Окончание. Начало см.: «Я – специалист по кадрам», 2022, № 9, с. 37.
Главное в статье:
- описываются меры, которые помогут организациям обеспечить надлежащую защиту персональных данных при их обработке с учетом требований законодательства.
В первой части статьи были подробно изложены 4 меры из 7, которые необходимо предпринять каждой организации согласно Закону № 99-З, а также Указу № 422. Рассмотрим оставшиеся 3 меры, а также дополнительные меры, порядок ведения реестра обрабатываемых персональных данных и содержание запроса субъекта персональных данных.
5. Установление порядка доступа к персональным данным
Доступ к персональным данным должен быть предоставлен только тем работникам организации, трудовые обязанности которых предполагают работу с персональными данными, и строго на тот период, который необходим им для работы с соответствующими данными.
При установлении порядка доступа к персональным данным в рамках организации целесообразно закрепить следующее:
– перечень работников, которые могут иметь доступ к персональным данным, и категории таких персональных данных;
– порядок получения доступа к персональным данным в иных случаях (к примеру, в ситуации, если на работника возлагается новая функция/поручается задание, требующие получение доступа к определенным персональным данным);
– порядок прекращения доступа работников к обработке персональных данных.
6. Осуществление технической и криптографической защиты персональных данных
В связи с тем что большой массив информации сегодня обрабатывается с использованием автоматизированных средств, среди обязательных мер белорусский законодатель предусмотрел обязанность по осуществлению технической и криптографической защиты персональных данных. При выполнении данной обязанности в первую очередь стоит руководствоваться приказом ОАЦ № 66, в редакции от 12.11.2021 № 195.
Комплекс предусмотренных мероприятий по технической и криптографической защите информации, подлежащей обработке в информационной системе, включает:
– проектирование системы защиты информации;
– создание системы защиты информации.
Это важно! При создании систем защиты информации должны использоваться только средства защиты информации, сертифицированные ОАЦ. Реестр средств защиты информации, прошедших сертификацию ОАЦ, содержится на официальном сайте ОАЦ;
– аттестацию системы защиты информации;
Справочно:
аттестация должна проводиться в соответствии с Положением о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утвержденным приказом ОАЦ № 66.
– обеспечение функционирования системы защиты информации в процессе эксплуатации информационной системы;
– обеспечение защиты информации в случае прекращения эксплуатации информационной системы.
Указанные мероприятия могут выполняться на усмотрение организации:
– самостоятельно (подразделением защиты информации или иным подразделением (должностным лицом), ответственным за
обеспечение защиты информации в организации);
– с привлечением специализированной организации.
До проведения работ по проектированию системы защиты информации необходимо:
1) определить категории информации, которые будут обрабатываться в информационной системе;
2) отнести информационную систему с соответствующим классом типовых информационных систем и зафиксировать это в акте отнесения информационной системы к классу типовых информационных систем согласно приложению 2 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено.
Справочно:
классы информационных систем закреплены в приложении 3 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено (утверждено приказом ОАЦ № 66, в редакции от 12.11.2021 № 195).
Конкретные требования к защите информации напрямую зависят от класса системы, в которой она обрабатывается.
7. Установление и поддержание в актуальном состоянии…
…перечня информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых являются операторы (уполномоченные лица).
Как правило, к таким ресурсам (системам) относятся программное обеспечение, используемое в деятельности организации (к примеру, для ведения бухгалтерского учета и отчетности), сайт организации, корпоративная электронная почта, автоматизированные системы контроля и управления доступом, системы видеонаблюдения в организации, системы электронного документооборота и т.д.
…категорий персональных данных, подлежащих включению в такие ресурсы (системы).
Здесь речь идет о следующих категориях:
– общедоступные персональные данные;
– специальные персональные данные (кроме биометрических и генетических персональных данных);
– биометрические и генетические персональные данные;
– персональные данные, не являющиеся общедоступными или специальными (подп. 3.5 п. 3 Указа № 422).
…перечня уполномоченных лиц, если обработка персональных данных осуществляется такими лицами.
…сроков хранения обрабатываемых персональных данных.
Сроки хранения персональных данных определяются исходя из конкретных целей обработки. При определении сроков хранения персональных данных для отдельных целей следует руководствоваться Перечнем № 140.
В Перечне № 140 установлены сроки хранения документов, в которых фиксируются персональные данные в связи с приемом, переводом, увольнением, учетом работников.
Это важно! Если сроки хранения не установлены законодательством, они определяются оператором.
Установить срок хранения персональных данных можно различными способами:
– определенной датой;
– периодом времени;
– критерием, используемым для определения такого срока;
– целями обработки персональных данных.
Дополнительные меры защиты персональных данных
Дополнительные меры, которые стоит предпринять организациям при обработке персональных данных, во многом зависят от существующих бизнес-процессов, связанных с использованием персональных данных. Остановимся на нескольких мерах, которые могут быть одинаково применимы в организациях.
1. Ведение реестра обработки персональных данных.
Под реестром обработки персональных данных понимается документ, в котором в структурированном виде (к примеру, в виде таблицы) отражена вся информация об имеющихся в организации процессах обработки персональных данных.
