В ст. 17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) прописан комплекс мер по обеспечению защиты персональных данных (далее — ПД), которые каждый оператор (уполномоченное лицо) обязан принимать в своей организации. В связи с тем, что каждое УДО является оператором ПД, рассмотрим более подробно, какая документация должна быть подготовлена в УДО.
Одна из основных целей назначения лица, ответственного за осуществление внутреннего контроля за обработкой ПД, — предотвращение возможных нарушений со стороны оператора (уполномоченного лица).
К основным функциям такого лица можно отнести:
Конкретные квалификационные требования, предъявляемые к работнику, на которого возлагаются функции специалиста, осуществляющего внутренний контроль за обработкой ПД, установлены в выпуске 1 Единого квалификационного справочника должностей служащих «Должности служащих для всех видов деятельности» (утв. постановлением Министерства труда Республики Беларусь от 30.12.1999 № 159).
Это важно
Для УДО с учетом их штатной структуры допускается возложение дополнительных функций по осуществлению внутреннего контроля за обработкой ПД на одного или нескольких работников.
При возложении обязанностей на одного работника у назначенного работника должна быть объективная возможность выполнять соответствующие функции с учетом уже имеющихся должностных обязанностей.
Каждое УДО должно самостоятельно оценить способности и возможности своих работников. Возможно, с учетом востребованности и актуальности этого вида деятельности кто-то из работников захочет попробовать себя в такой роли.
Принимая во внимание возлагаемые на данное лицо функции, такое лицо должно знать законодательство о ПД и законодательство, регламентирующее сферу образования (предполагается наличие высшего юридического или гуманитарного образования), практику его применения.
Это может быть, например, заместитель заведующего, делопроизводитель (при условии наличия высшего образования гуманитарного профиля). В зависимости от штатной структуры (как правило, в небольших УДО) функции ответственного за осуществление внутреннего контроля могут быть возложены на руководителя УДО.
Функции ответственного за осуществление внутреннего контроля могут быть возложены на двух работников. В таком случае на одного работника можно возложить функции по реализации организационных и правовых мер, на другого — мер по технической и криптографической защите ПД. При этом требуется четкое распределение функций между указанными лицами, исключение противоречий в их деятельности.
В целях надлежащего выполнения УДО обязанностей, предусмотренных Законом, рекомендуется обеспечить независимость ответственного за осуществление контроля посредством:
Справочно: формальное назначение ответственного за осуществление внутреннего контроля за обработкой ПД без реальной деятельности такого ответственного (без проведения фактического контроля, ведения реестра обработки, консультирования и др.) не рассматривается как надлежащее выполнение обязанности, предусмотренной абз. 2 п. 3 ст. 17 Закона, и является основанием для привлечения юридического лица к административной ответственности по ч. 4 ст. 23.7 КоАП.
Наряду с назначением ответственного лица необходимо разработать порядок осуществления внутреннего контроля за обработкой ПД, включающий периодичность и формат контрольных мероприятий, их оформление и порядок принятия решений по результатам таких мероприятий.
В связи с назначением ответственного за осуществление внутреннего контроля ни оператор, ни уполномоченное лицо, ни работники, непосредственно осуществляющие обработку ПД, не освобождаются от ответственности, предусмотренной законодательством, в случае нарушения ими законодательства о ПД.
Цель издания данного документа заключается в информировании субъектов ПД об обработке ПД в УДО.
Это может быть один общий документ, определяющий политику УДО в отношении обработки ПД, или несколько.
Это важно
В УДО с учетом огромного количества процессов обработки ПД и для удобства пользования лучше подготовить несколько документов, регулирующих обработку ПД в определенных сферах или в связи с определенными процессами. Это могут быть, например, политика УДО в отношении обработки ПД, политика видеонаблюдения, политика обработки ПД на сайте (в отношении обработки файлов cookie), политика обработки ПД работников в процессе трудовой (служебной) деятельности и т. п.
Любая из этих политик должна содержать общие положения, разъясняющие субъекту ПД, как и для каких целей ПД собираются, используются или иным образом обрабатываются, а также какие права имеет субъект ПД в контексте этой обработки и каков механизм их реализации.
Наиболее частые нарушения при разработке политики УДО в отношении обработки ПД:
Такие нарушения не позволяют получить полное представление об обработке ПД. Кроме того, политика будет носить формальный характер и не иметь для субъекта ПД практической пользы, поскольку не будет обеспечена реализация принципа прозрачности обработки ПД.
