Политика оператора (уполномоченного лица) в отношении обработки персональных данных
Одной из обязательных мер по обеспечению защиты персональных данных является издание оператором (уполномоченным лицом) документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных (ст. 17 Закона).
У каждого нанимателя должен быть документ, который определяет политику организации в отношении обработки персональных данных. Политику нужно разрабатывать с учетом специфики деятельности организации.
Структура и содержание такой политики может быть следующей:
• цели обработки персональных данных, которые предусматривают законодательство, устав и другие документы;
• перечень персональных данных для каждой категории лиц: работники, клиенты, посетители и др.;
• случаи обработки специальных и биометрических данных лучше прописать отдельно.
Этот документ действует не только в отношении работников оператора, но и в отношении его клиентов. Поэтому оператор (организация) должна обеспечить неограниченный доступ к политике. Удобнее всего это сделать на официальном сайте оператора (организации). Если посетители приходят в офис, политику можно напечатать и разместить в общедоступном месте. Если этого не сделать, проверяющие сочтут это нарушением ст. 17 Закона.
Справочно.
Оператор (уполномоченное лицо), являющийся юридическим лицом Республики Беларусь, обязан обеспечить неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику оператора (уполномоченного лица) в отношении обработки персональных данных, до начала такой обработки.
Доступ к политике должен быть открытым и простым. Рекомендуется размещать документ так, чтобы его можно было легко найти и прочитать без регистрации на сайте. Чтобы проверяющий быстро нашел документ, советуем создать на главной странице отдельную вкладку с документами оператора (организации) и опубликовать его там.
Образец положения о политике организации в отношении обработки персональных данных
Положение об обработке персональных данных
В отличие от политики оператора (уполномоченного лица) в отношении обработки персональных данных, положение об обработке персональных данных — это локальный правовой акт. Согласно ст. 1 ТК локальные правовые акты — коллективные договоры, соглашения, правила внутреннего трудового распорядка и иные принятые в установленном порядке акты, регулирующие трудовые и связанные с ними отношения у конкретного нанимателя.
В таком ЛПА должны содержаться правила, по которым организация получает, обрабатывает, передает и хранит персональные данные работников, бывших работников и кандидатов на работу и т.п.
Образец положения об обработке персональных данных в организации
Приказы о назначении ответственных лиц
При назначении ответственных лиц необходимо различать лиц, имеющих право допуска к персональным данным, и лиц, допущенных к их обработке.
Справочно.
С учетом ст. 17 Закона обязательными мерами по обеспечению защиты персональных данных являются в том числе назначение оператором (уполномоченным лицом) структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных.
Закон напрямую не отвечает на вопрос, кто именно может быть таким ответственным лицом. В идеале таким ответственным лицом может быть, например, менеджер по защите персональных данных. Либо возможно, например, на одного из юрисконсультов возложить преимущественно работу по осуществлению внутреннего контроля за обработкой персональных данных.
Вполне допустимо фактическое разделение внутреннего контроля за обработкой персональных данных между несколькими лицами, один из которых может осуществлять такой контроль в части соблюдения организационных и правовых мер, а второй соответственно — в части соблюдения технических мер по защите персональных данных. В таком случае лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных в части технической его части, может быть и системный администратор, программист. Опять же желательно, чтобы такой работник непосредственно сам не обрабатывал персональные данные.
Образец приказа о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных
При наличии обособленных подразделений можно назначить ответственными и должностных лиц в данных подразделениях, а в головной организации можно конкретизировать, за что отвечает лицо, ответственное за внутренний контроль в головном офисе. Если же в организации нет работника (лица), на которого можно возложить ответственность за осуществление внутреннего контроля за обработкой персональных данных, то возложить ее руководитель организации, полагаем, должен на себя.
Также можно выделить лиц, которые ответственны за эксплуатацию средств защиты информации, то есть за технический аспект защиты персональных данных.
Образец приказа о назначении лица, ответственного за эксплуатацию средств защиты информации
Данные лица также будут ответственны за разработку плана внутреннего контроля соответствия обработки персональных данных требованиям защиты персональных данных на календарный год.
Образец плана внутреннего контроля соответствия обработки персональных данных требованиям защиты персональных данных на 2022 год
Круг лиц, имеющих право допуска к персональным данным, широкий: это как сами субъекты персональных данных (в отношении своих персональных данных), так и многочисленные государственные органы (статистические, правоохранительные и т.п.). В данном случае организация определяет перечень именно работников, которые имеют право на допуск к персональным данным с целью их обработки (выполнения своих должностных (трудовых) обязанностей). Например, работникам кадровой службы такой допуск нужен для оформления трудовых отношений с физическими лицами, работникам кадровой службы — для начисления заработной платы, производства налоговых и иных удержаний и т.п.
Такой перечень может быть предусмотрен в виде ЛПА (например, положение о порядке допуска работников и иных лиц к обработке персональных данных) , либо в виде отдельного приказа.
Образец положения о порядке допуска работников и иных лиц к обработке персональных данных
Полагаем, удобнее оформлять в виде отдельного приказа, так как в него проще вносить изменения и дополнения при смене уполномоченных лиц.
Образец приказа об определении лиц, имеющих право доступа к персональным данным работников, обрабатываемых организацией
Обязательство о соблюдении установленного порядка обработки персональных данных
Закон напрямую, в том числе в ст. 17, не устанавливает обязанность по оформлению отдельного документа, в котором работник оператора персональных данных брал бы на себя обязательно по соблюдению установленного (законодательством или ЛПА организации) порядка обработки персональных данных.
Так, согласно ст. 17 Закона оператор (уполномоченное лицо) обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Перечень таких мер оператор устанавливает самостоятельно с учетом минимального обязательного перечня мер, который определен в п. 3 ст. 17 Закона. В частности, одной из обязательных мер является установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе).
Иными словами, каким образом оформить порядок допуска в части закрепления обязанностей работников, допущенных к обработке персональных данных, наниматель решает самостоятельно: либо через закрепление таких обязанностей в трудовом договоре (контракте) (с учетом ч. 3 ст. 19 ТК), либо посредством дачи работником соответствующего обязательства.
Образец обязательства о соблюдении установленного порядка обработки персональных данных