Приведем пример реестра обработки персональных данных для целей оформления трудовых отношений:
Существует мнение, что составление реестра является обязательным, поскольку без него невозможно обеспечить реализацию положений ст. 4 Закона № 99-З, в которой закреплены общие требования к обработке персональных данных.
Справочно:
Закон № 99-З предоставляет субъекту персональных данных право определенным образом распоряжаться своими персональными данными. В частности, субъекты персональных данных получают определенные права (ст. 10, 11, 12, 13 Закона № 99-З).
Составление и поддержание реестра в актуальном виде необходимо, поскольку это позволяет всегда держать под контролем процессы обработки персональных данных, оперативно корректировать существующие процессы в случае изменения законодательных требований или подходов к обработке персональных данных внутри организации, отслеживать сроки хранения персональных данных, корректно реагировать на запросы субъектов персональных данных о реализации их прав.
Более того, составление реестра обработки персональных данных значительно облегчает процесс подготовки остальных необходимых документов в отношении обработки персональных данных (включая Политику), а также способствует своевременному реагированию на запросы субъектов персональных данных (особенно на запросы о предоставлении информации), поскольку все необходимые сведения о процессах обработки персональных данных уже собраны в одном месте.
Структуру реестра каждая организация определят самостоятельно. Рекомендуем включать в реестр следующее данные:
– цель обработки персональных данных;
– категории субъектов персональных данных, чьи данные обрабатываются;
– перечень персональных данных;
– правовое основание для обработки;
– срок хранения персональных данных;
– лица, которым поручается обработка персональных данных (уполномоченные лица);
– лицо (подразделение), ответственное за обработку таких персональных данных в организации.
2. Политика реагирования на запросы субъектов персональных данных.
Своевременному и правильному реагированию на поступающие запросы от субъектов персональных данных может помочь разработка политики реагирования на запросы субъектов персональных данных.
Разработка политики позволит работникам, задействованным в реагировании на запросы субъектов персональных данных, лучше понимать свои действия в этом процессе, облегчит взаимодействие между соответствующими работниками, поможет корректно реагировать на поступающие запросы в установленные сроки.
Это важно! Срок реагирования на запрос по общему правилу составляет 15 календарных дней, исключение – 5 рабочих дней на исполнение запроса субъекта на получение информации, касающейся обработки персональных данных. Срок отсчитывается на следующий день после получения запроса. Возможность продления срока законодательством не предусмотрена.
В политике реагирования на запросы субъектов персональных данных целесообразно зафиксировать:
1) права, которыми наделены субъекты персональных данных, и содержание этих прав;
2) порядок реализации прав субъекта персональных данных.
В частности, стоит отразить, в какой форме должен быть направлен запрос и что он должен содержать. Остановимся на содержании запроса подробнее.
Итак, запрос должен содержать:
– ФИО;
– адрес;
– дату рождения;
– суть требований;
– идентификационный номер или номер документа, удостоверяющего личность (при отсутствии идентификационного номера), если эта информация указывалась при даче согласия или обработка ПД осуществляется без согласия субъекта;
– личную подпись или электронную подпись субъекта персональных данных (п. 2 ст. 14 Закона № 99-З).
При этом в белорусском законодательстве нет положений, которые бы пояснили, как организациям следует реагировать на запрос, который не соответствует установленным требованиям. Если опираться на европейский опыт, это обязанность организации – проследить, чтобы запрос субъекта ПД на реализацию права был составлен корректно. Соответственно при получении некорректного запроса необходимо сообщить запрашивающему лицу о недочетах для их устранения. Вместе с тем полагаем, что в некоторых случаях некорректный запрос может служить причиной для отказа в его удовлетворении;
3) порядок обработки запросов.
Как правило, этот процесс состоит из следующих шагов:
– получение и регистрация запроса;
– рассмотрение запроса и принятие решение о его удовлетворении или отказе в его удовлетворении;
– исполнение запроса в случае принятия положительного решения;
– подготовка и направление ответа об удовлетворении или отказе в удовлетворении запроса.
В качестве иных мер в рамках обязанностей организаций в сфере защиты персональных данных можно обозначить следующие:
1. Обеспечение фиксации и хранения сведений о получении согласия в электронной форме (к примеру, сохранение информации о сеансе, во время которого было получено согласие, вместе с копией информации, которая была предоставлена субъекту в это время).
2. Обеспечение возможности отзыва согласия субъекта персональных данных в электронной форме, если согласие субъекта было получено в такой форме (к примеру, через разработку функции возможности отзыва согласия в личном кабинете пользователя, нажатием на одну кнопку).
3. Обеспечение фиксации и хранения информации о предоставлении, распространении персональных данных третьим лицам (среди возможных вариантов: фиксация сведений в журналах, если информация предоставлялась в письменном виде, система логирования в информационном ресурсе (системе) и т.п.), удалении, блокировании, обезличивании персональных данных.
4. Определение порядка изменения, удаления, блокирования, обезличивания персональных данных и фиксации этих мероприятий.
Документы:
Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (Закон № 99-З).
Указ Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» (Указ № 422).
Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных» (приказ ОАЦ № 194).
Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 20.02.2020 № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449» (приказ ОАЦ № 66).
Постановление Минюста Республики Беларусь от 24.05.2012 № 140 «О перечне типовых документов Национального архивного фонда Республики Беларусь» (Перечень № 140).
