ПРИКАЗ
Национального центра
защиты персональных данных
Республики Беларусь
15 ноября 2021 г. № 14
О трансграничной передаче персональных данных
На основании абзацев пятого и шестого пункта 3 статьи 18 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон), абзацев четвертого и пятого пункта 7 Положения о Национальном центре защиты персональных данных Республики Беларусь, утвержденного Указом Президента Республики Беларусь от 28 октября 2021 г. № 422, ПРИКАЗЫВАЮ:
1. Установить, что в перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, включаются иностранные государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28 января 1981 года.
2. Утвердить Положение о порядке выдачи разрешения на трансграничную передачу персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных (прилагается).
Директор А.А.Гаев
УТВЕРЖДЕНО
приказ директора
Национального центра защиты персональных данных
15.11.2021 № 14
ПОЛОЖЕНИЕ
о порядке выдачи разрешения на трансграничную передачу персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящее Положение определяет порядок выдачи разрешения натрансграничную передачу персональных данных, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных (далее – разрешение).
2. Для целей настоящего Положения используются термины взначениях, установленных Законом, а также следующие термины и их определения:
заявитель – международная организация, государственный орган, юридическое лицо, иная организация или физическое лицо, которые обратились в Национальный центр защиты персональных данных с заявлением о выдаче разрешения;
получатель персональных данных – международная организация, государственный орган, юридическое лицо, иная организация или физическое лицо, находящиеся на территории иностранного государства, которым заявитель предоставляет персональные данные.
3. Получение разрешения не требуется в случаях, установленных абзацами вторым – седьмым пункта 1 статьи 9 Закона.
ГЛАВА 2
ПОРЯДОК ПОДАЧИ ЗАЯВЛЕНИЯ
4. Для получения разрешения заявитель лично или через своих представителей подает в Национальный центр защиты персональных данных в письменном виде или в виде электронного документа заявление иприлагает к нему проект договора, которым оформляется трансграничная передача персональных данных, согласованный заявителем и получателем персональных данных, на дату, предшествующую дате подачи заявления, либо иной документ, в соответствии с которым предполагается осуществлять передачу персональных данных.
Заявитель может представить и иные документы, подтверждающие гарантии соблюдения прав субъектов персональных данных в иностранном государстве.
К заявлению, подаваемому представителем заявителя, прилагается документ, подтверждающий его полномочия (доверенность, решение суда, иные документы), — для письменного заявления, электронная копия документа, подтверждающего его полномочия, – для заявления, подаваемого в виде электронного документа.
5. Заявление должно содержать:
5.1. наименование организации, в которую подается заявление;
5.2. сведения о заявителе:
наименование юридического лица (иной организации) и его (ее) место нахождения либо фамилию, собственное имя, отчество (если таковое имеется) физического лица (индивидуального предпринимателя) и адрес его места жительства (места пребывания);
фамилию, собственное имя, отчество (если таковое имеется) руководителя заявителя или уполномоченного представителя заявителя, его подпись (в случае подачи заявления в письменном виде) или цифровую подпись (в случае подачи заявления в виде электронного документа);
лицо (структурное подразделение), ответственное за осуществление внутреннего контроля за обработкой персональных данных, и его контактные данные (фамилия, собственное имя, отчество (если таковое имеется)), занимаемая должность, номер контактного телефона, адрес электронной почты (при его наличии);
5.3. сведения о получателе персональных данных:
наименование юридического лица (иной организации) и его (ее) место нахождения либо фамилию, собственное имя, отчество (если таковое имеется) физического лица (индивидуального предпринимателя) и адрес его места жительства (места пребывания);
5.4. сведения, относящиеся к передаче персональных данных:
цели обработки получателем;
категории обрабатываемых персональных данных;
срок хранения получателем персональных данных;
возможные способы защиты прав субъектов персональных данных в случае их нарушения.
ГЛАВА 3
ПОРЯДОК РАССМОТРЕНИЯ ЗАЯВЛЕНИЯ
6. Заявление рассматривается в течение тридцати дней со дня регистрации.
7. В ходе рассмотрения заявления и прилагаемых к нему документов изучается информация об уровне защиты прав субъектов персональных данных на территории иностранного государства.
Разрешение выдается при условии обеспечения защиты прав субъектов персональных данных на уровне не ниже, чем это предусмотрено законодательством Республики Беларусь.
При рассмотрении заявления Национальный центр защиты персональных данных вправе изучать и иные, не указанные заявителем обстоятельства и условия передачи, в том числе общие и отраслевые нормы права, применяемые в соответствующем государстве или юридическим лицом (иной организацией), а также действующие там профессиональные правила, информацию о правоприменительной практике в сфере обработки персональных данных.
8. Национальный центр защиты персональных данных вправе направить в адрес заявителя, получателя персональных данных, уполномоченного органа по защите персональных данных иностранного государства, на территорию которого передаются персональные данные, запрос о представлении документов и (или) сведений, необходимых дляпринятия решения о выдаче (отказе в выдаче) разрешения. В этом случае течение срока, указанного в пункте 6 настоящего Положения, приостанавливается со дня направления запроса до получения ответа.
9. Если в процессе рассмотрения заявления Национальный центр защиты персональных данных придет к выводу о возможности трансграничной передачи персональных данных в соответствии сположениями абзацев второго — седьмого пункта 1 статьи 9 Закона, то заявитель информируется о наличии иных оснований для трансграничной передачи.
10. После получения разрешения не допускается внесение изменений в проект договора либо в иной документ, в соответствии с которым предполагается осуществлять передачу персональных данных, в части изменения целей обработки, категорий обрабатываемых персональных данных, срока хранения получателем персональных данных.
Изменение этих сведений после подписания договора подлежит согласованию с Национальным центром защиты персональных данных в порядке, предусмотренном для выдачи разрешения.
11. Национальный центр защиты персональных данных отказывает в выдаче разрешения:
в случаях ликвидации (прекращения деятельности), смерти заявителя, получателя персональных данных;
если заявитель обрабатывает персональные данные в нарушение требований Закона;
если представленные заявителем документы и (или) сведения не позволяют сделать вывод о надлежащей защите прав субъектов персональных данных, в том числе когда правовые, организационные и технические меры, принимаемые получателем персональных данных, не являются достаточными для обеспечения защиты прав субъектов персональных данных на уровне не ниже, чем это предусмотрено законодательством Республики Беларусь.
12. Заявитель уведомляется о принятом по результатам рассмотрения его заявления решении в течение семи рабочих дней со дня принятия соответствующего решения.
13. Разрешение может быть отозвано Национальным центром защиты персональных данных в любой момент до окончания трансграничной передачи в случае:
нарушения заявителем или получателем персональных данных условий, в соответствии с которыми осуществлялась выдача разрешения;
получения информации, подтверждающей, что на территории иностранного государства не обеспечивается уровень защиты персональных данных не ниже, чем это предусмотрено законодательством Республики Беларусь.
О принятом решении об отзыве разрешения Национальный центр защиты персональных данных незамедлительно уведомляет заявителя, но не позднее дня, следующего за днем принятия такого решения.
Трансграничная передача персональных данных после отзыва разрешения запрещается.
Материал опубликован на официальном сайте Национального центра защиты персональных данных Республики Беларусь https://cpd.by/
Дата доступа: 05.01.2023.