С 15.11.2021 вступили в силу Закон о защите персональных данных, Указ от 28.10.2021 N 422. В их развитие Оперативно-аналитический центр при Президенте (далее — ОАЦ) 12.11.2021 издал приказы N 194 и N 195. В них уточнены вопросы обучения и технической, криптографической защиты в сфере персональных данных. Приказы ОАЦ от 12.11.2021 N 194 и N 195 действуют с 15.11.2021.

1. Определены лица, которым нужно пройти обучение в Национальном центре защиты персональных данных

Так, в Национальном центре защиты персональных данных (далее — Национальный центр) должны пройти обучение по программе повышения квалификации лица, которые в совокупности (подп. 1.1 п. 1 приказа ОАЦ от 12.11.2021 N 194):

1) отвечают за внутренний контроль за обработкой персональных данных;

2) осуществляют эту функцию в определенных организациях, в частности:

— банках и небанковских кредитно-финансовых организациях;

— страховых организациях;

— у операторов электросвязи (за исключением ИП);

— республиканской и территориальных организациях по госрегистрации недвижимого имущества, прав на него и сделок с ним;

— Белорусской нотариальной палате, областных (Минской городской) нотариальных палатах;

— риэлтерских организациях;

— организациях здравоохранения;

— местных исполнительных и распорядительных органах, их структурных подразделениях с правами юрлица.

Примечание
Требование по обучению не распространяется на лиц, работающих в сельских (поселковых) исполкомах (абз. 9 подп. 1.1 п. 1 приказа ОАЦ от 12.11.2021 N 194);

— у операторов (уполномоченных лиц), организующих и (или) осуществляющих обработку персональных данных не менее 10 тыс. физлиц. В это число не включаются персональные данные работников этих операторов (уполномоченных лиц), собранные в процессе осуществления трудовой деятельности.

Обратите внимание!
Бывает, что ответственным за осуществление внутреннего контроля за обработкой персональных данных назначено структурное подразделение оператора (уполномоченного лица). В этом случае конкретное лицо из подразделения, которое должно пройти обучение в Национальном центре, определяет руководитель оператора (уполномоченного лица) (п. 2 приказа ОАЦ от 12.11.2021 N 194).

Если лицо осуществляет обработку персональных данных, а не контроль в вышеперечисленных организациях, то оно может пройти обучение как в Национальном центре, так и в иных организациях. К иным организациям относятся учреждения образования; организации с образовательной программой повышения квалификации, программой обучающих курсов; сам оператор (абз. 4 — 6 ч. 1 подп. 3.3 п. 3 Указа от 28.10.2021 N 422, подп. 1.2 п. 1 приказа ОАЦ от 12.11.2021 N 194).

2. Скорректирован порядок технической и криптографической защиты персональных данных

Техническую и криптографическую защиту персональных данных нужно осуществлять в соответствии с приказом ОАЦ от 20.02.2020 N 66. При этом операторы (уполномоченные лица) должны обеспечить выполнение требований, установленных для собственников (владельцев) информационных систем, в которых обрабатываются персональные данные (п. 1 приказа ОАЦ от 12.11.2021 N 195).

Обратите внимание!
Если в информационной системе (не на критически важных объектах) обрабатываются только общедоступные персональные данные, то можно не применять установленные приказом ОАЦ от 20.02.2020 N 66 требования по технической и криптографической защите, аттестации систем защиты информации, представлению в ОАЦ соответствующих сведений (абз. 3 подп. 2.1, абз. 3 подп. 2.2, абз. 3 подп. 2.4 п. 2 приказа ОАЦ от 12.11.2021 N 195).

Приказ ОАЦ от 12.11.2021 N 195 предусмотрел отдельные уточнения для ИП, являющихся собственниками (владельцами) информационных систем, в которых обрабатываются персональные данные (абз. 9 и 10 подп. 2.1, абз. 7 и 22 подп. 2.2 п. 2). В частности, ИП:

1) вправе выполнять работы по технической и криптографической защите персональных данных самостоятельно либо с привлечением специализированной организации. При самостоятельном выполнении работ ИП не нужно создавать (назначать) ответственные подразделения, лиц по защите информации;

2) могут составлять акт отнесения информационной системы к классу типовых информационных систем в произвольной форме;

3) вправе выполнять работы по аттестации единолично;

4) вправе разработать программу и методику аттестации единолично.

Также приказом ОАЦ от 12.11.2021 N 195 предусмотрены методы обезличивания персональных данных, они установлены в приложении 5 к Положению о порядке технической и криптографической защиты информации в информационных системах N 66 (абз. 32 п. 2.1 п. 2). К ним относятся такие методы как введение идентификаторов; изменение состава; декомпозиция; перестановка; зашифрование.

В новой редакции изложены приложения Положения о порядке технической и криптографической защиты информации в информационных системах N 66, определяющие (абз. 31 подп. 2.1 п. 2 приказа ОАЦ от 12.11.2021 N 195):

— классы типовых информационных систем;

— требования к системе защиты информации, подлежащие включению в техзадание;

— требования к организации взаимодействия информационных систем.

Внесены дополнения и по вопросу аттестации систем защиты информации. Так, можно не проводить мероприятия по аттестации (за исключением оформления аттестата соответствия), если одновременно (абз. 16 — 18 подп. 2.2 п. 2 приказа ОАЦ от 12.11.2021 N 195):

1) информационная система создается на базе информационной системы специализированной организации.

Примечание
Под специализированными организациями понимают организации, которые имеют специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации (ч. 1 п. 3 Положения о порядке аттестации систем защиты информации N 66);

2) аттестация системы защиты информации в создаваемой системе проводится этой специализированной организацией;

3) система защиты информации информационной системы специализированной организации аттестована в установленном порядке. В такой системе реализованы требования по защите информации аттестуемой системы защиты информации.

Обратите внимание!
Изменения, внесенные приказом ОАЦ от 12.11.2021 N 195 в Положение о порядке технической и криптографической защиты информации в информационных системах N 66 и в Положение о порядке аттестации систем защиты информации N 66, обязательны не для всех. Их можно не применять для информационных систем, которые (п. 3 приказа ОАЦ от 12.11.2021 N 195):
— введены в эксплуатацию до 15.11.2021. Не применять новые нормы можно в течение срока действия аттестата соответствия системы защиты информации. По истечении его срока действия аттестация проводится по новым правилам.
— создаются или модернизируются и на них по состоянию на 15.11.2021 уже утверждены техзадания. Аттестацию систем защиты информации таких информационных систем и ввод их в эксплуатацию можно осуществлять в соответствии со «старым» законодательством.
Такие изъятия применяются к информационным системам, предназначенным для обработки информации, которая ограничена к распространению, предоставлению и не относится к госсекретам.