Для информирования об основной деятельности УДО законных представителей воспитанников, иных субъектов необходимо максимально полно и правильно отразить в политике все процессы обработки ПД. Для этого нужно начать с составления реестра обработки ПД.
Это важно
Реестр не является документом, обязанность ведения которого предусмотрена Законом, однако его разработка целесообразна для упорядочения и ревизии процессов обработки ПД в УДО.
Реестр должен содержать информацию о том:
Заполнение реестра требует тщательного анализа деятельности УДО, включая организационные аспекты, образовательную, социально-педагогическую, воспитательную и идеологическую работу.
В политике также необходимо указать механизм реализации прав субъектов ПД, в т. ч. лицо, ответственное за осуществление внутреннего контроля, и способ связи с ним (например, адрес электронной почты).
Рекомендуется писать политику простым, понятным языком, избегая сложных оборотов и специфической профессиональной лексики.
Необходимо помнить и о том, что УДО обязано обеспечить неограниченный доступ к политике, в т. ч. с использованием сети Интернет, с учетом круга субъектов ПД, на которых она распространяется.
Политика (политики) оператора в отношении внешнего контура (законных представителей несовершеннолетних, граждан, направляющих обращения, и т. п.) размещается на сайте УДО. При отсутствии у УДО сайта обеспечение неограниченного доступа к политике осуществляется посредством ее размещения на информационных стендах или иными способами.
Политику в отношении обработки ПД работников в процессе трудовой (служебной) деятельности (при ее наличии) нет необходимости размещать в открытом доступе для неограниченного круга лиц. В этом случае допустимо опубликовать документ на корпоративном портале (при его наличии), а также разместить на информационных стендах.
В законодательстве нет требований относительно того, что должен включать данный документ. Полагаем, это зависит от самого УДО, целей сбора ПД и от того, какие ПД, кем и каким образом будут обрабатываться.
Порядок доступа к ПД целесообразно закрепить в одном документе, но отдельные его положения могут быть детализированы в иных документах, в т. ч. положениях об информационных ресурсах (системах), о видеонаблюдении и др.
При разработке порядка доступа к ПД в нем следует отразить различия в предоставлении доступа к ПД в информационных ресурсах и в документах в бумажном виде:
При этом, определяя порядок доступа к тем или иным ПД, необходимо закрепить перечень лиц, которые имеют доступ к ПД, с конкретизацией категорий и случаев, когда им предоставляется такой доступ (постоянно, временно, для каких целей).
Очевидно, что заведующий УДО, его заместители, воспитатели дошкольного образования, музыкальный руководитель, руководитель физического воспитания, педагог-психолог, учитель-дефектолог, делопроизводитель, обслуживающий персонал будут иметь доступ к различным категориям ПД.
Отсутствие такого порядка может привести к тому, что доступ к ПД будут иметь работники, должностные обязанности которых не связаны с обработкой ПД (например, обслуживающий персонал), или иные лица (родители, посетители УДО).
Положение о порядке доступа может включать следующую информацию:
Это важно
Рекомендации по составлению документа, определяющего порядок доступа к персональным данным, в т.ч. обрабатываемым в информационном ресурсе (системе), размещены в открытом доступе на сайте НЦЗПД в рубрике «Портфель оператора».
Операторы обязаны устанавливать и поддерживать в актуальном состоянии перечень информационных ресурсов (систем), содержащих ПД, собственниками (владельцами) которых они являются (подп. 3.5 п. 3 Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»).
К данным ресурсам (системам) следует относить (при наличии):
Данный перечень может быть установлен как в виде отдельного документа, так и в документах, определяющих политику оператора в отношении обработки ПД, реестре обработки ПД.
При этом УДО при заключении договора с уполномоченным лицом должно руководствоваться ст. 7 Закона.
Рекомендуется разработать и утвердить формы согласия субъекта ПД на обработку ПД, осуществляемую в УДО на основании согласия.
Это важно
Для разных целей обработки формы согласия могут различаться (по кругу обрабатываемых ПД, сроку хранения, кругу уполномоченных лиц и т. п.).
Пример
Форма согласия на обработку ПД законного представителя несовершеннолетнего воспитанника.
Форма согласия на обработку ПД работника УДО и др.
Данный документ может быть оформлен как отдельный локальный правовой акт либо включен в локальный акт, определяющий порядок функционирования информационной системы (ресурса), политику информационной безопасности.
Целесообразно вести учет предоставления ПД третьим лицам (например, в журнале или иным удобным способом). При отсутствии такого учета будет затруднительно в полной мере выполнять обязанности оператора (например, реализовывать право субъекта ПД, предусмотренное ст. 12 Закона, на получение информации о предоставлении его ПД третьим лицам).
В должностные инструкции работников, трудовая функция которых связана с обработкой ПД (включая педагогических работников, делопроизводителя, работников, ответственных за функционирование информационного ресурса (системы), и др.), необходимо внести положения, касающиеся соблюдения установленного законодательством о ПД и локальными правовыми актами порядка обработки ПД.
Перечень таких обязанностей определяется в каждом конкретном случае исходя из специфики деятельности работника. Примерный перечень можно найти на сайте НЦЗПД.
Например, в зависимости от трудовой функции работника в его должностную инструкцию могут быть включены обязанности:
В должностных инструкциях остальных работников, обрабатывающих ПД, может быть предусмотрена их обязанность «соблюдать установленный законодательством о защите ПД и локальными правовыми актами порядок обработки ПД».
Важно помнить и о том, что к числу обязательных мер по обеспечению защиты ПД относится не только подготовка вышеуказанных документов, но и ознакомление работников УДО и иных лиц, непосредственно осуществляющих обработку ПД, с положениями законодательства о ПД, в т. ч. с требованиями по защите ПД, документами, определяющими политику в отношении обработки ПД, иными документами, а также обучение указанных работников и иных лиц в порядке, установленном законодательством (абз. 4 п. 3 ст. 17 Закона).
Порядок ознакомления (ознакомление под роспись и др.) определяет само УДО.
Это важно
Ознакомление работников с положениями законодательства о ПД не должно быть формальным — работники действительно должны быть ознакомлены с тем объемом информации, который им необходим для успешного выполнения трудовых функций.
Порядок такого обучения, в т. ч. его периодичность, определен подп. 3.3 п. 3 Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных».
Непосредственно УДО в отдельную категорию субъектов, подлежащих обязательному обучению в НЦЗПД, не выделены. Однако те УДО, которые работают много лет и в которых обучается большое число воспитанников, могут подпадать под критерий операторов (уполномоченных лиц), организующих и (или) осуществляющих обработку ПД не менее 10 тыс. физических лиц, за исключением ПД работников этих операторов (уполномоченных лиц) в процессе осуществления трудовой (служебной) деятельности.
Указанный количественный критерий (обработка ПД не менее 10 тыс. физических лиц) не ограничен дополнительными временными требованиями (например, обработка в течение только текущего календарного года). Учитывается и период хранения ПД.
Принимая во внимание, что отдельные документы, образующиеся в деятельности УДО, могут храниться достаточно длительные сроки, УДО, подпадающим под данный критерий, следует запланировать обучение лиц, назначенных ответственными за осуществление внутреннего контроля, в НЦЗПД.
Однако практика показывает, что многие УДО (в отличие от учреждений общего среднего образования) не подпадают под этот критерий и могут воспользоваться иными вариантами обучения.
Это важно
Лица, непосредственно осуществляющие обработку ПД в УДО, могут пройти обучение как в НЦЗПД, так и у иных лиц.
Если же УДО не относится к категории субъектов, обязанных обеспечить прохождение обучения в НЦЗПД, они организуют прохождение обучения по вопросам защиты ПД в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов, в других организациях по образовательной программе обучающих курсов, у оператора (уполномоченного лица), т. е. в самом УДО.
Это может быть реализовано следующим образом. Лицо, ответственное за осуществление внутреннего контроля, проходит обучение в НЦЗПД или у иных субъектов, получает необходимые знания, а потом самостоятельно организует обучение иных работников УДО на основании полученных знаний и материалов, размещенных на сайте НЦЗПД.
Также вы можете ознакомиться со следующими формами документов:
форма согласия на обработку ПД работника УДО;
примерный реестр обработки ПД в УДО;
примерная политика видеонаблюдения для УДО;
примерная политика в отношении обработки ПД для УДО.
и затем На экран «Домой»
на верхней панели или нажмите меню и затем Добавить на домашний экран/экран приложений