Образец приказа о защите персональных данных работающих см. в рубрике «Полезная документация» на с. 24 журнала.
Главное в статье:
- описываются меры, которые помогут организациям обеспечить надлежащую защиту персональных данных при их обработке, с учетом требований законодательства.
Со вступлением в силу Закона № 99-З у организаций появились определенные обязанности по осуществлению внутреннего контроля за обеспечением защиты обрабатываемых персональных данных. Такие обязанности включают принятие как правовых, так и организационных и технических мер.
Законодатель предложил рискориентированный подход в сфере защиты персональных данных. Это означает, что состав и перечень внутренних мер напрямую зависят от существующих в организации процессов и потенциальных рисков нанесения ущерба правам и интересам субъектов персональных данных в случае нарушений.
Это важно! Организации могут самостоятельно определять конкретные внутренние меры, необходимые и достаточные для обеспечения защиты персональных данных в рамках ее деятельности.
Вместе с тем на законодательном уровне предусмотрен минимум мер, которые необходимо предпринять каждой организации. Они содержатся в ст. 17 Закона № 99-З, а также в Указе № 422.
К таким мерам относятся:
1. Назначение лица (структурного подразделения), ответственного за осуществление внутреннего контроля за обработкой персональных данных (абз. 2 п. 3 ст. 17 Закона № 99-З).
2. Разработка и издание политики оператора (уполномоченного лица) в отношении обработки персональных данных (абз. 3 п. 3 ст. 17 Закона № 99-З).
3. Ознакомление работников с положениями законодательства о защите персональных данных и документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных (абз. 4 п. 3 ст. 17 Закона № 99-З).
4. Проведение обучения для работников по вопросам защиты персональных данных (абз. 4 п. 3 ст. 17 Закона № 99-З).
5. Установление порядка доступа к персональным данным в рамках организации (абз. 5 п. 3 ст. 17 Закона № 99-З).
6. Осуществление технической и криптографической защиты персональных данных в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные (абз. 6 п. 3 ст. 17 Закона № 99-З).
7. Установление и поддержание в актуальном состоянии:
а) перечня информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых являются операторы (уполномоченные лица);
б) категорий персональных данных, подлежащих включению в такие ресурсы (системы);
в) перечня уполномоченных лиц, если обработка персональных данных осуществляется такими лицами;
г) сроков хранения обрабатываемых персональных данных (подп. 3.5 п. 3 Указа № 422).
Остановимся подробнее на каждой из предложенных мер и рассмотрим, какие дополнительные меры помогут организациям избежать штрафов за несоблюдение законодательства, а также наладить процессы, связанные с обработкой персональных данных.
1. Назначение лица (структурного подразделения), ответственного за обеспечение внутреннего контроля за обработкой персональных данных
Законодательные акты в сфере защиты персональных данных подробно не регулируют назначение лица (структурного подразделения), ответственного за обеспечение внутреннего контроля за обработкой персональных данных (далее – ответственное лицо). В этом вопросе предлагаем ориентироваться на разъяснения и рекомендации, предложенные Национальным центром защиты персональных данных Республики Беларусь (далее – НЦЗПД).
Квалификационные требования к ответственному лицу не установлены. Формально на эту позицию может быть назначено любое лицо (структурное подразделение) на усмотрение оператора.
При это важно помнить, что исполнение обязанностей ответственного лица требует знания законодательства в сфере защиты персональных данных и практики его применения, понимания бизнес-процессов организации, представления об используемых информационных системах и их защите.
Это важно! Индивидуальный предприниматель или компания, оказывающая юридические услуги, не могут выступать ответственным лицом в организации. Функции ответственного лица должен исполнять работник, т.е. лицо, которое работает в организации по трудовому договору.
Вместе с тем сторонние лица могут привлекаться по гражданско-правовым договорам для консультаций, помощи в разработке документов по вопросам обработки персональных данных или обеспечении технических и криптографических мер защиты.
Варианты назначения ответственного лица могут быть следующими:
– на позицию ответственного лица назначается работник (структурное подразделение), который будет заниматься исключительно вопросами обработки персональных данных. Такая опция целесообразна для крупных организаций, осуществляющих систематическую обработку персональных данных в большом объеме;
– на отдельного работника (структурное подразделение) возлагаются дополнительные функции ответственного лица. При этом, чтобы избежать конфликта интересов, не рекомендуется возлагать такие функции на руководителей организации (их заместителей), а также структурных подразделений или работников, основные функции которых связаны с обработкой большого объема персональных данных (к примеру, кадровые и бухгалтерские службы, структурные подразделения по обращениям граждан);
– дополнительные функции ответственного лица распределяются между двумя работниками. Так, обязанности в части организационных и правовых мер могут быть возложены на одно лицо, а в части обеспечения технической и криптографической защиты – на другое (например, на специалиста по информационной безопасности).
