Указ
Президента Республики Беларусь
28 октября 2021 г. № 422
О мерах по совершенствованию
защиты персональных данных
(Извлечение)
В целях обеспечения защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных постановляю:
- Создать Национальный центр защиты персональных данных Республики Беларусь (далее, если не определено иное, - Национальный центр защиты персональных данных).
- Утвердить Положение о Национальном центре защиты персональных данных (прилагается).
- Установить, что:
3.1. Национальный центр защиты персональных данных имеет право реализовывать образовательную программу повышения квалификации руководящих работников и специалистов, в том числе по вопросам технической и (или) криптографической защиты информации, защиты персональных данных;
3.2. собственники (владельцы) информационных систем[*] и владельцы критически важных объектов информатизации, а также организации, осуществляющие лицензируемую деятельность по технической и (или) криптографической защите информации, обеспечивают:
обучение в Национальном центре защиты персональных данных не реже одного раза в три года своих работников и (или) иных лиц, в обязанности которых входит обеспечение информационной безопасности, по образовательной программе повышения квалификации руководящих работников и специалистов по вопросам технической и (или) криптографической защиты информации; ежегодное до 15 ноября представление Национальному центру защиты персональных данных информации о количестве работников и (или) иных лиц, в обязанности которых входит обеспечение информационной безопасности, для повышения их квалификации;
2
3.3. операторы (уполномоченные лица)'1'' организуют не реже одного раза в пять лет прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных, в том числе:
категориями лиц, определенными Оперативно-аналитическим центром при Президенте Республики Беларусь, - в Национальном центре защиты персональных данных по образовательной программе повышения квалификации руководящих работников и специалистов;
иными лицами:
в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов, по образовательной программе повышения квалификации руководящих работников и специалистов; в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);
у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).
Операторы (уполномоченные лица) до 15 декабря 2021 г.,
а в последующие годы - до 15 ноября обеспечивают представление Национальному центру защиты персональных данных информации о количестве лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которым необходимо пройти обучение в Национальном центре защиты персональных данных;
3.4. финансирование мероприятий по обучению, предусмотренных в подпунктах 3.2 и 3.3 настоящего пункта, осуществляется в отношении:
лиц, оплата труда которых осуществляется за счет бюджетных средств, - в пределах средств, предусмотренных в республиканском или соответствующем местном бюджете на содержание государственных органов и иных государственных организаций;
иных лиц - за счет доходов, полученных от осуществления хозяйственной деятельности, а также других источников, не запрещенных законодательством;
3.5. операторы, являющиеся государственными органами, юридическими лицами Республики Беларусь, иными организациями, устанавливают и поддерживают в актуальном состоянии:
а) перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются;
б) категории персональных данных, подлежащих включению в такие ресурсы (системы):
общедоступные персональные данные;
специальные персональные данные (кроме биометрических и генетических персональных данных);
биометрические и генетические персональные данные;
персональные данные, не являющиеся общедоступными или специальными;
в) перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами;
г) срок хранения обрабатываемых персональных данных;
3.6. операторы обязаны вносить в создаваемый Национальным центром защиты персональных данных государственный информационный ресурс ’Теестр операторов персональных данных44 (далее - реестр) сведения об информационных ресурсах (системах), содержащих персональные данные, а также обеспечивать актуализацию соответствующих сведений.
Виды информационных ресурсов (систем), сведения о которых подлежат внесению в реестр, а также перечень включаемых в него сведений и срок их внесения в реестр определяются Оперативноаналитическим центром при Президенте Республики Беларусь.
Владельцем и оператором реестра является Национальный центр защиты персональных данных.
Финансирование расходов на создание и функционирование реестра осуществляется за счет:
средств республиканского бюджета, предусматриваемых Оперативноаналитическому центру при Президенте Республики Беларусь на содержание Национального центра защиты персональных данных;
иных источников, не запрещенных законодательством;
3.7. для служебного пользования;
3.8. для служебного пользования;
3.9. работы (услуги) по созданию, эксплуатации и развитию информационных ресурсов (систем), создаваемых (функционирующих) в целях реализации функций, возложенных на Национальный центр защиты персональных данных, могут выполняться (оказываться) без их включения в государственные программы в сфере цифрового развития.
