений не будет, в том числе с учетом того, что в реестр включаются отдельные персональные данные работников операторов.

Источник: БелТА

Новый год и Рождество – чудесные праздники, связанные с надеждами на лучшее в грядущем году, с ожиданием исполнения всех желаний. Этого ждут с нетерпением и взрослые, и дети. А есть те дети, которым нужна особая поддержка и забота. Но мечты у них самые обыкновенные. Они мечтают об игрушках и сладостях, они хотят как все дети учиться, играть, быть рядом с близкими и, конечно, не болеть.

В рамках республиканской благотворительной акции ”Наши дети“, коллектив Национального центра защиты персональных данных  поздравил учащихся столичной школы № 111, где обучается более 40 детей-инвалидов. У каждого из них были свои заветные желания, и у сотрудников Центра появилась  возможность на минуту стать волшебниками и исполнить мечты этих ребят. От коллектива Центра были переданы сладкие подарки и  ”наборы супер-героев“, но были и ребята, которые по состоянию здоровья сейчас находятся на надомном обучении. Они мечтали об игрушках, девайсах , а также о простом общении. Евсей обожает компьютерные игры и мечтал о фигурке из ”Звездных войн“, София любит музыку и очень хотела MP3-плейер, а Герман интересуется космосом и мечтал о космическом светильнике.  Детские желания обязательно должны сбываться. И представители Центра приехали к ребятам домой, поздравили их наступающими Новым годом и Рождеством, подарили им подарки и внимание.

Национальный центр защиты персональных данных шефствует над ГУО ”Средняя школа № 111 имени Михаила Каснерика г. Минска“ и помогает не только учреждению образования, но по возможности персонально детям-инвалидам.

Поддержать республиканскую благотворительную акцию ”Наши дети“ может каждый, в ней активно принимают участие организации и простые люди. Она проводится в поддержку сирот, ребят с инвалидностью, детей, оказавшихся в трудной жизненной ситуации, больных детей, а также учреждений образования, здравоохранения, социальной защиты.

Заседание комиссии Союза юристов по информатизации состоялось в  Национальном центре защиты персональных данных. В рамках мероприятия проведена презентация Реестра операторов персональных данных.

В преддверии запуска государственного информационного ресурса ”Реестр операторов персональных данных“ заместитель начальника управления контроля и аудита Центра Виталий Диско рассказал о наиболее актуальных вопросах функционирования Реестра.

Он подчеркнул, что Реестр операторов будет содержать информацию об информационных ресурсах (системах), посредством которых осуществляется:

• трансграничная передача специальных персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, предусмотренных абзацами пятым – седьмым пункта 1 статьи 9 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“;
• обработка биометрических и (или) генетических персональных данных;
• обработка персональных данных более 100 тыс. физических лиц;
• обработка персональных данных более 10 тыс. физических лиц, не достигших возраста шестнадцати лет.

Виталий Диско отметил важность своевременного внесения сведений в Реестр, так как это является обязательным условием для осуществления деятельности указанных организаций.

Члены комиссии по информатизации, обсудив информацию, единогласно пришли к мнению, что Реестр операторов будет способствовать прозрачности и контролю в сфере обработки персональных данных, что является важным аспектом при стремительном развитии информационных технологий.

Приказом директора Национального центра защиты персональных данных утвержден план проверок соблюдения законодательства о персональных данных на 2024 год.

Планом предусмотрено проведение проверок в отношении 11 операторов.

Контрольные мероприятия в 2024 году затронут в первую очередь операторов, которые обрабатывают большой массив персональных данных жителей Беларуси. Значительное количество таких операторов сосредоточено в сферах торговли и услуг, образования, здравоохранения.

Основная цель осуществления плановых проверок – установление степени соответствия деятельности операторов требованиям законодательства о персональных данных.

В ходе проверок изучаются принятые операторами правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий.

При этом особое внимание уделяется надлежащей реализации обязательных мер по обеспечению защиты персональных данных, предусмотренных пунктом 3 статьи 17 Закона о защите персональных данных и подпунктом 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“.

План проверок соблюдения законодательства на 2024 год размещен на сайте Центра в разделе ”Защита персональных данных“ – ”Оператору“ – ”Контроль за обработкой“.

Отметим, что наряду с плановыми проверками Центром проводятся внеплановые и камеральные контрольные мероприятия. В большинстве случаев поводами для их проведения являются жалобы субъектов персональных данных. Отдельные проверки инициируются Центром по результатам анализа и оценки информации, размещённой в глобальной компьютерной сети Интернет.

