Как исполнить требования законодательства о защите персональных данных: 8 обязательных шагов

Как исполнить требования законодательства о защите персональных данных: 8 обязательных шагов

С 15 ноября 2021 г. вступил в силу Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных». Кроме того, был создан Национальный центр защиты персональных данных (далее — НЦЗПД) — уполномоченный орган по защите прав субъектов персональных данных, который уже частично сформировал план проверок на 2022 год.

Рассмотрим алгоритм приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями указанного Закона.

Самосейко Владимир

юрист, магистр права

Косько Юрий

Юрист, специалист по трудовому праву

2081 Shape 1 copy 6Created with Avocode.

Шаг 1. Назначьте ответственных лиц

  • Назначить структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.
  • Определить его должностные обязанности, утвердить положение об организации внутреннего контроля за обработкой персональных данных.

Варианты назначения ответственного лица:

  • освобожденный работник (отдельное структурное подразделение);
  • возложение дополнительных функций на одного работника организации;
  • возложение дополнительных функций на нескольких работников.

Итоговые документы

  • приказ о внесении изменений в штатное расписание;
  • должностная инструкция;
  • приказ о назначении лица (лиц), ответственного за осуществление внутреннего контроля за обработкой персональных данных;
  • положение об организации внутреннего контроля за обработкой персональных данных

Шаг 2. Проанализируйте бизнес-процессы

  • Выявить и зафиксировать бизнес-процессы, в которых используются персональные данные.
  • Проанализировать бизнес-процессы, в которых используются персональные данные, на предмет соответствия требованиям законодательства о персональных данных.

Каждый бизнес-процесс в отношении использования персональных данных необходимо проанализировать по следующим позициям:

  • цель обработки;
  • подразделение (лицо), ответственное за обработку;
  • категории лиц, чьи персональные данные обрабатываются;
  • категории обрабатываемых персональных данных;
  • правовая основа обработки;
  • источник получения персональных данных;
  • категории получателей персональных данных;
  • срок хранения персональных данных.

Итоговые документы

  • реестр обработок персональных данных

Шаг 3. Разработайте локальные правовые акты

  • Издать документы, определяющие политику в отношении обработки персональных данных.
  • Обеспечить неограниченный доступ, в т. ч. с использованием сети Интернет, к данной политике.
  • Разработать иные (кроме определяющих политику в отношении персональных данных) документы.

Политик в организации может быть несколько. Например, одна политика для посетителей сайта, вторая — для соискателей при отборе персонала, третья — в части обработки персональных данных при видеонаблюдении и т. п.

Итоговые документы

  • положение о политике организации в отношении обработки персональных данных;
  • положение о порядке допуска работников и иных лиц к обработке персональных данных;
  • перечень информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых является оператор, а также категорий персональных данных, подлежащих включению в данные ресурсы (системы);
  • формы согласия субъектов персональных данных применительно к обработке персональных данных на основании согласия;
  • договор между оператором и уполномоченным лицом;
  • документы, устанавливающие сроки хранения персональных данных;
  • приказ об установлении перечня лиц, имеющих доступ к персональным данным, обрабатываемым учреждением;
  • положение об уничтожении (удалении) персональных данных

Шаг 4. Оформите кадровые документы

  • Внести изменения в должностные обязанности лиц, обрабатывающих персональные данные.
  • Издать приказ о внесении изменений в должностную инструкцию лиц, обрабатывающих персональные данные.
  • Ознакомить работников с дополнением в должностную инструкцию и приказом о внесении дополнений в должностную инструкцию.

Итоговые документы

  • дополнение должностной инструкции;
  • приказ о внесении изменений в должностную инструкцию

Шаг 5. Проинформируйте работников

  • Ознакомить работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных.

Варианты ознакомления работников с документами:

  • ознакомление с НПА и ЛПА по вопросам обработки персональных данных под роспись;
  • размещение рассматриваемых документов на стенде, в общедоступном корпоративном ресурсе и т.п.;
  • выдача копий таких документов и т.п.

Итоговые документы

  • лист ознакомления с НПА и ЛПА по вопросам обработки персональных данных (в случае ознакомления под роспись)

Шаг 6. Проведите обучение работников

  • Обучить лиц, непосредственно осуществляющих обработку персональных данных, и лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных.

Лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, а также лица, непосредственно осуществляющие обработку персональных данных, которые обязаны проходить обучение в НЦЗПД, определены в приказе ОАЦ при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных».

Иные лица проходят обучение:

  • в учреждениях образования, а также иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов;
  • в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);
  • у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).

Итоговые документы

  • положение о порядке обучения по вопросам персональных данных;
  • приказ о направлении на обучение (об организации обучения в учреждении);
  • журнал учета лиц, прошедших обучение по вопросам персональных данных

Шаг 7. Разработайте организационные и технические документы

  • Разработать документы, позволяющие реализовать организационные и технические меры.

Следует обеспечить:

  • возможность отзыва согласия субъекта персональных данных в электронной форме, если согласие субъекта было получено в такой форме;
  • подтверждение информации о способе получения согласия и условиях, при которых оно было дано;
  • фиксацию и хранение информации о предоставлении персональных данных третьим лицам.

Итоговые документы

  • положение о порядке рассмотрения запросов субъектов персональных данных или их представителей;
  • унифицированные формы заявлений и ответов на них;
  • журнал учета обращений субъектов персональных данных по вопросам обработких их персональных данных

Шаг 8. Обеспечьте техническую и криптографическую защиту персональных данных

  • Осуществить техническую и криптографическую защиту персональных данных в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

Оператору необходимо:

  • правильно классифицировать содержащиеся в информационном ресурсе (системе) персональные данные; 
  • провести государственную экспертизу средств технической и криптографической защиты информации.

Итоговые документы

  • экспертное заключение

Образцы документов в сфере защиты персональных данных, которые можно скачать:
Приказ о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных
Приказ об установлении перечня лиц, имеющих доступ к персональным данным, обрабатываемым учреждением
Приказ о направлении на обучение по вопросам персональных данных
Положение об обработке персональных данных
Положение о политике в отношении обработки персональных данных
Положение о порядке допуска работников и иных лиц к обработке персональных данных
Положение о порядке обучения по вопросам персональных данных
Положение о порядке рассмотрения запросов субъектов персональных данных или их представителей
Журнал по ознакомлению работников с локальными правовыми актами в области защиты персональных данных
Журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных
Журнал учета согласий субъектов персональных данных
Журнал учета прохождения первичного инструктажа по вопросам персональных данных работниками, допущенными к работе с персональными данными
Заявление на отзыв согласия на обработку персональных данных
Уведомление о прекращении обработки персональных данных и их удалении
Формулировка дополнения ПВТР и должностных инструкций работников
Реестр обработок персональных данных
Согласие на обработку персональных данных

2081 Shape 1 copy 6Created with Avocode.
Последнее
по теме

Какие документы по пожарной безопасности должны быть в учреждении дошкольного образования

В предыдущем номере журнала была опубликована статья «Проверки, проводимые органами государственного пожарного надзора», в которой подробно рассмотрены вопросы, связанные...
№ 4 (124) 2022
Shape 1 copy 6Created with Avocode. 503