Кому нужно зарегистрироваться в Реестре операторов персональных данных

Не позднее 15 января 2024 года операторам персональных данных нужно передать сведения в Реестр операторов персональных данных. А когда информационный ресурс (система) создан после 1 января 2024 г, то информацию для включения в Реестр операторов нужно передать в течение 10 дней после начала работы информационного ресурса (системы). Однако не всем операторам нужно регистрироваться в Реестре операторов персональных данных.

Нужно ли компании подавать сведения в Реестр операторов персональных данных

Оператор персональных данных — это компания (а также физическое лицо), которое обрабатывает персональные данные физических лиц. К персональным данным относится любая информация, с помощью которой можно идентифицировать физическое лицо. Обычно это фамилия, имя, адрес проживания, данные паспорта и др.

Не все операторы обрабатывают персональные данные в таких объемах и такими способами, которые требуются для внесения в Реестр операторов персональных данных. Физическим лицам, в том числе индивидуальным предпринимателям — операторам персональных данных не нужно вносить информацию в Реестр операторов персональных данных.

Чтобы определить, нужно ли вносить информацию в Реестр операторов персональных данных, требуется проанализировать процесс обработки персональных данных в компании на соответствие приведенному ниже перечню критериев.

Вносить информацию в Реестр операторов персональных данных нужно, когда:

1. Компания является собственником (владельцем) информационной системы (ресурса), содержащего персональные данные. Информационная система – это совокупность банков данных, информационных технологий и комплекса (комплексов) программно-технических средств; информационный ресурс –  это организованная совокупность документированной информации, включающая базы данных, другие совокупности взаимосвязанной информации в информационных системах.
2. Компания осуществляет трансграничную передачу персональных данных при условии, что в иностранном государстве не обеспечивается должный уровень защиты прав субъектов персональных данных. Для определения этого критерия можно пользоваться перечнем государств, где обеспечивается надлежащий уровень защиты прав субъектов персональных данных. В перечне таких государств 57 позиций, включая Грузию, Литву, Латвию, Украину, Болгарию, Бельгию, Германию, Польшу и др.
3. Компания обрабатывает биометрические, генетические персональные данные. К биометрическим персональным данным относятся в частности, отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др. К генетическим персональным данным относятся наследуемые или приобретенные генетические характеристики человека. Это уникальные сведения о физиологии, здоровье, которые собирают в частности, при исследовании биологических образцов.
4. Компания обрабатывает персональные данные более 100 тысяч физических лиц.
5. Компания обрабатывает персональные данные более 10 тысяч физических лиц, которые не достигли возраста 16 лет.

Когда компания владеет или является собственником информационного ресурса (системы) и обработка персональных данных соответствует одному или нескольким критериям из перечня, нужно подать сведения для внесения в Реестр операторов персональных данных. Количество физических лиц, персональные данные которых обрабатывает компания, определяют на дату внесения сведений в Реестр операторов персональных данных.

Какие сведения нужно подать для внесения в Реестр операторов персональных данных

Когда компания определила, что соответствует критериям для подачи сведений в Реестр операторов персональных данных, нужно подготовить следующие сведения:

• Об информационном ресурсе (системе): название информационного ресурса (системы), где находятся системы хранения данных и северное оборудование. Если есть — название информационной системы, в которую входит ресурс.
• Цели и правовые основания обработки персональных данных и сроки их хранения.
• Перечень государств, на территорию которых передаются специальные персональные данные и где не обеспечивается их должный уровень защиты.
• Статистику: количество персональных данных, которые обрабатываются на момент внесения информации в Реестр операторов персональных данных.
• Сведения об уполномоченных лицах, когда они от имени оператора или в его интересах обрабатывают персональные данные: название или фамилия, имя, отчество, место нахождения, регистрационный номер в Едином государственном реестре, если есть.
• О руководителе структурного подразделения или сотруднике, который отвечает за внутренний контроль за обработкой персональных данных в компании: фамилия, имя, отчество, должность и контакты.

Эти сведения потребуется указать в письме-заявке о внесении сведений в Реестр операторов персональных данных. Письмо может направить не только компания — оператор персональных данных. От имени оператора сведения может передать уполномоченное лицо.

Как направить сведения для включения в Реестр операторов персональных данных

Сведения для включения в Реестр операторов персональных данных можно направить одним из способов:

• В электронном виде. Для этого нужно зарегистрировать личный кабинет пользователя и аутентификацию через Государственную систему управления открытыми ключами проверки электронной цифровой подписи Республики Беларусь (ГосСУОК), Единую систему идентификации физических и юридических лиц (ЕС ИФЮЛ) с использованием электронной цифровой подписи.
• В письменном виде по почте.
• С помощью системы межведомственного документооборота.

Когда нужно подавать обновленную информацию для включения в Реестр операторов персональных данных

Когда изменяются сведения, которые компания указала в письме-заявке для внесения сведений в Реестр операторов персональных данных, нужно обновлять информацию в Реестре. Для этого в течение 10 дней после изменения нужно направить обновленную информацию для включения в Реестр оператор персональных данных. Например, это нужно делать, когда меняется сотрудник, ответственный за внутренний контроль при обработке персональных данных или его должность, контакты.

Чем мы можем быть полезны при определении необходимости внесения информации в Реестр операторов персональных данных и взаимодействии с Реестром

Наши адвокаты и юристы — опытные специалисты в сфере персональных данных. Мы можем:

• Проконсультировать вас по вопросам необходимости внесения сведений в Реестр операторов персональных данных;
• Провести аудит процессов обработки персональных данных для определения необходимости внесения сведений в Реестр операторов персональных данных;
• Представить ваши интересы при взаимодействии с Реестром операторов персональных данных.

Свяжитесь с нами

Если у Вас возникли вопросы в сфере внесения информации в Реестр операторов персональных данных — мы будем рады Вам помочь!
Для вашего удобства доступны варианты связи по телефону и электронной почте:

• +375293664477 (WhatsApp/Telegram/Viber);
• info@ambylegal.by.