С 15.11.2021 вступит в силу Закон о защите персональных данных. В развитие его норм принят Указ N 422 от 28.10.2021 «О мерах по совершенствованию защиты персональных данных» (далее — Указ N 422). Он предусматривает создание Национального центра защиты персональных данных (далее — Национальный центр), а также дополнительные меры по защите персональных данных.

1. Конкретизирована обязанность по обучению

Указ N 422 определил кто, где и с какой периодичностью должен обеспечить обучение лиц, в обязанности которых входит обработка, защита персональных данных. Так, обязанность обеспечивать обучение предусмотрена:

1) для собственников (владельцев) информационных систем, владельцев критически важных объектов информатизации, а также организаций, осуществляющих лицензируемую деятельность по технической и (или) криптографической защите информации (абз. 1 подп. 3.2 п. 3 Указа N 422).

 Примечание
Под собственниками (владельцами) информационных систем следует понимать лиц, указанных в ч. 1 п. 3 Положения о технической и криптографической защите информации N 196. В частности, собственников (владельцев) информационных систем, в которых обрабатывается служебная информация ограниченного распространения; собственников (владельцев) информационных систем, в которых обрабатываются информация о частной жизни физлица и персональные данные, за некоторым исключением (подстрочное примечание <*> к подп. 3.2 п. 3 Указа N 422).
По нашему мнению, собственник — это лицо, которое осуществляет полномочия владения, пользования и распоряжения соответствующей информационной системой. Владелец — это лицо, осуществляющее права владения, пользования и распоряжения информационной системой в пределах и порядке, определенных их собственником в соответствии с законодательством (абз. 4, ст. 1 Закона об информации) Так, если в организации используется, например, информационная система, в которой обрабатываются информация о частной жизни физлица и персональные данные, то, полагаем, у организации возникает обязанность по обучению.

Они обязаны обеспечивать обучение своих работников и (или) иных лиц, в обязанности которых входит обеспечение информационной безопасности. Обучение должно осуществляться в Национальном центре не реже одного раза в три года (абз. 2 подп. 3.2 п. 3 Указа N 422).

Кроме того, вышеназванные субъекты обязаны ежегодно до 15 ноября предоставлять Национальному центру информацию о количестве работников и (или) иных лиц, в обязанности которых входит обеспечение информационной безопасности, для повышения их квалификации (абз. 3 подп. 3.2. п. 3 Указа N 422);

2) для операторов (уполномоченных лиц) (абз. 1 ч. 1 подп. 3.3 п. 3 Указа N 422).

Примечание
Под оператором следует понимать госорган, юрлицо Беларуси, иную организацию, физлицо, в том числе ИП, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных.
Под уполномоченным лицом понимается госорган, юрлицо Беларуси, иная организация, физлицо, в том числе ИП, которые в соответствии с актом законодательства, решением госоргана, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах (подстрочное примечание <*> к подп. 3.3 п. 3 Указа N 422).

Операторы (уполномоченные лица) организуют прохождение обучения по вопросам защиты персональных данных для (абз. 1 ч. 1 подп. 3.3 п. 3 Указа N 422):

— лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных;

— лиц, непосредственно осуществляющих обработку персональных данных.

Обучение должно проводиться не реже одного раза в пять лет. Категория лиц, определенная Оперативно-аналитическим центром при Президенте, должна будет проходить обучение в Национальном центре, а остальные — либо в учреждениях образования, либо в других организациях по образовательной программе обучающих курсов, либо у оператора (уполномоченного лица) (ч. 1 подп. 3.3 п. 3 Указа N 422).

Примечание
В настоящий момент Оперативно-аналитическим центром при Президенте не определена категория лиц, которые должны проходить обучение в Национальном центре. Соответствующий документ должен быть принят до 15.11.2021 (абз. 2 подп. 7.2 п. 7 Указа N 422).

Операторы (уполномоченные лица) до 15 декабря 2021 г., а в последующие годы — до 15 ноября предоставляют Национальному центру информацию о количестве лиц, которым необходимо пройти обучение в Национальном центре (ч. 2 подп. 3.3 п. 3 Указа N 422).

Обратите внимание!
Положения Указа N 422, касающиеся обучения, вступают в силу с 15.11.2021 (абз. 2, 5 п. 8 Указа N 422).

