Подпунктом 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“ (далее – Указа № 422) установлена обязанность операторов, являющихся государственными органами, юридическими лицами Республики Беларусь, иными организациями, по установлению и поддержанию в актуальном состоянии перечня информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами)[1] которых они являются.
Подпунктом 3.6 пункта 3 Указа № 422 на операторов с 1 января 2024 г. дополнительно возложена обязанность вносить в Реестр сведения об информационных ресурсах (системах), в которых обрабатываются персональные данные, в случаях, когда такие ресурсы (системы) соответствуют критериям, установленным приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 1 июня 2022 г. № 94 ”О государственном информационном ресурсе ”Реестр операторов персональных данных“ (далее – Приказ № 94).
С учетом взаимосвязанных положений подпунктов 3.5 и 3.6 пункта 3 Указа № 422 все операторы[2] независимо от формы собственности, в том числе операторы, являющиеся государственными органами и организациями, должны вносить в Реестр сведения об информационных ресурсах (системах), содержащих персональные данные, собственниками (владельцами) которых они являются.
Сведения об информационных ресурсах (системах), содержащих персональные данные, могут вноситься в Реестр от имени или в интересах оператора его уполномоченным лицом2.
[1] Термины ”собственник информационного ресурса (системы)“ и ”владелец информационного ресурса (системы)“ используются в значениях, определенных в Законе Республики Беларусь от 10 ноября 2008 г. № 455-З ”Об информации, информатизации и защите информации“.
[2] Термины ”оператор“ и ”уполномоченное лицо“ используются в значении, определенном в Законе Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“.
В соответствии с пунктом 2 Приказа № 94 оператор или уполномоченное лицо вносят сведения в реестр не позднее 15 января 2024 г., а в отношении информационного ресурса (системы), созданного (созданной) после 1 января 2024 г., – в течение десяти рабочих дней после ввода его (ее) в постоянную эксплуатацию.
Сведения вносятся в Реестр в электронном виде. Для этого необходимо пройти процедуру регистрации личного кабинета пользователя и аутентификации оператора.
Аутентификация пользователей осуществляется через Единую систему идентификации физических и юридических лиц (ЕС ИФЮЛ) с использованием электронной цифровой подписи.
Соответственно, при подготовке к внесению информации в Реестр необходимо предпринять организационные и технические меры, обеспечивающие возможность использования внешних интегрированных сервисов (ЕС ИФЮЛ, ГосСУОК).
В случае отсутствия технической возможности доступа к Реестру в целях соблюдения сроков, установленных Приказом № 94, сведения для внесения в Реестр могут быть направлены в виде заявки посредством системы межведомственного документооборота или почтовой связи.
Направленная посредством системы межведомственного документооборота или почтовой связи заявка дублируется в электронном виде на email: register@cpd.by (в формате .xlsx, .docx).
Заявки, поступившие только на адрес электронной почты Национального центра защиты персональных данных, рассмотрению не подлежат.
По результатам рассмотрения заявок Национальным центром защиты персональных данных в течение 5 рабочих дней со дня, следующего за днем их поступления (регистрации), принимается решение об их одобрении либо отклонении.
В случае, если указанные в заявке сведения об информационном ресурсе (системе) соответствуют требованиям пункта 1 Приказа № 94, заявка одобряется. Сведения, содержащиеся в заявке, поступившей посредством системы межведомственного документооборота или почтовой связи, после ее одобрения вносятся Национальным центром защиты персональных данных в Реестр в течение 3 рабочих дней со дня, следующего за днем ее одобрения.
В случае, если указанные в заявке сведения об информационном ресурсе (системе) не соответствуют требованиям пункта 1 Приказа № 94, заявка отклоняется.
Об одобрении либо отклонении заявок, поступивших посредством системы межведомственного документооборота или почтовой связи, оператор (уполномоченное лицо) письменно информируется посредством системы межведомственного документооборота либо почтовой связи в течение 3 рабочих дней со дня, следующего за днем их одобрения либо отклонения соответственно.
Образец письма-заявки:
Заявка для внесения свед. в Реестр_Excel
Заявка для внесения свед. в Реестр_Word
Подпунктом 1.1 пункта 1 Приказа № 94 определено, что Реестр содержит информацию об информационных ресурсах (системах), посредством которых осуществляется:
- трансграничная передача специальных персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, за исключением случаев, предусмотренных абзацами пятым – седьмым пункта 1 статьи 9 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“;
- обработка биометрических и (или) генетических персональных данных;
- обработка персональных данных более 100 тыс. физических лиц;
- обработка персональных данных более 10 тыс. физических лиц, не достигших возраста шестнадцати лет.
Необходимо отметить, что факт регистрации информационного ресурса (системы) в Государственном регистре информационных ресурсов или Государственном регистре информационных систем в порядке, предусмотренном постановлением Совета Министров Республики Беларусь от 26 мая 2009 г. № 673 ”О некоторых мерах по реализации Закона Республики Беларусь ”Об информации, информатизации и защите информации“, для цели внесения сведений в Реестр значения не имеет.
