Важное в статье:

• реализация норм Закона о защите персональных данных вызывает много вопросов.

По наиболее часто задаваемым вопросам НЦЗПД дал свои рекомендации и разъяснения. Рассмотрим некоторые из них более подробно.

Справочно:

Национальный центр защиты персональных данных (далее – НЦЗПД).

Необходимо ли подписывать с работниками обязательство о неразглашении персональных данных по аналогии, например, с обязательством о неразглашении коммерческой тайны?

Позиция НЦЗПД. Законом о защите персональных данных понятие «разглашение персональных данных», равно как и подписание работниками обязательства о неразглашении персональных данных, не предусмотрены.

ТК установлена дисциплинарная ответственность за нарушение работником порядка обработки персональных данных. В связи с этим привлечение работника к такой ответственности не связано с наличием (отсутствием) подписанного обязательства.

Таким образом, подписание обязательства о неразглашении персональных данных не требуется и приведет к появлению дополнительного, не основанного на законодательстве документа.

По мнению НЦЗПД обязанность соблюдения законодательства о персональных данных и принятых в соответствии с ним локальных правовых актов (ЛПА) оператора целесообразно закрепить в должностных инструкциях работников.

Однако не на всех работников оформляется должностная инструкция. Так, на руководителей организаций (структурных (обособленных) подразделений) должностные инструкции, как правило, не разрабатываются. Права и обязанности руководителя организации определяются актами законодательства, учредительным документом, а также трудовым договором, а руководителей структурных (обособленных) подразделений ‒ положениями об этих подразделениях.

В такой ситуации, полагаем, целесообразно включать соответствующие положения о неразглашении персональных данных в ЛПА.

В должностных инструкциях работников, трудовая функция которых в основном связана с обработкой персональных данных в информационном ресурсе (системе) (включая работников кадровых, бухгалтерских служб, работников, ответственных за функционирование информационного ресурса (системы)), могут быть предусмотрены следующие обязанности по соблюдению установленного законодательством о персональных данных и ЛПА порядка обработки персональных данных:

‒ разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

‒ получать в необходимых случаях согласие субъекта персональных данных на обработку персональных данных;

‒ принимать меры по обеспечению достоверности обрабатываемых персональных данных, при необходимости вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок актуализации персональных данных установлен законодательными актами либо если цели обработки персональных данных не предполагают изменение таких данных в последующем;

‒ осуществлять контроль за соответствием срока обработки персональных данных заявленным целям, прекращать обработку персональных данных, а также обеспечивать их удаление или блокирование при отсутствии правовых оснований для обработки персональных данных;

‒ предоставлять и распространять персональные данные только при наличии соответствующего правового основания;

‒ обеспечивать предоставление субъектам персональных данных информации об их персональных данных, а также о предоставлении их персональных данных третьим лицам, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;

‒ обеспечивать доступ к персональным данным в установленном порядке, вести учет такого доступа и случаев предоставления, распространения персональных данных третьим лицам;

‒ при возникновении при обработке персональных данных спорных вопросов привлекать уполномоченное лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.

Конкретный перечень таких обязанностей определяется в каждом конкретном случае исходя из специфики деятельности работника.

В должностных инструкциях других работников, которые обрабатывают персональные данные, может быть предусмотрена обязанность соблюдать установленный законодательством о защите персональных данных и локальными правовыми актами порядок обработки персональных данных.

К информационным ресурсам (системам) следует относить в т.ч. такие распространенные ресурсы (системы), как корпоративная электронная почта, программное обеспечение для ведения бухгалтерского учета и отчетности, сайты организаций, автоматизированные системы контроля и управления доступом, системы видеонаблюдения в организации, системы электронного документооборота и т.п.

Справочно:

информационный ресурс ‒ организованная совокупность документированной информации, включающая базы данных, другие совокупности взаимосвязанной информации в информационных системах (ст. 1 Закона об информации).

Таким образом, НЦЗПД среди работников, которые непосредственно обрабатывают персональные данные, выделяет лиц, которые осуществляют такую обработку в информационном ресурсе (системе) и без использования средства автоматизации.

Справочно:

информационная система ‒ совокупность банков данных, информационных технологий и комплекса (комплексов) программно-технических средств.

При этом обработку персональных данных может осуществлять и работник рабочей профессии. Например, вахтер может вести учет приходящих лиц в специальном журнале, проверять документы, удостоверяющие личность, а также иные документы, подтверждающие право на посещение организации. В таком случае не будет автоматизированной обработки персональных данных, но данные будут внесены в регистрационный документ (журнал) (ст. 1 и п. 1 ст. 2 Закона о защите персональных данных).

Какие изменения потребуется внести в трудовые договоры (контракты)?

Позиция НЦЗПД. Закон о защите персональных данных, как и иные акты законодательства, в настоящее время не обязывает нани­мателя вносить какие-либо дополнения в трудовой договор.

Как ознакомить работников с правилами работы с персональными данными?

Позиция НЦЗПД. Пункт 3 ст. 17 Закона о защите персональных данных предусматривает:

‒ ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в т.ч. с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных;

‒ обучение указанных выше работников и иных лиц в порядке, установленном законодательством (Указ № 422, приказ ОАЦ № 194).

Принимая во внимание цели такого ознакомления, чтобы работники и иные лица, непосредственно обрабатывающие персональные данные, правильно применяли нормы Закона о защите персональных данных, чтобы не произошли утечка персональных данных, нарушение прав субъектов персональных данных, в интересах самого оператора (уполномоченного лица) необходимо провести подробное ознакомление с содержанием документов, касающихся обработки, хранения и уничтожения персональных данных.

В подп. 3.3 п. 3 Указа № 422 определено, что операторы (уполномоченные лица) организуют не реже 1 раза в 5 лет прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных, в т.ч.:

‒ категориями лиц, определенными ОАЦ, – в НЦЗПД по образовательной программе повышения квалификации руководящих работников и специалистов;

‒ иными лицами:

• в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов, по образовательной программе повышения квалификации руководящих работников и специалистов;
• в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);
• у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).

Категории лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которые обязаны проходить обучение в НЦЗПД, определены в приказе ОАЦ № 194.

Именно эти субъекты обязаны представлять в НЦЗПД информацию, указанную в части второй подп. 3.3 п. 3 Указа № 422.

Документы:

Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (Закон о защите персональных данных).

Трудовой кодекс Республики Беларусь (ТК).

Разъяснения НЦЗПД «Алгоритм приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных».

Рекомендации НЦЗПД об обработке персональных данных в связи с трудовой (служебной) деятельностью от 18.01.2022.

Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» (Закон об информации).

Указ Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» (Указ № 422).

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных» (приказ ОАЦ № 194).