2. Дополнены обязанности оператора

Обязанности оператора предусмотрены ст. 16 — 17 Закона о защите персональных данных. В то же время Указ N 422 дополняет их перечень. Так, с 15.11.2021 операторы, являющиеся госорганами, юрлицами Беларуси, иными организациями, должны устанавливать и поддерживать в актуальном состоянии (подп. 3.5 п. 3, абз. 2 п. 8 Указа N 422):

1) перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются;

2) категории персональных данных, подлежащих включению в такие ресурсы (системы):

— общедоступные персональные данные;

— специальные персональные данные (кроме биометрических и генетических персональных данных);

— биометрические и генетические персональные данные;

— персональные данные, не являющиеся общедоступными или специальными;

3) перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами;

4) срок хранения обрабатываемых персональных данных.

Примечание
Полагаем, вышеобозначенные данные можно зафиксировать в локальном нормативном акте. Например, в Политике организации в отношении обработки персональных данных или в ином подобном документе.

Национальным центром будет создан государственный информационный ресурс «Реестр операторов персональных данных» (далее — реестр). С 01.01.2024 операторы будут обязаны вносить в реестр сведения об информационных ресурсах (системах), содержащих персональные данные, а также обеспечивать актуализацию соответствующих сведений (ч. 1 подп. 3.6 п. 3, абз. 3 п. 8 Указа N 422).

Примечание
Виды информационных ресурсов (систем), сведения о которых подлежат внесению в реестр, а также перечень включаемых в него сведений, срок их внесения определит Оперативно-аналитический центр при Президенте (ч. 2 подп. 3.6 п. 3 Указа N 422).

3. Определен порядок контроля за обработкой персональных данных

Контроль за обработкой персональных данных операторами (уполномоченными лицами) будет осуществлять Национальный центр в форме (ч. 1, 4 п. 13 Положения о Национальном центре):

1) плановых проверок. Они будут проводиться в соответствии с планом проверок, ежегодно утверждаемым директором Национального центра и размещаемым на официальном сайте Национального центра не позднее 30 декабря года, предшествующего году проведения проверки;

2) внеплановых проверок, т.е. проводимых без включения в вышеобозначенный план проверок. Они могут быть назначены директором Национального центра при наличии сведений, жалоб субъектов персональных данных, которые свидетельствуют о совершаемом (совершенном) нарушении требований законодательства о персональных данных;

3) камеральных проверок.

Обратите внимание!
При наличии у оператора (уполномоченного лица) положительного заключения Национального центра по итогам добровольного аудита соблюдения требований законодательства о персональных данных, он не подлежит плановым проверкам в течение пяти лет со дня получения соответствующего заключения (ч. 3 п. 13 Положения о Национальном центре).

Если в ходе плановой или неплановой проверки будут выявлены и отражены в акте проверки нарушения законодательства о персональных данных, директор Национального центра вынесет письменное требование (предписание) об устранении выявленных нарушений и (или) приостановлении (прекращении) обработки персональных данных (ч. 1 п. 23 Положения о Национальном центре). Оператор (уполномоченное лицо) должен будет письменно сообщить в Национальный центр о выполнении такого требования (предписания) в сроки, установленные в нем. Кроме того, к письму нужно будет приложить подтверждающие документы (ч. 3 п. 23 Положения о Национальном центре).

Обратите внимание!
Если будет вынесено предписание (требование) о приостановлении (прекращении) обработки персональных данных, оператор (уполномоченное лицо) сможет возобновить их обработку после принятия соответствующего решения директором Национального центра. При этом такое решение будет приниматься в течение 10 рабочих дней после устранения нарушений, послуживших основанием для вынесения письменного требования (предписания). Оператор (уполномоченное лицо) уведомляется в письменной форме в течение двух рабочих дней со дня принятия такого решения (ч. 5 п. 23 Положения о Национальном центре).

Нормы касательно порядка проведения контроля за обработкой персональных данных операторами (уполномоченными лицами) вступают в силу с 15.11.2021 (гл. 4 Положения о Национальном центре; п. 2, абз. 5 п. 8 Указа N 422).

Читайте этот материал в ilex >>*
*по ссылке Вы попадете в платный контент сервиса ilex