Таким образом, если посредством информационного ресурса (системы) оператора осуществляется обработка персональных данных, соответствующая одному и (или) нескольким критериям, предусмотренным подпунктом 1.1 пункта 1 Приказа № 94, сведения о таком информационном ресурсе (системе) подлежат внесению в Реестр.
Оценка соответствия информационного ресурса (системы) критериям, предусмотренным подпунктом 1.1 пункта 1 Приказа № 94, осуществляется оператором.
Примеры.
А) В организации используется программный продукт фирмы ”1С“, в котором осуществляется хранение сведений более 100 тыс. физических лиц.
Обработка персональных данных посредством такого информационного ресурса подпадает под критерий, предусмотренный абзацем четвертым подпункта 1.1 пункта 1 Приказа № 94.
Таким образом, сведения о таком информационном ресурсе подлежат внесению в Реестр.
Б) Частная медицинская клиника осуществляет обработку сведений о здоровье клиентов посредством информационного ресурса, в котором хранятся результаты анализов, в том числе генетических, фото пациентов до и после хирургического вмешательства, стоматологические снимки.
Поскольку в таком информационном ресурсе обрабатываются генетические персональные данные (соответствуют критерию, предусмотренному абзацем третьим подпункта 1.1 пункта 1 Приказа № 94), сведения о таком информационном ресурсе подлежат внесению в Реестр независимо от количества физических лиц, персональные данные которых обрабатываются в этом ресурсе.
В) В организации используется система видеонаблюдения (ведется видеозапись в режиме реального времени), посредством которой осуществляется уникальная идентификация работников путем сопоставления с фото- и видеоизображением работников, хранящихся в системе.
Учитывая, что в информационной системе обрабатываются биометрические персональные данные (соответствуют критерию, предусмотренному абзацем третьим подпункта 1.1 пункта 1 Приказа № 94), сведения о такой информационной системе подлежат внесению в Реестр.
Сведения о системах видеонаблюдения, посредством которых уникальная идентификация субъектов персональных данных не осуществляется, в Реестр не вносятся.
Г) В организации посредством Microsoft Excel ведется база данных клиентов с указанием фамилии, имени, отчества, адреса места жительства и контактного телефона. Список насчитывает персональные данные более 100 тыс. физических лиц.
Сведения о таком информационном ресурсе подлежат внесению в Реестр, так как осуществляемая в нем обработка персональных данных соответствует критерию, предусмотренному абзацем четвертым подпункта 1.1 пункта 1 Приказа № 94.
Д) Учреждение здравоохранения (детская поликлиника) обрабатывает персональные данные более 10 тыс. физических лиц, не достигших возраста шестнадцати лет, посредством информационного ресурса.
Сведения о таком информационном ресурсе подлежат внесению в Реестр, так как осуществляемая в нем обработка персональных данных соответствует критерию, предусмотренному абзацем пятым подпункта 1.1 пункта 1 Приказа № 94.
Рассмотрим отдельные примеры.
5.1. В информационную систему оператора входит несколько информационных ресурсов (систем), каждый (каждая) из которых соответствует одному или нескольким критериям, предусмотренным подпунктом 1.1 пункта 1 Приказа № 94.
Сведения об этой информационной системе оператора в Реестр не вносятся. В него должны быть внесены только сведения обо всех отдельных информационных ресурсах (системах), соответствующих указанным критериям.
5.2. Информационная система оператора состоит из нескольких информационных ресурсов, каждый из которых в отдельности не соответствует ни одному из критериев, предусмотренных подпунктом 1.1 пункта 1 Приказа № 94. Однако в совокупности в этих информационных ресурсах обрабатываются персональные данные более 100 тыс. физических лиц и (или) более 10 тыс. физических лиц, не достигших возраста шестнадцати лет.
В Реестр вносятся сведения только об этой информационной системе оператора, состоящей из нескольких информационных ресурсов. При этом сведения о каждом информационном ресурсе, входящем в эту систему и в отдельности не соответствующем критериям, предусмотренным подпунктом 1.1 пункта 1 Приказа № 94, не вносятся.
5.3. Информационная система состоит из пяти информационных ресурсов, два из которых соответствуют одному или нескольким критериям, предусмотренным подпунктом 1.1 пункта 1 Приказа № 94, а три других – нет. Однако в совокупности в этих трех информационных ресурсах обрабатываются персональные данные более 100 тыс. физических лиц и более 10 тыс. физических лиц, не достигших возраста шестнадцати лет.
Внесению в Реестр подлежат:
- сведения о двух информационных ресурсах, отдельно соответствующих критериям, предусмотренным подпунктом 1.1 пункта 1 Приказа № 94;
- сведения об информационной системе оператора. При этом в данном случае при совокупном подсчете количества физических лиц, персональные данные которых обрабатываются в этой информационной системе оператора, не учитывается количество физических лиц, персональные данные которых обрабатываются в двух информационных ресурсах, внесенных в Реестр самостоятельно.
