Рубрики
Инструменты поиска
Сообщество
Избранное
Мой профиль
Войти
Материал помещен в архив
Создан Национальный центр защиты персональных данных.
Комментарий к Указу от 28.10.2021 № 422
12.11.2021
В развитие норм Закона от 07.05.2021 № 99-З «О защите персональных данных»
Указом № 422:
 |
Обратите внимание! Положения Указа № 422 не распространяются на отношения, касающиеся обработки персональных данных, отнесенных к государственным секретам. |
Определен правовой статус Национального центра
Национальный центр защиты персональных данных (далее - Национальный центр) является уполномоченным органом по защите прав субъектов персональных данных.
Указом № 422 утверждено Положение о Национальном центре защиты персональных данных, в котором закреплены полномочия этого органа, вытекающие из Закона № 99-З.
Национальный центр является юридическим лицом, создается и действует в форме государственного учреждения, имеет самостоятельный баланс, текущий (расчетный) и иные счета в банках, в том числе в иностранной валюте, печать и бланк с изображением Государственного герба Республики Беларусь и со своим наименованием, другие необходимые для осуществления своей деятельности печати, штампы и бланки, а также собственную символику.
Учредителем Национального центра и государственным органом, осуществляющим от имени Республики Беларусь права собственника имущества этого учреждения, является Оперативно-аналитический центр при Президенте Республики Беларусь (ОАЦ) (п.4 Положения № 422).
Определен порядок назначения руководителя Национального центра
Уполномоченные органы по защите прав субъектов персональных данных действуют с полной независимостью и беспристрастностью при исполнении своих обязанностей и осуществлении своих полномочий (Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981 ETS № 108).
Кроме того, Национальный центр действует независимо на основе Закона № 99-З и иных актов законодательства. Не допускается возложение на Национальный центр функций, которые несовместимы с функциями по защите прав субъектов персональных данных.
Таким образом, порядок назначения Президентом директора Национального центра (п.10 Положения № 422) направлен на обеспечение независимости Национального центра от иных государственных органов и создание необходимых условий для осуществления возлагаемых на него задач и функций.
Закреплено право Национального центра оказывать образовательные услуги
Указом № 422 предусмотрено право Национального центра на осуществление приносящей доходы образовательной деятельности, что должно создать условия для реализации возлагаемых на него функций.
Указанные средства будут расходоваться на оплату труда работников, финансируемых за счет бюджета, численность которых незначительна по отношению к числу лиц, подпадающих под действие законодательства о персональных данных, иные постоянные и условно постоянные расходы (коммунальные платежи и т. п.).
Так, Национальному центру предоставляется право осуществлять повышение квалификации работников и (или) иных лиц, в обязанности которых входит обеспечение информационной безопасности по вопросам технической и (или) криптографической защиты информации (подп.3.1 п.3 Указа № 422).
 |
Справочно В настоящее время такая функция осуществляется РУП «Национальный центр обмена трафиком», входящим в систему ОАЦ, в соответствии с постановлением Совмина от 03.04.2020 № 204 «О повышении квалификации по вопросам технической и (или) криптографической защиты». |
В свою очередь, одна из мер по обеспечению защиты персональных данных в соответствии с Законом № 99-З - обязанность лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, пройти обучение в порядке, установленном законодательством (см. в следующем разделе).
Такой подход позволяет создать гибкую модель обучения названных лиц.
Применительно к наиболее важным информационным ресурсам и системам соответствующее обучение будет организовано на базе Национального центра. При этом конкретные категории лиц, которые будут проходить обучение на его базе определяет ОАЦ.
В отношении иных категорий лиц конкретные формы обучения будет определять сам оператор (уполномоченное лицо), что в полной мере соответствует Закону № 99-З, согласно которому оператор (уполномоченное лицо) определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований Закона № 99-З и иных актов законодательства (п.2 ст.17 Закона № 99-З).
|
|
Справочно Оператор - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, - физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных (абз.8 ст.1 Закона № 99-З). |
Предусмотрена необходимость обучения в сфере защиты персональных данных
Указом № 422 введена обязанность:
• собственников (владельцев) информационных систем и владельцев критически важных объектов информатизации, указанных в ч.1 п.3 Положения о технической и криптографической защите информации, утв. Указом от 16.04.2013 № 196, а также организаций, осуществляющих подлежащую лицензированию деятельность по технической и (или) криптографической защите информации (по установленному перечню работ и услуг), обеспечивать на базе Национального центра не реже одного раза в 3 года повышение квалификации своих работников и (или) иных лиц, в обязанности которых входит обеспечение информационной безопасности по вопросам технической и (или) криптографической защиты информации (подп.3.2 п.3 Указа № 422);
• операторов (уполномоченных лиц) организовывать прохождение лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных, не реже одного раза в 5 лет обучения по вопросам защиты персональных данных на базе:
- Национального центра по образовательной программе повышения квалификации руководящих работников и специалистов - в отношении категорий лиц, определенных ОАЦ;
- иных организаций посредством освоения содержания образовательных программ повышения квалификации руководящих работников и специалистов или образовательных программ обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов) либо на базе оператора (уполномоченного лица) посредством организации им изучения установленных требований в области защиты персональных данных и проверки знаний по вопросам защиты персональных данных (в виде собеседования, опроса, тестирования и других форм контроля знаний) - в отношении иных лиц (ч.1 подп.3.3 п.3 Указа № 422).
|
|
Справочно Оператор - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных. Уполномоченное лицо - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах (примечание к подп.3.3 п.3 Указа № 422). |
Порядок финансирования мероприятий по обучению определен в подп.3.4 п.3 Указа № 422.