- Положения настоящего Указа не распространяются на отношения, касающиеся обработки персональных данных, отнесенных в установленном порядке к государственным секретам.
- Внести изменения в указы Президента Республики Беларусь (приложение).
- Совету Министров Республики Беларусь:
при уточнении отдельных показателей республиканского бюджета на 2021 год учесть дополнительные средства на финансирование Национального центра защиты персональных данных в соответствии с подпунктом 3.8 пункта 3 настоящего Указа;
при формировании проекта республиканского бюджета на 2022 год и последующие годы в установленном порядке предусматривать Оперативноаналитическому центру при Президенте Республики Беларусь средства на содержание Национального центра защиты персональных данных;
до 15 ноября 2021 г. обеспечить приведение актов законодательства в соответствие с настоящим Указом и принятие иных мер по его реализации.
- Оперативно-аналитическому центру при Президенте Республики Беларусь:
7.1. до 15 ноября 2021 г. обеспечить предоставление Национальному центру защиты персональных данных необходимых для осуществления его деятельности административных помещений, оборудования и иного имущества ;
7.2. определить:
до 15 ноября 2021 г. категории лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которые обязаны проходить обучение в Национальном центре защиты персональных данных;
до 1 августа 2022 г. виды информационных ресурсов (систем), сведения о которых подлежат внесению в реестр, а также перечень включаемых в него сведений и сроки их внесения в реестр.
- Настоящий Указ вступает в силу в следующем порядке:
подпункты 3.3 и 3.5 пункта 3 - с 15 ноября 2021 г.;
подпункт 3.6 пункта 3 - с 1 января 2024 г.;
пункты 6, 7 и настоящий пункт - после официального опубликования настоящего Указа;
иные положения данного Указа - через пятнадцать дней после его официального опубликования.
А.Лукашенко
Приложение
к Указу Президента Республики Беларусь
28.10.2021 № 422
ПЕРЕЧЕНЬ
изменений, вносимых в указы Президента Республики Беларусь
- Единый правовой классификатор Республики Беларусь, утвержденный Указом Президента Республики Беларусь от 4 января 1999 г. № 1, после позиции 10.03.08.04 дополнить позицией следующего содержания:
”10.03.08.05 Персональные данные и их защита44.
- Перечень должностей руководящих работников государственных органов и иных организаций, включаемых в кадровый реестр Главы государства Республики Беларусь, утвержденный Указом Президента Республики Беларусь от 8 ноября 2001 г. №644, дополнить абзацем следующего содержания:
”Директор Национального центра защиты персональных данных44.
- Порядок назначения (утверждения, освобождения) и согласования назначения (освобождения) Президентом Республики Беларусь на некоторые должности, включенные в кадровый реестр Главы государства Республики Беларусь, утвержденный Указом Президента Республики Беларусь от 8 ноября 2001 г. № 645, дополнить пунктом 152 следующего содержания: ”152. Директор Нацио- начальник Опе- Президент -
нального центра ративно-анали- Республики
защиты персоналъ- тического цент- Беларусь
ных данных ра при Прези
денте Респуб
лики Беларусь
- Приложение 7 к Положению о порядке выдачи и использования служебных удостоверений в государственных органах (организациях), утвержденному Указом Президента Республики Беларусь от 18 марта
2008 г. № 159, дополнить позицией следующего содержания:
Национальный центр защиты персональных данных44.
[*] Указанных в части первой пункта 3 Положения о технической и криптографической защите информации, утвержденного Указом Президента Республики Беларусь от 16 апреля 2013 г. №196.
* Для целей настоящего Указа:
под оператором понимается государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
под уполномоченным лицом понимается государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах.