Элемент управления показа слайд меню
Иконка для открытия меню поиска
Иконка меню поиска Очистка поле поиска
Закрыть

Ваши действия в случае изменения законодательства или рекомендаций о персональных данных НЦЗПД

Расскажем:

  • в какие документы по вопросам защиты и обработки персональных данных необходимо вносить изменения с целью их актуализации.

 

В случае внесения изменений в законодательство о персональных данных, а также изменений в Рекомендации НЦЗПД организациям (операторам) необходимо вносить изменения в локальные документы по вопросам защиты и обработки персональных данных (корректировать их).


Справочно:

Национальный центр защиты персональных данных Республики Беларусь (далее – НЦЗПД).


Так, в июне НЦЗПД внес изменения в Рекомендации об обработке персональных данных в связи с трудовой (служебной) деятельностью от 18.01.2022 (далее – Рекомендации), дополнив их пп. 6 и 7 по вопросам, связанным с применением положений Закона № 99-З при реализации положений коллективных договоров и использовании видеонаблюдения.

Приведем порядок действий по актуализации документов организации (оператора).


Шаг 1. Внесение изменений в реестр обработки персональных данных

На сайте НЦЗПД в разделе «правовая основа» «Методологические документы, рекомендации» приведены примеры (образцы) реестра обработки персональных данных. А в разделе «правовая основа»  «портфель оператора» есть положение о реестре обработки персональных данных.

С целью осуществления надлежащего контроля за обработкой персональных данных оператором (уполномоченным лицом), по мнению НЦЗПД, необходимо осуществить систематизацию и учет видов обработки персональных данных в конкретной организации, поскольку без этого невозможно обеспечить реализацию положений ст. 4 Закона № 99-З и прав субъектов персональных данных, например право на получение информации об обработке персональных данных. Для достижения указанной цели применяется реестр обработки персональных данных (далее – реестр).

Структура реестра или иного документа, систематизирующего обработку персональных данных, может определяться оператором (уполномоченным лицом).

При этом НЦЗПД обращает внимание на необходимость поддержания реестра в актуальном состоянии.

В примерной форме Положения о реестре обработки персональных данных НЦЗПД (далее – Положение) говорится, что реестр ведется в целях осуществления надлежащего контроля за обработкой персональных данных в организации, осуществления систематизации и учета видов обработки персональных данных.

В Положении предусмотрено 2 способа ведения реестра:

1) последовательность размещения записей в реестре определяется структурным подразделением или лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных (далее – специалист по контролю за обработкой персональных данных).

В таком случае сведения в реестр вносятся, изменяются в нем и исключаются из него специалистом по контролю за обработкой персональных данных по предложению руководителей структурных подразделений по направлениям их деятельности или уполномоченных ими лиц (ответственное лицо);

2) сведения в реестр вносятся, изменяются в нем и исключаются из него руководителями структурных подразделений по направлениям их деятельности или уполномоченными ими лицами.

В целом, если исходить из примера должностной инструкции специалиста по контролю за обработкой персональных данных и Положения, то на него возлагается обязанность по поддержанию реестра в актуальном состоянии.

Такая обязанность может быть реализована, в частности, либо путем непосредственного внесения, изменения и исключения сведения в реестре по предложению ответственных лиц, либо при необходимости путем внесения соответствующего предложения структурным подразделениям по направлениям их деятельности о дополнении реестра, изменении сведений в нем и исключении их из него.

Также НЦЗПД приводит сроки, в течение которых следует отражать изменения в реестре. Например, в случаях возникновения, изменения или прекращения рабочих процессов, требующих обработки персональных данных, ответственные лица:

1) направляют специалисту по контролю за обработкой персональных данных предложения о дополнении реестра, изменении сведений в нем или исключении их из него в течение 10 рабочих дней со дня возникновения, изменения или прекращения этих рабочих процессов;

2) либо, если они сами вносят такие изменения, то в случаях возникновения, изменения или прекращения рабочих процессов, требующих обработки персональных данных, дополняют реестр, изменяют сведения в нем или исключают их из него, а также уведомляют в рабочем порядке специалиста по контролю за обработкой персональных данных в течение 10 рабочих дней со дня возникновения, изменения или прекращения этих рабочих процессов.

В качестве примера возьмем изменение подхода НЦЗПД (в Рекомендациях) к получению согласия при оказании социального пакета (добровольное медицинского страхование, абонемент в бассейн и т.п.), предусмотренного коллективным договором. Изменение в реестр необходимо внести в течение 10 рабочих дней со дня опубликования (или принятия) позиции НЦЗПД.


Шаг 2. Внесение изменений в Политику оператора

Пример Политики размещен на сайте НЦЗПД в разделе «портфель оператора».

При составлении Политики (или при внесении в нее изменений) следуйте Рекомендациям НЦЗПД по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных.

В случае если в Политику вносятся существенные изменения, включая изменение оператора, целей обработки, сроков хранения, порядка реализации прав субъектов данных, условий трансграничной передачи, они должны доводиться до сведения субъектов персональных данных заблаговременно, до вступления в силу таких изменений.

Так, в связи с добавлением в Рекомендации НЦЗПД пп. 67, по мнению автора, потребуется внести соответствующие изменения в Политику оператора и довести эти изменения до сведения субъектов персональных данных.


Шаг 3. Информирование работников

Оператор обязан разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных (ст. 16 Закона № 99-З). В шаге 6 Алгоритма приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями Закона № 99-З НЦЗПД указал, что в должностных инструкциях работников, трудовая функция которых в основном связана с обработкой персональных данных в информационном ресурсе (системе) (включая работников кадровых, бухгалтерских служб, работников, ответственных за функционирование информационного ресурса (системы)), могут быть предусмотрены обязанности по соблюдению установленного законодательством  о персональных данных и локальными правовыми актами порядка обработки персональных данных, в т.ч. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных.

Уполномоченный сотрудник должен ознакомить работников с изменениями, внесенными в Политику в отношении обработки персональных данных, в процессе трудовой деятельности и при осуществлении административных процедур.

 

Документ:

Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (Закон № 99-З).

Вы можете выделить и получить фрагмент текста, который получит уникальную ссылку в вашем браузере.

Готовые кейсы, разбор законов и методики, которые работают. Применяйте в своей работе

 

 

 

 

 

 

Получить