С учетом требований законодательства о персональных данных и позиции Национального центра защиты персональных данных (далее — Центр) в отношении применения отдельных положений Закона в УДО необходимо предпринять следующие меры.
1. Назначить лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, внести необходимые дополнения (изменения) в должностную инструкцию этого работника.
Конкретные квалификационные требования, предъявляемые к работникам, на которых возлагаются функции специалиста, осуществляющего внутренний контроль за обработкой персональных данных, установлены в Едином квалификационном справочнике должностей служащих «Должности служащих для всех видов деятельности» (выпуск 1) (утв. постановлением Министерства труда Республики Беларусь от 30.12.1999 № 159).
Справочно: назначение лица, ответственного за осуществление внутреннего контроля (возложение соответствующих обязанностей на конкретного специалиста), не снимает ответственности с заведующего и других работников УДО за несоблюдение требований законодательства о персональных данных.
2. Составить и поддерживать в актуальном состоянии реестр обработки персональных данных.
Реестр ведется в целях осуществления надлежащего контроля за обработкой персональных данных, систематизации и учета видов их обработки.
Реестр обработки персональных данных в УДО может состоять из разделов, указанных ниже. Как заполняется реестр, показано на примере такой цели обработки персональных данных, как осуществление административных процедур.
Реестр обработки персональных данных
1Перечень типовых документов, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей, с указанием сроков хранения (приложение 1 к постановлению Министерства юстиции Республики Беларусь от 24.05.2012 № 140).
3. Разработать и утвердить:
- положение об организации внутреннего контроля за обработкой персональных данных;
- документы, определяющие политику в отношении обработки персональных данных (далее — политика)2.
2 Рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных, размещены на сайте Центра в разделе «Методологические документы».
По решению УДО политика может быть одним документом или же можно разработать несколько таких документов, например, политику в отношении обработки персональных данных:
- в трудовых отношениях;
- при видеонаблюдении;
- на сайте и т. д.
Это важно
Политика должна быть размещена на сайте УДО на странице не ниже второго уровня. При отсутствии у УДО сайта обеспечение неограниченного доступа к политике осуществляется посредством ее размещения на информационных стендах или иными способами.
Учитывая однотипность процессов обработки персональных данных в УДО, оптимальным вариантом видится разработка типовых политик (например, разработка на уровне комитетов (управлений) по образованию исполкомов соответствующего уровня). Вместе с тем следует понимать, что политика — это ключевой документ оператора, отражение всех осуществляемых им обработок. По этой причине такие типовые политики могут использоваться в качестве основы и адаптироваться операторами с учетом специфики (потребностей) их деятельности.
Результаты выборочного мониторинга сайтов УДО показывают, что одной из наиболее распространенных ошибок операторов при реализации положений ст. 17 Закона является неотражение в документах, определяющих политику оператора в отношении защиты персональных данных, всех бизнес- и иных процессов, в которых осуществляется обработка персональных данных;
- порядок доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе).
В УДО разрабатывается положение о порядке доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе), в котором среди прочего определяется перечень работников, имеющих доступ к персональным данным, в соответствии с категориями персональных данных и целями их обработки.
4. Внести изменения в должностные обязанности лиц, обрабатывающих персональные данные.
В должностных инструкциях работников, осуществляющих обработку персональных данных (воспитателей дошкольного образования, помощников воспитателей, педагогов-психологов и др.), следует предусмотреть обязанность «соблюдать установленный законодательством о персональных данных и локальными правовыми актами порядок обработки персональных данных».
При необходимости должностные обязанности конкретных работников (например, ответственных за функционирование информационного ресурса (системы)) в части реализации законодательства о персональных данных могут быть детализированы, в т. ч. исходя из способов организации оператором выполнения обязанностей, предусмотренных ст. 16 Закона.
Справочно: в зависимости от трудовой функции работника в его должностную инструкцию могут быть включены обязанности:
• получать в необходимых случаях согласие субъекта персональных данных на обработку его персональных данных;
• осуществлять контроль за соответствием срока обработки персональных данных заявленным целям, прекращать обработку персональных данных, а также обеспечивать их удаление или блокирование при отсутствии правовых оснований для обработки персональных данных;
• обеспечивать предоставление субъектам персональных данных информации об их персональных данных, а также о предоставлении их персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;
• обеспечивать доступ к персональным данным в установленном порядке, вести учет такого доступа и случаев предоставления, распространения персональных данных третьим лицам и т. п.
5. Ознакомить работников и иных лиц, непосредственно осуществляющих обработку персональных данных в УДО, с положениями законодательства о персональных данных.
Главное при ознакомлении работников — избежать формализма. Допускается избрать любой механизм подтверждения ознакомления (например, под роспись в журнале).
6. Запланировать и организовать обучение лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, и лиц, непосредственно осуществляющих обработку персональных данных.
Требования к организации обучения по вопросам защиты персональных данных лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, установлены подп. 3.3 п. 3 Указа Президента Республики Беларусь от 28.10.2021 № 422 «О совершенствовании мер по защите персональных данных».
Кроме того, УДО как операторам необходимо обеспечить реализацию иных организационных и технических мер, предусмотренных Законом (например, разработать форму согласия для использования в тех случаях, когда правовым основанием обработки выступает согласие, организовать фиксацию и хранение информации о предоставлении персональных данных третьим лицам (это могут быть журналы, если информация предоставлялась в письменном виде, система логирования в информационном ресурсе (системе) и т. п.)).
Это важно
На сайте Центра размещены образцы необходимых документов, разъяснения вопросов о применении Закона, в т. ч. подробные разъяснения о его применении в сфере образования, алгоритм приведения деятельности оператора в соответствие с Законом с необходимыми разъяснениями.
Ответы на актуальные вопросы в сфере защиты персональных данных оперативно размещаются Центром в Telegram-канале «Центр персональных данных».
и затем На экран «Домой»
на верхней панели или нажмите меню и затем Добавить на домашний экран/экран приложений