Что не рекомендуется делать
Не рекомендуем нанимателям (организациям, операторам):
– возлагать функции ответственного лица исключительно на технического специалиста;
– назначать много ответственных лиц (например, в каждом структурном подразделении). Это может привести к конфликту интересов и усложнить применение единообразного подхода к реализации требований законодательства в сфере защиты персональных данных.
Обязанности ответственного лица
Помимо собственно назначения ответственного лица важно позаботиться о том, чтобы ответственное лицо понимало спектр своих обязанностей. Для этого представляется целесообразным закрепить его обязанности в должностной инструкции соответствующего работника(-ов). Они могут включать среди прочего:
– осуществление внутреннего контроля за обработкой персональных данных;
– консультирование руководителя и работников организации по вопросам применения законодательства о персональных данных;
– участие в разработке и поддержание в актуальном состоянии документов, определяющих политику организации в отношении обработки персональных данных;
– ведение и (или) координацию ведения реестра обработки персональных данных;
– участие в обучении работников организации и иных лиц, непосредственно осуществляющих обработку персональных данных, по вопросам защиты персональных данных (это предполагает в т.ч. разработку тестов, иных заданий и их проверку);
– участие в рассмотрении заявлений субъектов персональных данных;
– взаимодействие с уполномоченным органом по защите прав субъектов персональных данных.
2. Разработка и издание политики в отношении обработки персональных данных
Политика организации в отношении обработки персональных данных может представлять собой как единый самостоятельный документ, так и несколько отдельных документов, определяющих порядок обработки персональных данных в определенных сферах или в связи с определенными бизнес-процессами.
Например, могут быть разработаны отдельные документы, регулирующие:
1) взаимодействие организации с кандидатами, работниками и их родственниками, контрагентами;
2) взаимодействие с клиентами.
При составлении Политики обработки персональных данных стоит руководствоваться Рекомендациями НЦЗПД по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных.
Это важно! К документам, определяющим политику организации в отношении обработки персональных данных, должен быть обеспечен неограниченный доступ, в т.ч. с использованием сети Интернет (п. 4 ст. 17 Закона № 99-З). Сделать это можно путем размещения Политики обработки персональных данных на сайте организации, на информационных стендах или иными способами.
3. Ознакомление работников с положениями законодательства о защите персональных данных и документами, определяющими политику организации в отношении обработки персональных данных
Для обеспечения соблюдения требований законодательства, а также подходов, принятых организацией в отношении обработки персональных данных, важно ознакомить с ними самих работников и иных лиц, которые осуществляют обработку персональных данных в организации.
4. Обучение работников по вопросам защиты персональных данных
Частота прохождения обучения
Не реже 1 раза в 5 лет необходимо проходить обучение по вопросам защиты персональных данных следующим работникам:
– лицам, ответственным за осуществление внутреннего контроля за обработкой персональных данных;
– лицам, непосредственно осуществляющим обработку персональных данных (подп. 3.3 п. 3 Указа № 422).
Не реже 1 раза в 3 года обеспечивают обучение в НЦЗПД работников и (или) иных лиц, в обязанности которых входит обеспечение информационной̆ безопасности, собственники (владельцы) информационных систем и владельцы критически важных объектов информатизации, а также организации, осуществляющие лицензируемую деятельность по технической и (или) криптографической защите информации (подп. 3.2 п. 3 Указа № 422).
Место и формат обучения
Согласно приказу ОАЦ № 194 соответствующее обучение в НЦЗПД должны проходить лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, выполняющие эти функции:
– в банках и НКФО;
– страховых организациях;
– у операторов электросвязи (за исключением индивидуальных предпринимателей);
– в республиканской и территориальной организации по госрегистрации недвижимого имущества, прав на него и сделок с ним;
– Белорусской нотариальной палате, областных (Минской городской) нотариальных палатах;
– риэлтерских организациях;
– организациях здравоохранения;
– местных исполнительных и распорядительных органах (за исключением сельских (поселковых) исполкомов), их структурных подразделениях с правами юридического лица;
– у операторов (уполномоченных лиц), организующих и (или) осуществляющих обработку персональных данных не менее 10 тыс. физических лиц. В это число не входят персональные данные работников этих операторов (уполномоченных лиц), собранные в процессе осуществления трудовой (служебной) деятельности.
Лица, непосредственно осуществляющие обработку персональных данных в указанных выше организациях (как правило, это работники кадровых, бухгалтерских служб, специалисты, ответственные за функционирование информационного ресурса, и т.д.), могут проходить обучение как в НЦЗПД, так и в местах, предусмотренных для иных лиц (варианты указаны ниже).
Для всех остальных лиц имеется возможность пройти обучение по вопросам защиты персональных данных:
– в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов, по образовательной программе повышения квалификации руководящих работников и специалистов;
– в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);
– у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).
Документы:
Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (Закон № 99-З).
Указ Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» (Указ № 422).
Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных» (приказ ОАЦ № 194).
(Продолжение следует.)
