В развитие Указа от 28.10.2021 N 422 «О мерах по совершенствованию защиты персональных данных» Оперативно-аналитический центр при Президенте издал приказ N 94. В нем, в частности, определен перечень сведений, подлежащих внесению в Реестр операторов персональных данных (далее — Реестр).

Приказ N 94 вступает в силу с 01.01.2024.

1. Какие информационные ресурсы (системы) будут вноситься в Реестр

В Реестр будут вноситься сведения об информационных ресурсах (системах), с помощью которых осуществляется (подп. 1.1 п. 1 приказа N 94):

1. Трансграничная передача специальных персональных данных, если на территории иностранного государства не обеспечена надлежащая зашита персональных данных. Исключение составляют случаи, когда передача специальных персональных данных (абз. 2 подп. 1.1 п. 1 приказа N 94, абз. 5 — 7 п. 1 ст. 9 Закона о защите персональных данных):

— необходима для защиты жизни, здоровья, других жизненно важных интересов субъекта персональных данных или других лиц. При этом получить согласие субъекта персональных данных невозможно;

— осуществляется в рамках исполнения международных договоров Беларуси;

— осуществляется органом финансового мониторинга в целях принятия мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения в соответствии с законодательством.

2. Обработка биометрических и/или генетических персональных данных.

Примечание
Биометрические персональные данные — это информация о физиологических и биологических особенностях человека, которая используется для его идентификации. Например, отпечатки пальцев рук, ладоней, радужная оболочка глаза, изображение лица человека (абз. 2 ст. 1 Закона о защите персональных данных, п. 4 приказа N 94).

Генетические персональные данные — информация о генетических характеристиках человека. Такая информация содержит уникальные данные о физиологии либо здоровье лица. Генетические персональные данные могут быть получены, например, при исследовании биологических образцов человека (абз. 4 ст. 1 Закона о защите персональных данных, п. 4 приказа N 94).

3. Обработка персональных данных больше чем 100 тысяч физлиц.

4. Обработка персональных данных больше чем 10 тысяч физлиц, не достигших 16-летнего возраста.

3. Какие сведения и в какой срок нужно внести в Реестр

Оператор или  уполномоченное лицо обязаны будут внести в Реестр следующие данные об информационном ресурсе (системе) (подп. 1.2 п. 1 приказа N 94):

— наименование информационного ресурса (системы);

— местонахождение систем хранения данных и серверного оборудования, на которых размещается информационный ресурс (система);

— дату внесения сведений в Реестр и дату изменения таких сведений;

— полное наименование (Ф.И.О.), место нахождения и регистрационный номер в ЕГР оператора;

— полное наименование (Ф.И.О.), место нахождения и регистрационный номер в ЕГР уполномоченного лица, которое обрабатывает персональные данные от имени оператора или в его интересах;

Примечание
Регистрационный номер в ЕГР указывается при его наличии (абз. 5, 6 подп. 1.2 п. 1 приказа N 94).

— Ф.И.О., номер телефона, адрес электронной почты руководителя структурного подразделения или лица, которое отвечает за внутренний контроль за обработкой персональных данных;

Примечание
Подразделение / лицо, ответственное за внутренний контроль за обработкой персональных данных, назначает оператор и/или уполномоченное лицо (абз. 2 п. 3 ст. 17 Закона о защите персональных данных).

— основания включения информационного ресурса (системы) в Реестр. Например, обработка персональных данных больше чем 100 тысяч физлиц;

— количество субъектов, персональные данные которых обрабатываются в информационном ресурсе (системе). Количество субъектов нужно указывать на момент внесения данных в Реестр;

— заявленные цели и правовые основания обработки персональных данных;

— срок хранения персональных данных;

— перечень иностранных государств, на территорию которых осуществляется трансграничная передача специальных персональных данных, если на их территории не обеспечивается надлежащий уровень защиты прав субъектов персональных данных.

Оператор или уполномоченное лицо должны внести сведения об информационном ресурсе (системе) в Реестр в следующие сроки (п. 2 приказа N 94):

1) если информационный ресурс (система) был создан до 01.01.2024 — не позже 15.01.2024;

2) если информационный ресурс (система) был создан после 01.01.2024 — в течение 10 рабочих дней после ввода такого ресурса в эксплуатацию;

3) если информационный ресурс (система) был изменен, прекращено его использование или изменились другие сведения — в течение 10 рабочих дней после изменения / прекращения использования / изменения сведений.

3. Как получить сведения из Реестра

Сведения из Реестра предоставляет НЦЗПД в виде выписки из Реестра. Она может быть оформлена в письменной форме или в виде электронного документа (ч. 1 и 2 п. 3 приказа N 94).

Обратите внимание!
Сведения из Реестра вправе получать госорганы и другие организации в объеме, который нужен для выполнения возложенных на них задач и функций (ч. 1 п. 3 приказа N 94).

Для получения сведений из Реестра нужно направить в НЦЗПД запрос, в котором должны быть указаны (ч. 2 п. 3 приказа N 94):

— полное наименование заявителя, его местонахождение и регистрационный номер в ЕРП;

— правовые основания для получения сведений из Реестра;

— сведения, которые запрашивает заявитель.

В течение 10 рабочих дней со дня получения запроса НЦЗПД предоставит заявителю запрошенные сведения или сообщит об их отсутствии в Реестре (ч. 2 и 3 п. 3 приказа N 94).

Читайте этот материал в ilex >>*
* по ссылке Вы попадете в платный контент сервиса ilex