Определены обязанности операторов
Операторы - государственные органы, юридические лица Республики Беларусь, иные организации - в целях надлежащей защиты обрабатываемых ими персональных данных обязаны устанавливать и поддерживать в актуальном состоянии:
• перечни информационных ресурсов (систем), содержащих персональные данные, владельцами которых они являются;
• категории персональных данных, подлежащих включению в такие ресурсы (системы);
• перечни уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами;
• срок хранения обрабатываемых персональных данных (подп.3.5 п.3 Указа № 422).
Операторы обязаны вносить в создаваемый Национальным центром государственный информационный ресурс «Реестр операторов персональных данных»
Предусмотрено создание реестра операторов персональных данных
До принятия Закона № 99-З в республике отсутствовал централизованный учет операторов, обрабатывающих персональные данные, а также используемых для указанных целей информационных ресурсов (систем). Это затрудняло принятие мер по обеспечению защиты персональных данных, планирование контрольных мероприятий.
Вместе с тем практически во всем мире важный элемент системы защиты персональных данных - создание специальных информационных ресурсов, в которые включается информация об обработке персональных данных (указание оператора, категорий персональных данных и др.).
|
|
Справочно В Российской Федерации ведется реестр операторов. При этом сведения, содержащиеся нем, общедоступны. Схожие реестры действуют в Молдове, Армении, Украине и других странах. |
В этой связи Указом № 422 предусмотрено создание реестра и введена обязанность операторов вносить в него соответствующие сведения (ч.2-4 подп.3.6 п.3).
|
|
Обратите внимание! За невыполнение обязанности по внесению сведений в реестр предусмотрена ответственность ст.24.11 КоАП. |
В реестр планируется включать сведения об операторах, которые будут работать с персональными данными, обработка которых несет особые риски (в частности, обработка больших массивов персональных данных, специальных персональных данных, идентификационного номера, применение технологии искусственного интеллекта и др.).
Конкретные виды информационных ресурсов (систем), сведения о которых подлежат внесению в реестр, перечень включаемых в него сведений, а также сроки внесения сведений будут определяться ОАЦ.
С учетом значительного объема подготовительной работы по созданию соответствующего ресурса установлено, что такой реестр начнет функционировать с 1 января 2024 г.
Финансирование расходов на создание и функционирование реестра будет осуществляться за счет средств республиканского бюджета, выделенных на содержание Национального центра, и иных источников в соответствии с законодательством.
Контрольные функции в сфере защиты персональных данных переданы Национальному центру
Из сферы действия Указа от 16.10.2009 № 510 «О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь» исключен контроль за обработкой персональных данных операторами (уполномоченными лицами). Теперь это одна из функций Национального центра (абз.2 п.7 Положения № 422).
Общий порядок проведения проверок установлен Указом № 510, в соответствии с которым под проверяемыми субъектами понимаются организации, их обособленные подразделения, имеющие учетный номер плательщика, представительства иностранных организаций, ИП, нотариусы, а также лица, осуществляющие адвокатскую деятельность индивидуально, ремесленную деятельность, деятельность в сфере агроэкотуризма, временные (антикризисные) управляющие, не являющиеся юридическими лицами или ИП.
Вместе с тем операторами могут быть в том числе физические лица (граждане), в отношении которых также должен осуществляться контроль при обработке ими персональных данных (абз.8 ст.1 Закона № 99-З).
Кроме того, Указ № 510 не распространяется на контроль за технической и криптографической защитой информации в государственных органах и иных организациях, являющихся собственниками (владельцами) объектов, на которых такая защита является обязательной в соответствии с законодательными актами (абз.4 ч.1 п.23 Указа № 510).
В то же время одна из обязательных мер по защите персональных данных (п.3 ст.17 Закона № 99-З) - осуществление технической и криптографической защиты персональных данных в порядке, установленном ОАЦ, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
Кроме того, объективно сложно применять установленную методику оценки степени риска для целей назначения выборочных проверок в соответствии с Указом № 510 в отношении лиц, обрабатывающих персональные данные, поскольку до издания Указа № 422 не учитывались количество операторов, обрабатывающих персональные данные, виды информационных ресурсов (систем), в которых обрабатываются персональные данные, категории персональных данных, включаемых в такие ресурсы (системы), и др.
Учитывая изложенное, а также принимая во внимание тесную связь проверок соблюдения операторами (уполномоченными лицами) законодательства о персональных данных с вопросами технической и криптографической защиты персональных данных, что в том числе может выражаться в проведении совместных проверок по этим вопросам, из сферы действия Указа № 510 исключен контроль за обработкой персональных данных операторами (уполномоченными лицами).
Порядок проведения контроля за названной сферой установлен в гл.4 Положения № 422, во многом он схож с порядком осуществления контроля за технической и криптографической защитой информации.
|
|
Справочно В России Федеральный закон от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» не применяется к осуществлению государственного контроля и надзора за обработкой персональных данных. В Украине порядок проведения проверок законодательства о защите персональных данных утвержден приказом Уполномоченного Верховной Рады Украины по правам человека от 08.01.2014 № 1/02-14. |
 |
Дополнительно по теме • Новые подходы к защите персональных данных с 15 ноября 2021 года. Комментарий к Закону от 07.05.2021 № 99-З «О защите персональных данных». • Персональные данные: что нужно знать с 15 ноября 2021 года. |