Внедряем рекомендуемые меры защиты персональных данных (ч. 2)

В прошлом номере журнала мы обозначили, какие рекомендуемые меры по обес­печению защиты ПД от неправомерных действий третьих лиц могут быть внедрены в УДО, а также подробно рассмотрели такие меры, как выделение особых политик обработки ПД, создание локального реестра обработки ПД, разработка положения о порядке проведения внутреннего контроля, разработка типовых форм согласий субъектов ПД.

В продолжение темы остановимся на таких рекомендуемых мерах по обеспечению защиты ПД, как:

1. разработка типовых форм договоров с уполномоченными лицами;
2. разработка типовой формы акта удаления (уничтожения) ПД;
3. внесение изменений в должностные инструкции работников.

Разработка типовых форм договоров с уполномоченными лицами

С учетом растущих угроз и новых требований к защите ПД УДО должно внимательно подходить к регламентации обязанностей уполномоченных лиц, занимающихся обработкой этой информации. Заключение детализированных договоров поможет не только защитить данные, но и обеспечить законность их обработки.

Важно обратить внимание на следующие ключевые элементы, которые должны быть включены в договор с уполномоченным лицом:

• конкретные действия, совершаемые с ПД, поручаемые уполномоченному лицу;
• информация об использовании обезличивания ПД в целях повышения их защищенности (при использовании обезличивания);
• условия, при которых возможно предоставление ПД третьим лицам или их распространение;
• гарантии принятия мер по обеспечению защиты ПД;
• условия о привлечении уполномоченным лицом иных лиц (субуполномоченных) для обработки ПД;
• порядок действий уполномоченного лица в случае поступления к нему или к оператору заявлений субъектов ПД;
• обязанность оператора уведомлять уполномоченное лицо о необходимости прекращения обработки ПД в связи с утратой оснований для их обработки.

Кроме того, в договоре рекомендуется закрепить следующие обязанности уполномоченного лица:

• соблюдение конфиденциальности ПД;
• предоставление оператору информации, необходимой для подтверждения реализации мер по обеспечению защиты ПД;
• прекращение обработки, передача всех ПД оператору либо их удаление (блокирование) по окончании срока действия договора;
• обработка ПД только для целей, предусмотренных договором;
• незамедлительное уведомление оператора о нарушениях систем защиты ПД.

Также вы можете ознакомится с примерной формой договора об обработке ПД по поручению оператора.

Разработка типовой формы акта удаления (уничтожения) ПД

При удалении ПД оператору необходимо учитывать их специфику, т. к. механизм удаления зависит от того, в каком виде и в каких документах содержатся ПД.

По-разному удаляются ПД, содержащиеся:

• в документах, включенных в номенклатуру дел;
• документах, не включенных в номенклатуру дел;
• информационных системах (ресурсах).

Удаление ПД, содержащихся в документах, включенных в номенклатуру дел

При удалении ПД, содержащихся в документах, включенных в номенклатуру дел, следует руководствоваться:

• Инструкцией № 4 1 ;
• Правилами работы с документами в электронном виде 2 ;
• Инструкцией № 19 3 .

Удаление ПД, содержащихся в документах, не включенных в номенклатуру дел

При удалении ПД из документов, не включенных в номенклатуру дел, требуется разработка типовой формы акта удаления (уничтожения) ПД.

Если ПД содержатся в электронной форме, их удаление оформляется и подтверждается актом удаления, а если ПД содержатся в письменной форме — актом уничтожения.

Акт удаления (уничтожения) ПД разрабатывается в произвольной форме и утверждается руководителем оператора (заведующим УДО). В таком акте рекомендуется указать:

• дату удаления (уничтожения);
• состав комиссии;
• количество удаленных ПД;
• цель обработки;
• причину удаления.

Также вы можете ознакомится с примерной формой акта уничтожения (удаления) персональных данных, содержащихся в документах, не включенных в номенклатуру дел.

Удаление ПД, содержащихся в информационных системах (ресурсах)

Порядок удаления информации из информационных ресурсов в законодательстве не определен, поэтому оператору следует его разработать самостоятельно. Такой порядок может быть предусмотрен отдельным локальным правовым актом или включен в локальный правовой акт, определяющий порядок функционирования информационного ресурса, либо в политику информационной безопасности. В случае автоматического удаления ПД из информационного ресурса достаточно зафиксировать сроки хранения этой информации, например, в реестре обработки ПД. Составлять в этих случаях акт об удалении законодательство не требует.

Составление акта об удалении ПД целесо­образно в случаях их разового удаления на основании:

• заявления субъекта ПД;
• требования Национального центра защиты персональных данных;
• в иных случаях, когда необходимо подтвердить факт совершения этого действия.

Внесение изменений в должностные инструкции работников

Конкретный перечень обязанностей по соблюдению установленного законодательством о ПД и локальными правовыми актами порядка обработки ПД определяется индивидуально в каждом конкретном случае исходя из спе­цифики деятельности работника.

Пример

В должностных инструкциях работников могут быть указаны следующие обязанности:

• разъяснять субъекту ПД его права, связанные с обработкой ПД;
• получать в необходимых случаях согласие субъекта ПД на обработку ПД;
• принимать меры по обеспечению достоверности обрабатываемых ПД, при необходимости вносить изменения в ПД, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок актуализации ПД установлен законодательными актами либо если цели обработки ПД не предполагают изменения таких данных в последующем;
• осуществлять контроль за соответствием срока обработки ПД заявленным целям, прекращать обработку ПД, а также обеспечивать их удаление или блокирование при отсутствии правовых оснований для обработки ПД;
• предоставлять и распространять ПД только при наличии соответствующего правового основания;
• обеспечивать предоставление субъектам ПД информации об их ПД, а также о предоставлении их ПД третьим лицам, за исключением случаев, предусмотренных Законом № 99-З  4 ;
• обеспечивать доступ к ПД в установленном порядке, вести учет такого доступа и случаев предоставления, распространения ПД третьим лицам;
• при возникновении при обработке ПД спорных вопросов привлекать уполномоченное лицо, ответственное за осуществление внутреннего контроля за обработкой ПД.

От редакции

Электронное пособие «Сборник готовых решений. Должностные и рабочие инструкции» уже в продаже в разделе «Пособия».

Заключение

Рекомендуемые меры для обеспечения защиты ПД позволяют на более высоком организационном уровне наладить работу с ПД. Заведующему УДО следует всегда помнить, что безответственное отношение к личной информации физических лиц влечет утрату служебной репутации и доверия.

От редакции

В ближайшем номере журнала мы расскажем о применении в УДО возможных мер для обеспечения защиты ПД.

Читайте по теме:

Кралько А. Как заведующему обеспечить надежную защиту персональных данных (ч. 1) // Руководитель учреждения дошкольного образования. — 2025. — № 1;

Кралько А.Как заведующему обеспечить надежную защиту персональных данных (ч. 2) // Руководитель учреждения дошкольного образования. — 2025. — № 2;

Кралько А.Применяем рекомендуемые меры для защиты персональных данных // Руководитель учреждения дошкольного образования — 2025. — № 3.