Сведения о каждом из трех информационных ресурсов, также входящем в эту информационную систему и в отдельности не соответствующем критериям, предусмотренным подпунктам 1.1 пункта 1 Приказа № 94, в Реестр не вносятся.
При осуществлении оценки соответствия информационного ресурса (системы) критериям, предусмотренным подпунктом 1.1 пункта 1 Приказа № 94, учитывается количество физических лиц, персональные данные которых обрабатываются посредством такого информационного ресурса (системы), на момент внесения сведений в Реестр.
В соответствии с частью второй пункта 2 Приказа № 94 изменение сведений об информационном ресурсе (системе) или их исключение из реестра осуществляется оператором или уполномоченным лицом в течение десяти рабочих дней после ввода в постоянную эксплуатацию информационного ресурса (системы) в измененном виде, после прекращения его (ее) эксплуатации или изменения иных сведений, внесенных в реестр.
Пример.
Изменился перечень уполномоченных лиц, осуществляющих обработку персональных данных в информационном ресурсе (системе). Оператор обязан в течение десяти рабочих дней актуализировать сведения, ранее внесенные в Реестр, присоединив файл, содержащий обновленный перечень уполномоченных лиц.
Изменение сведений, ранее внесенных в Реестр, осуществляется путем подачи оператором (уполномоченным лицом) заявки, направляемой посредством личного кабинета в Реестре, а в случае отсутствия технической возможности доступа к Реестру, – посредством системы межведомственного документооборота или почтовой связи.
Направленная посредством системы межведомственного документооборота или почтовой связи заявка дублируется в электронном виде на email: register@cpd.by (в формате .xlsx, .docx).
Рассмотрение Национальным центром защиты персональных данных заявок об изменении сведений, ранее внесенных в Реестр, осуществляется в порядке, аналогичном порядку рассмотрения заявок на внесение сведений в Реестр.
Исключение сведений из Реестра осуществляется путем подачи оператором (уполномоченным лицом) заявки в произвольной форме с указанием причины исключения сведений. Такие заявки направляются посредством системы межведомственного документооборота или почтовой связи.
Заявки, поступившие на адрес электронной почты Национального центра защиты персональных данных, рассмотрению не подлежат.
Внесение в Реестр конкретного количества физических лиц не предусмотрено.
В Реестр вносятся сведения о соответствии информационного ресурса (системы) одному и (или) нескольким критериям предусмотренным подпунктом 1.1 пункта 1 Приказа № 94 (например, критерию ”обработка персональных данных более 100 тыс. физических лиц“), путем проставления соответствующей галочки.
В соответствии с абзацем шестым подпункта 1.2 пункта 1 Приказа № 94 в Реестр подлежат внесению полное наименование (фамилия, собственное имя, отчество (если таковое имеется) и место нахождения (адрес места жительства (места пребывания) и регистрационный номер в Едином государственном регистре юридических лиц и индивидуальных предпринимателей (если таковой имеется) уполномоченного лица (если таковое имеется), осуществляющего обработку персональных данных в информационном ресурсе (системе) от имени оператора или в его интересах, в том числе по поручению которого вносятся сведения в Реестр.
Таким образом, в Реестр необходимо вносить сведения только о тех уполномоченных лицах, которые осуществляют обработку персональных данных от имени оператора или в его интересах в информационном ресурсе (системе), подлежащем включению в Реестр.
В случае внесения в Реестр сведений об информационной системе, состоящей из нескольких информационных ресурсов, вносятся сведения обо всех уполномоченных лицах, осуществляющих обработку персональных данных в такой информационной системе.
Сведения об уполномоченных лицах вносятся на основании перечня уполномоченных лиц, установленного оператором в соответствии с подпунктом 3.5 пункта 3 Указа № 422. Указание категорий уполномоченных лиц, осуществляющих обработку персональных данных в информационном ресурсе (системе), не допускается.
Сведения о наименовании оператора в Реестре будут доступны любому лицу.
Полные сведения, предусмотренные подпунктом 1.2 пункта 1 Приказа № 94, внесенные оператором (уполномоченным лицом) в Реестр, доступны этому оператору (уполномоченному лицу) в его личном кабинете.
Сведения об информационном ресурсе (системе), содержащиеся в Реестре, могут быть также получены государственными органами и иными организациями по направленному в Национальный центр защиты персональных данных запросу в письменной форме или в виде электронного документа в объеме, необходимом для выполнения задач и функций, возложенных на них законодательными актами и принятыми в их развитие нормативными правовыми актами.
Непредставление должностным или иным уполномоченным лицом или индивидуальным предпринимателем в установленные сроки документов, отчетов, сведений или иных материалов в случаях, когда обязанность их представления предусмотрена законодательными актами, либо представление таких документов, отчетов, сведений или иных материалов, содержащих заведомо недостоверные сведения, влечет административную ответственность в соответствии со статьей 24.11 Кодекса Республики Беларусь об административных правонарушениях.