Вы на портале

Как исполнить требования законодательства о защите персональных данных: 8 обязательных шагов

15 ноября 2021 г. вступил в силу Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных». Также был создан Национальный центр защиты персональных данных — уполномоченный орган по защите прав субъектов персональных данных, который уже частично сформировал план проверок на 2022 год.

Рассмотрим алгоритм приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями указанного Закона.

Косько Юрий
Косько Юрий

Юрист, специалист в сфере трудового права, выпускающий редактор портала «Судебная и арбитражная практика» (sudpraktika.by)

Самосейко Владимир
Самосейко Владимир

Юрист, магистр права

10330 Shape 1 copy 6Created with Avocode.

Содержание:

Образцы документов:

  • приказ о внесении изменений в штатное расписание (образец по ссылке);
  • должностная инструкция (образец по ссылке);
  • приказ о назначении лица (лиц), ответственного за осуществление внутреннего контроля за обработкой персональных данных (образец по ссылке);
  • положение об организации внутреннего контроля за обработкой персональных данных (образец по ссылке
  • реестр обработок персональных данных (образец  ссылке)
  • положение о политике организации в отношении обработки персональных данных (образец по ссылке);
  • положение о порядке доступа работников и иных лиц к обработке персональных данных (образец по ссылке);
  • формы согласия субъектов персональных данных применительно к обработке персональных данных на основании согласия (образец по ссылке);
  • приказ об определении лиц, имеющих право доступа к персональным данным работников, обрабатываемым организацией (образец по ссылке);
  • положение об уничтожении (удалении) персональных данных (образец по ссылке).
  • положение о порядке обучения по вопросам персональных данных (образец по ссылке);
  • приказ о направлении на обучение (организации обучения в учреждении) (образец по ссылке);
  • журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных (образец по ссылке).

Шаг 1. Назначение ответственных лиц

  • Назначить структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных. 
  • Определить его должностные обязанности, утвердить положение об организации внутреннего контроля за обработкой персональных данных.

Варианты назначения ответственного лица:

  • освобожденный работник (отдельное структурное подразделение);
  • возложение дополнительных функций на одного работника организации;
  • возложение дополнительных функций на нескольких работников.

Итоговые документы: 

  • приказ о внесении изменений в штатное расписание (образец по ссылке);
  • должностная инструкция (образец по ссылке);
  • приказ о назначении лица (лиц), ответственного за осуществление внутреннего контроля за обработкой персональных данных (образец по ссылке);
  • положение об организации внутреннего контроля за обработкой персональных данных (образец по ссылке

Шаг 2. Организация бизнес-процессов

  • Выявить и зафиксировать бизнес-процессы, в которых используются персональные данные.
  • Проанализировать бизнес-процессы, в которых используются персональные данные, на предмет соответствия требованиям законодательства о персональных данных.

Каждый бизнес-процесс в отношении использования персональных данных необходимо проанализировать по следующим позициям:

  • цель обработки;
  • подразделение (лицо), ответственное за обработку;
  • категории лиц, чьи персональные данные обрабатываются;
  • категории обрабатываемых персональных данных;
  • правовая основа обработки;
  • источник получения персональных данных;
  • категории получателей персональных данных;
  • срок хранения персональных данных.

Итоговый документ:

  • реестр обработок персональных данных (образец  ссылке)

Шаг 3. Разработка локальных правовых актов 

  • Издать документы, определяющие политику в отношении обработки персональных данных.
  • Обеспечить неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к данной политике.
  • Разработать иные (кроме определяющих политику в отношении персональных данных) документы.

Политик в организации может быть несколько. Например, одна политика для посетителей сайта, вторая — для соискателей при отборе персонала, третья — в части обработки персональных данных при видеонаблюдении и т.п.

Итоговые документы:

  • положение о политике организации в отношении обработки персональных данных (образец по ссылке);
  • положение о порядке доступа работников и иных лиц к обработке персональных данных (образец по ссылке);
  • перечень информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых является оператор, а также категорий персональных данных, подлежащих включению в данные ресурсы (системы);
  • формы согласия субъектов персональных данных применительно к обработке персональных данных на основании согласия (образец по ссылке);
  • договоры между операторами и уполномоченными лицами либо дополнительные соглашения в отношении таких договоров;
  • документы, устанавливающие сроки хранения персональных данных;
  • приказ об определении лиц, имеющих право доступа к персональным данным работников, обрабатываемым организацией (образец по ссылке);
  • положение об уничтожении (удалении) персональных данных (образец по ссылке).

Шаг 4. Оформление кадровых документов

  • Внести изменения в должностные обязанности лиц, обрабатывающих персональные данные.
  • Издать приказ о внесении изменений в должностную инструкцию лиц, обрабатывающих персональные данные.
  • Ознакомить работников с дополнением в должностную инструкцию и приказом о внесении дополнений в должностную инструкцию.

Итоговые документы: 

  • дополнение должностной инструкции;
  • приказ о внесении изменений в должностную инструкцию.

Шаг 5. Информирование работников

  • Ознакомить работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных.

Варианты по ознакомлению работников с документами:

  • ознакомление с НПА и ЛПА по вопросам обработки персональных данных под роспись;
  • размещение рассматриваемых документов на стенде, в общедоступном корпоративном ресурсе и т.п.;
  • выдача копий таких документов и т.п.

Итоговый документ:

  • лист ознакомления с НПА и ЛПА по вопросам обработки персональных данных (в случае ознакомления под роспись).

Шаг 6. Обучение работников

  • Обучить лиц, непосредственно осуществляющих обработку персональных данных, и лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных.

Лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, а также лица, непосредственно осуществляющие обработку персональных данных, которые обязаны проходить обучение в НЦЗПД, определены в приказе ОАЦ при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных».

Иные лица проходят обучение:

  • в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов;
  • в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);
  • у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).

Итоговые документы:

  • положение о порядке обучения по вопросам персональных данных (образец по ссылке);
  • приказ о направлении на обучение (организации обучения в учреждении) (образец по ссылке);
  • журнал учета лиц, прошедших обучение по вопросам персональных данных.

Шаг 7. Разработка организационных и технических документов

  • Разработать документы, позволяющие реализовать организационные и технические меры.

Следует обеспечить:

  • возможность отзыва согласия субъекта персональных данных в электронной форме, если согласие субъекта было получено в такой форме;
  • подтверждение информации о способе полученного согласия и условиях, при которых оно было дано;
  • фиксацию и хранение информации о предоставлении персональных данных третьим лицам. 

Итоговые документы:

  • положение о порядке реагирования на заявления субъектов персональных данных;
  • унифицированные формы заявлений и ответов на них;
  • журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных (образец по ссылке).

Шаг 8. