Вы на портале
Персональные данные

Приведение деятельности организации в соответствие с законодательством о персональных данных: пошаговые действия

С момента принятия Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) прошло уже два года. 

За это время сформировалась определенная правоприменительная практика, и сегодня уже можно говорить о наиболее оптимальном алгоритме приведения деятельности организации в соответствие с требованиями Закона.

Пашковский Сергей
Пашковский Сергей

Лектор НЦЗПД, эксперт в кибербезопасности, аудитор систем менеджмента информационной безопасности, соавтор Закона «О защите персональных данных» и Концепции информационной безопасности Республики Беларусь 

3260 Shape 1 copy 6Created with Avocode.

Содержание:


Шаг 1. Выбор ответственного лица

Поскольку соблюдение требований Закона — это непрерывный процесс, еще на первоначальном этапе требуется определить круг потенциальных кандидатов, которые в последующем смогут осуществлять внутренний контроль за обработкой персональных данных (далее — ответственное лицо). Участие в проекте по приведению в соответствие с Законом поможет выявить наиболее подходящего кандидата на должность ответственного лица. Дело в том, что ответственное лицо должно быть не просто грамотным юристом. От данного сотрудника требуется весьма нетипичное сочетание качеств и профессиональных навыков.

Во-первых, он должен быть самообучаемым и следить за формированием правоприменительной практики. 

Во-вторых, хотя бы на базовом уровне ориентироваться в информационных системах (ресурсах) организации. Это значит понимать, что данные клиента, который регистрируется в интернет-магазине, собираются посредством сайта, а затем попадают в CRM-систему (с англ. «управление взаимоотношениями с клиентами»)

Ну и в-третьих, быть гибким при принятии решений, как в отношении внутренних бизнес-процессов, так и при взаимодействии с контрагентами.

Вполне очевидно, что найти сотрудника, обладающего такими качествами, крайне трудно. По этой причине многие компании назначают сразу двух ответственных лиц. Первое отвечает за принятие юридических мер, а второе — за их техническую реализацию.

Шаг 2. Выбор варианта действий по реализации проекта 

Когда «команда» готова, следует выбрать вариант действий по реализации проекта. Базовых сценария три — сделать все самостоятельно, дождаться проверки или воспользоваться помощью консультантов.

Первый сценарий наиболее привлекательный, так как не требует значительных дополнительных затрат. Однако успех будет целиком зависеть от компетентности сотрудников и поддержки со стороны высшего руководства.

Сценарий с «ожиданием проверки» наиболее результативный, ведь мы получаем конкретную позицию регулятора в отношении нашей компании. Однако на этом преимущества заканчиваются, поскольку за проверкой, к которой организация вообще не готовилась, как правило, следуют штраф, вред репутации, а также необходимость в короткий срок осуществить доработку информационной системы.

Привлечение консультантов — наиболее сбалансированный сценарий, так как мы получаем высокий уровень экспертизы без негативных последствий, присущих проверке. Но учитывая стоимость, данный вариант недоступен для малых организаций.

Шаг 3. Инвентаризация бизнес-процессов

Вне зависимости от сценария в первую очередь необходимо провести инвентаризацию всех бизнес-процессов, в ходе которой выявляются и фиксируются все случаи обработки, объем, а также сроки обработки персональных данных. 

Для качественной инвентаризации стоит провести встречи с представителями всех подразделений. В ходе таких встреч следует формировать реестр обработки персональных данных. Как показывает практика, качественно составленный реестр содержит не менее 50 целей.

Примерная форма реестра обработки персональных данных

Шаг 4. Выбор правового основания для обработки персональных данных

На этом этапе необходимо определить наиболее применимые правовые основания для обработки персональных данных. Так, для рассмотрения обращений граждан и юридических лиц правовым основанием будет являться абз. 20 ст. 6 Закона — выполнение полномочий, предусмотренных законодательством. Это следует из требований ст. 12 Закона Республики Беларусь от 18.07.2011 № 300-З «Об обращениях граждан и юридических лиц». В то же время для направления рекламно-информационных сообщений единственно возможным правовым основанием обработки персональных данных является согласие субъекта.

Шаг 5. Разработка текстов согласий

Для каждой из целей обработки необходимо разработать текст согласий. Это крайне ответственный этап, так как от правильности получения согласий зависит возможность дальнейшей работы с персональными данными, собранными для этих целей. Дело в том, что в случае нарушения требований к согласию субъекта оператор будет заново получать согласия и удалять персональные данные тех субъектов, которые не предоставят свое согласие.

Шаг 6. Урегулирование взаимоотношений с контрагентами

В рамках этого этапа компании необходимо определить, кто из контрагентов будет являться самостоятельным оператором, а кто будет действовать в роли уполномоченного лица. 

Договор с последними должен содержать положения, предусмотренные ст. 7 Закона. При этом особое внимание нужно обратить на цели обработки и перечень действий, которые разрешается осуществлять уполномоченному лицу. 

А вот в отношении договора с самостоятельными операторами требования пока не предъявляются.

Шаг 7. Разработка локальных правовых актов

Локальные правовые акты (далее — ЛПА), определяющие обработку персональных данных, делятся на две группы. 

Первая группа — это документы, подлежащие публичному размещению на сайте компании и в иных общедоступных для клиентов местах (например, информационные стенды). 

К ним относятся:

  • политика в отношении обработки персональных данных;
  • политика обработки cookie-файлов;
  • политика видеонаблюдения.

Вторая группа — это непубличные ЛПА:

  • перечень информационных ресурсов (систем), содержащих персональные данные;
  • перечень уполномоченных лиц; 
  • регламент работы с заявлениями субъектов; 
  • порядок разграничения доступа к персональным данным;
  • порядок осуществления внутреннего контроля.

Шаг 8. Реализация технической возможности обработки персональных данных в информационных системах

Несмотря на то, что в защите персональных данных доминируют правовые меры, следует учитывать, что для реальной защиты прав субъектов необходима техническая реализация требований в информационной системе оператора. Для ситуаций получения согласия субъекта в электронной форме оператор должен реализовать возможность отзыва согласия в такой же форме. Если субъект использует мобильное приложение или личный кабинет, то у него должна быть возможность отозвать ранее предоставленное согласие через эти интерфейсы. Для ситуаций, когда согласия, как и сами персональные данные, собирались через web-формы, практически безальтернативным вариантом отзыва является направление сообщения на указанный оператором адрес электронной почты. 

Справочно.
Для соблюдения сроков обработки персональных данных необходимо обеспечить учет даты получения согласия субъекта, а также автоматическое удаление данных при достижении предельного срока хранения или в случае отзыва согласия. Как правило, для этого требуется добавить в таблицу с персональными данными субъекта столбцы «Дата получения согласия» и «Срок окончания обработки».

Помимо получения и отзыва согласий субъектов необходимо обеспечить учет фактов автоматизированной передачи персональных данных. Без такой доработки будет невозможна реализация прав субъекта, предусмотренных ст. 12 Закона, а именно: получение субъектом персональных данных по его заявлению информации о предоставлении его персональных данных третьим лицам.

Поскольку во многих информационных системах отсутствует техническая возможность удаления, необходимо обеспечить блокирование доступа к персональным данным. Помимо вышеуказанного, технические меры включают в себя и мероприятия по технической и криптографической защите информации.

Справочно.
Блокирование доступа к персональным данным будет признано соответствующим общим принципам обработки лишь в случае, когда персональные данные будут доступны ограниченному числу сотрудников ИТ-подразделения, осуществляющих непосредственное администрирование базы данных.

Шаг 9. Обучение сотрудников, осуществляющих обработку персональных данных

Законодательство о персональных данных требует, чтобы сотрудники, непосредственно осуществляющие обработку персональных данных, проходили обучение не реже одного раза в пять лет. Однако следует помнить о естественной ротации кадров. Кроме того, нужно учитывать, что оператор обязан организовывать не только обучение, но и проверку знаний.

По завершении проекта по приведению деятельности в соответствие с требованиями Закона важно понимать, что достигнутый уровень актуален лишь на непродолжительный период времени. Для его сохранения требуется постоянное самообучение ответственного лица и адаптация бизнес-процессов под складывающуюся правоприменительную практику.

3260 Shape 1 copy 6Created with Avocode.
Последнее
по теме