Реестр операторов персональных данных

Реестр операторов персональных данных (Реестр) – информационный ресурс, созданный НЦЗПД для систематизации сведений об информационных системах и ресурсах операторов, которые содержат персональные данные (ПД). По сути Реестр – тот ресурс, который позволяет НЦЗПД учитывать и контролировать информ.системы и ресурсы (далее – ИС), содержащие особо чувствительную информацию о физлицах. Реестр начал свою работу в начале 2024 года, на сегодняшний день в него включено более 500 операторов со всей Беларуси. Сферы деятельности включенных компаний абсолютно разные: здравоохранение, ритейл, финансы, спорт, туризм, перевозка пассажиров, общепит и другие. Такое разнообразие в очередной раз подтверждает, что ПД циркулируют во всех сферах нашей жизни.

Когда необходимо включаться в Реестр?

Не всем организациям необходимо быть в Реестре только по той причине, что они обрабатывают ПД. Соответственно и не каждая ИС компании подлежит такому включению.

Критерии, по которым ИС подлежит включению (важно: достаточно наличия 1 из всех перечисленных):

1. Через ИС происходит трансграничная передача специальных ПД в другое государство, где нет необходимой защиты ПД.

К специальным ПД относят:

Небезопасные страны – не являющиеся участницами Конвенции Совета Европы о защите физлиц при автоматизированной обработке ПД и не входящие в состав ЕАЭС. К примеру: Бангладеш, Канада, Сингапур, США, Египет, Чили, Венесуэла, Боливия и другие.

При осуществлении такой трансграничной передачей существуют исключения, когда даже с подходящим критерием в Реестр входить не обязательно:

– передача ПД осуществляется с целью защиты жизни и здоровья человека, а получение его согласия невозможно. Самый простой пример – человек без сознания в больнице, нет возможности с ним пообщаться, но передать его ПД крайне важно для спасения жизни;

– обмен ПД осуществляется на основании международного договора;

– орган финмониторинга осуществляет обмен ПД с целью предупреждения и предотвращения преступлений против общественной безопасности. Для борьбы с преступностью есть возможность взаимодействия с иностранными органами/организациями для передачи им/получения от них значимой информации.

– получено разрешение у НЦЗПД.

2. Через ИС обрабатываются генетические и/или биометрические ПД.

Генетические ПД – генетические данные о человеке, переданные ему по наследству или приобретенные в процессе жизни, которые включают уникальные данные об его физиологии либо здоровье.

Биометрические ПД – данные, содержащие уникальные физиологические и биологические особенности человека (форма ладоней, сетчатка/радужка и иное).

Например, в компании на входе есть устройство распознавания лиц, куда занесены биометрические данные работников (изображение лица либо отпечаток пальца) и такое устройство автоматически распознает личность работника, то компания осуществляет обработку биометрических ПД и ей необходимо включиться в Реестр.

3. Через ИС обрабатываются ПД > 100 тыс. физлиц.

4. Через ИС обрабатываются ПД > 10 тыс. физлиц возрастом до 16 лет.

Порядок включения в Реестр

Сведения в Реестр включатся в течение десяти раб.дней с момента ввода новой ИС в постоянную эксплуатацию.

Включиться в Реестр довольно просто – достаточно подать заявку через личный кабинет. Сам Реестр доступен по адресу: https://register.cpd.by.

Заявка должна содержать следующую информацию:

• наименование ИС;
• местонахождение оборудования, где размещена ИС;
• сведения о компании-операторе;
• сведения о лице/отделе, осуществляющем внутренний контроль;
• основания включения в Реестр;
• количество физлиц, чьи ПД находятся в ИС;
• основания и цели обработки ПД;
• сколько хранятся ПД.

Важно отслеживать актуальность внесенных данных об ИС, появление оснований для исключения ИС. Соответствующие сведения подаются в течение 10 рабочих дней с момента возникновения тех или иных изменений.

Юристы Грин Лигал проконсультируют вас по всем вопросам в сфере персональных данных и помогут в разработке всех необходимых документов.