21 декабря директор Национального центра защиты персональных данных встретился  с коллективом Национального академического театра имени Янки Купалы. В мероприятии приняли участие руководство театра, а также его структурные подразделения, занимающиеся обеспечением деятельности учреждения.

Андрей Гаев рассказал о создаваемых в стране условиях для защиты персональных данных, о направлениях деятельности Центра, обязательных мерах, которые должны быть реализованы  в каждой организации, в том числе в Купаловском театре, для защиты персональных данных граждан, о функционале специалиста по внутреннему контролю за обработкой данных.

Директор Центра привел примеры конкретных случаев и фактов незаконной обработки персональных данных, с которыми люди сталкиваются практически ежедневно. Элементарное заполнение скидочной карты в магазине или покупки онлайн в маркетплейсах  –  это уже передача огромного массива персональных данных. Он рассказал о том, что зачастую люди сами размещают избыточную личную информацию о себе в соцсетях, делая ее доступной другим, и отдельно остановился на проблемах в сфере оборота персональной информации. Распространенная практика копирования и пересылки паспортных данных, повсеместное видеонаблюдение, сбор биометрических персональных данных в случаях, когда в этом нет необходимости, – все это  угрозы приватности человека.

В ходе встречи Андрей Гаев рассказал о недостатках, выявленных при проведении Центром проверок деятельности отдельных операторов. Среди основных он назвал такие, как сбор избыточных персональных данных, распространение практики рекламных рассылок без согласия субъектов персональных данных, ”утечка“ баз персональных данных и иные.

В завершении мероприятия директор Центра дал конкретные практические советы по безопасности личной информации.

С 15 декабря в тестовом режиме доступен государственный информационный ресурс ”Реестр операторов персональных данных“ register.cpd.by.

Можно зайти на указанный интернет-ресурс и апробировать его функционал, возможности, порядок заполнения форм и внесения сведений.

Обращаем внимание, что внесенные во время открытого бета-тестирования данные будут удалены из Реестра до 31 декабря 2023 года.

Напоминаем, что Центром подготовлен материал по наиболее актуальным вопросам функционирования Реестра. Ознакомиться с ним можно на сайте Центра. В случае возникновения вопросов, не отраженных в материале, они могут направляться на электронную почту: register@cpd.by.

В случае обоснованного отсутствия технической возможности доступа к Реестру информация для внесения в него  может предоставляться в виде письма-заявки, направленного в адрес Центра посредством СМДО или почтовой связи. Для этого Центром подготовлен образец письма-заявки в форматах Word и Excel.
Заявка для внесения сведений в Реестр_Word
Заявка для внесения сведений в Реестр_Excel

Справочно:
Приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 1 июня 2022 г. № 94 ”О государственном информационном ресурсе ”Реестр операторов персональных данных“ определено, что реестр операторов персональных данных содержит информацию об информационных ресурсах (системах), посредством которых осуществляется:

•     трансграничная передача специальных персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, предусмотренных абзацами пятым – седьмым пункта 1 статьи 9 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“;
•     обработка биометрических и (или) генетических персональных данных;
•     обработка персональных данных более 100 тыс. физических лиц;
•     обработка персональных данных более 10 тыс. физических лиц, не достигших возраста шестнадцати лет.

Владельцем и оператором реестра после его создания будет являться Национальный центр защиты персональных данных.

Оператор или уполномоченное лицо вносят сведения в реестр:

•     не позднее 15 января 2024 г.,
•     а в отношении информационного ресурса (системы), созданного (созданной) после 1 января 2024 г., – в течение десяти рабочих дней после ввода его (ее) в постоянную эксплуатацию.

В настоящее время в связи с доступностью стационарных и мобильных технических средств, осуществляющих видеозапись, распространением мобильных телефонов со встроенными видеокамерами наблюдается существенный рост использования систем видеонаблюдения в обществе как в бытовых, так и в профессиональных целях.

Одной из сфер, где в последнее время широко используется видеонаблюдение, является сфера трудовых отношений.

В Национальный центр защиты персональных данных на регулярной основе поступают обращения и жалобы, связанные с видеонаблюдением на рабочих местах, в которых отмечаются злоупотребления со стороны нанимателей при видеонаблюдении (осуществление видеонаблюдения без информирования об этом работников или выборочно на рабочих местах отдельных (конкретных) работников, выполняющих схожие функции, распространение соответствующих записей и др.).

