Регулирование в сфере защиты персональных данных: что появилось в Беларуси за этот год?

29.12.2021

Ещё год назад в Беларуси не было единого документа, который бы системно регулировал работу с персональными данными. Отдельные вопросы в сфере защиты персональных данных затрагивались в Законе «Об информации, информатизации и защите информации», Законе «О регистре населения» и иных актах. Однако за 2021 год ситуация кардинально поменялась. Что же изменилось в сфере защиты персональных данных, читайте в материале наших юристов Алены Поторской и Ольги Опимах.

Закон о защите персональных данных

Первым консолидированным документом в сфере защиты персональных данных стал Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (Закон). Он вступил в силу 15 ноября 2021 г. и закрепил:

• Основные термины и дефиниции, в том числе определения персональных данных, субъектов, обрабатывающих персональные данные (оператор, уполномоченное лицо), отдельных категорий персональных данных;
• Принципы обработки персональных данных;
• Правовые основания обработки;
• Порядок обработки персональных данных по поручению;
• Правила трансграничной передачи персональных данных;
• Права субъектов персональных данных и механизм их реализации;
• Меры по защите персональных данных;
• Возможность создания уполномоченного органа по защите прав субъектов персональных данных;
• Ответственность за нарушение Закона.

Ознакомиться с нашим обзором Закона можно по ссылке.

Указ Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных» (Указ № 422).

В развитие норм Закона 28 октября был подписан Указ № 422, который предусмотрел создание Национального центра защиты персональных данных (НЦЗПД) и определил его правовой статус, основные права, задачи, функции и полномочия.

Помимо создания НЦЗПД как уполномоченного органа по защите прав субъектов персональных данных Указ № 422 закрепил новые обязанности для операторов, детализировал вопросы прохождения обучения в сфере защиты персональных данных, зафиксировал порядок проведения проверок соблюдения законодательства о защите персональных данных.

Подробнее про новшества, введенные Указом № 422, читайте в нашем материале по ссылке.

Приказы Оперативно-аналитического центра при Президенте

В соответствии с Указом №422 Оперативно-аналитическим центром (ОАЦ) был конкретизирован порядок прохождения обучения по вопросам защиты персональных данных. В частности, согласно Приказу ОАЦ от 12 ноября 2021 г. № 194 «Об обучении по вопросам защиты персональных данных» (Приказ №194) соответствующее обучение в НЦПЗД должны проходить лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, выполняющие эти функции:

• в банках и НКФО;
• в страховых организациях;
• у операторов электросвязи (за исключением индивидуальных предпринимателей);
• в республиканской и территориальной организации по госрегистрации недвижимого имущества, прав на него и сделок с ним;
• в Белорусской нотариальной палате, областных (Минской городской) нотариальных палатах;
• в риелторских организациях;
• в организациях здравоохранения;
• в местных исполнительных и распорядительных органах (за исключением сельских (поселковых) исполкомов), их структурных подразделениях с правами юрлица;
• у операторов (уполномоченных лиц), организующих и (или) осуществляющих обработку персональных данных не менее 10 тыс. физических лиц. При этом в это число не входят персональные данные работников этих операторов (уполномоченных лиц), собранные в процессе осуществления трудовой (служебной) деятельности.

Параллельно с принятием Приказа №194 по вопросам прохождения обучения ОАЦ были внесены изменения в порядок осуществления защиты персональных данных. На сегодняшний день техническая и криптографическая защита персональных данных должна осуществляться в соответствии с Приказом ОАЦ № 66 в редакции Приказа от 12 ноября 2021 г. № 195. Данный документ устанавливает, среди прочего, новую классификацию типовых информационных систем, включая системы, содержащие персональные данные, а также требования к владельцам информационных систем, собирающих и обрабатывающих персональные данные.

Приказы НЦЗПД

Вскоре после создания НЦЗПД были приняты первые приказы директора НЦЗПД от 15 ноября 2021 г.:

Приказом № 12 «О классификации информационных ресурсов (систем)» было введено деление информационных ресурсов (систем) на 4 категории: 

1. содержащие общедоступные персональные данные;
2. содержащие специальные персональные данные (кроме биометрических и генетических персональных данных);
3. содержащие биометрические и генетические персональные данные;
4. содержащие персональные данные, не являющиеся общедоступными или специальными.

Такое деление было предложено с целью определения предъявляемых требований технической и криптографической защиты к информационным ресурсам (системам).

Приказом № 13 «Об уведомлении о нарушениях систем защиты персональных данных» был закреплен порядок и сроки уведомления НЦПЗД о нарушениях систем защиты персональных данных. Более того, в данном приказе предусмотрены случаи, когда такое уведомление не требуется – в частности, если нарушение систем защиты не привело к:

• незаконному распространению, предоставлению персональных данных;
• изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.

Приказом № 14 «О трансграничной передаче персональных данных» были установлены: 

• перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, то есть на передачу персональных данных, в которые не требуется получать согласие субъекта, разрешение уполномоченного органа или искать иное правовое основание для такой передачи. В перечень стран с надлежащим уровнем защиты вошли государства-стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28 января 1981 г. На сегодняшний день это 55 стран, актуальный список которых доступен по ссылке. 
• порядок выдачи разрешения на трансграничную передачу персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных.

В начале декабря 2021 года НЦЗПД также опубликовал Рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных. 

В этом году в Беларуси была заложена основа национального правового регулирования в сфере защиты персональных данных. Мы уверены, что в наступающем 2022 году тема персональных данных продолжит активно развиваться и найдёт отражение в новых законодательных актах. Команда REVERA будет и дальше стараться держать вас в курсе нововведений и помогать разбираться с требованиями законодательства в сфере защиты персональных данных.