По итогам обобщения проблемных вопросов, в целях обеспечения защиты прав и законных интересов субъектов персональных данных, баланса интересов нанимателей и работников, минимизации нарушений нанимателями законодательства подготовлены изменения в пункт 7 Рекомендаций Национального центра защиты персональных данных об обработке персональных данных в связи с трудовой (служебной) деятельностью.

О чем важно помнить:

• видеонаблюдение на рабочих местах допускается лишь при наличии специфических обстоятельств, требующих организации постоянного контроля на рабочем месте;
• системы видеонаблюдения, связанные с обработкой персональных данных, должны использоваться только в том случае, если цель такой обработки не может быть достигнута иными средствами;
• использование видеонаблюдения с видеораспознаванием лиц (уникальной идентификацией) в системах управления и контроля доступом в здание (пропускной режим и учет явки/ухода работников) возможно, как правило, с согласия работников. При этом согласие может быть признано свободным лишь при условии наличия у работников альтернативного варианта входа в здание (например, по пропускам, карточкам и т. п.).
• видеозаписи не могут быть использованы в личных и иных целях, не связанных с профессиональной деятельностью, и не подлежат изменению, использованию, распространению и предоставлению, кроме случаев, предусмотренных законодательными актами.

Ознакомиться в полным с текстом Рекомендаций с изменениями по состоянию на 12 декабря 2023 г. можно в банке данных ”Правоприменительная практика“ ИПС ”ЭТАЛОН-ONLINE“.

В столице завершил свою работу двухдневный форум Союза юристов ”Право в современном мире“.

Мероприятие в таком масштабном формате проходило впервые: пять параллельных панелей ”Суверенитет и право“, ”Правосудие и защита прав граждан“,  ”Цифровое право“,  ”Право и экономика“, ”Право и молодежь“, более 20 секций, открытые дискуссии и более семисот участников.

Это знаковое мероприятие профессионального юридического сообщества Беларуси организовано Белорусским республиканским союзом юристов, Национальным центром защиты персональных данных,  Министерством юстиции, Национальным центром правовой информации, ООО «Юрспектр».

В рамках секции ”Актуальные инструменты национальной системы защиты персональных данных“ эксперты обсудили новое направление юридической практики, отдельные аспекты работы специалистов по защите данных, вопросы  технической защиты информации.

Открывая секцию, директор Национального центра защиты персональных данных Андрей Гаев обозначил ключевые вопросы национального правового регулирования данной сферы.

”Чуть более двух лет назад в нашей стране вступил в силу Закон о защите персональных данных и был создан Национальный центр.  Тема защиты персональных данных получила конституционное звучание и находит дальнейшее закрепление в стратегических документах: Концепции правовой политики и Концепции национальной безопасности. Скорость перехода общественных отношений в цифровую плоскость и стремительное развитие технологий выводят задачу эффективной защиты личной информации в число наиважнейших“ – отметил директор Центра.

Андрей Гаев подчеркнул, что юридическое сообщество должно имеющимся правовыми средствами содействовать развитию условий для защиты персональных данных и безопасности личности и общества при их использовании.

В рамках секции делились практическим опытом юрист ООО ”Степановский, Папакуль и партнеры. Юридические услуги“, доцент кафедры международного права факультета международных отношений БГУ Надежда Шакель,  начальник службы по защите информации (CDPO) ЗАО ”Патио“ Максим Гречаников, руководитель направления защищенных сервисов hoster.by ООО ”Надежные программы“  Егор Сапун. В завершении работы секции о типичных нарушениях операторов, выявляемых в годе контрольных мероприятий Центра,  а также о работе реестра операторов рассказал  Владимир Кузуро, начальник управления контроля и аудита Национального центра защиты персональных.

Также в рамках Форума было подписано соглашение о сотрудничестве Национального центра защиты персональных данных Республики Беларусь и  общественного объединения ”Белорусский республиканский союз юристов“.

Стороны договорились об обмене материалами образовательного, практического, информационного и аналитического характера, взаимодействии в создании научных, научно-практических, учебных и учебно-методических изданий, в том числе путем создания совместных авторских коллективов, организации и проведении совместных мероприятий (конференций, семинаров, круглых столов, форумов, рабочих встреч и т.п.) и исследований.

Подвели итоги работы Форума в рамках пленарного заседания, в котором приняли участие руководители государственных органов и организаций, судейского корпуса, научного сообщества, бизнес-структур, общественных объединений, преподаватели и учащиеся юридических факультетов вузов, адвокаты, нотариусы, юристы самых различных сфер.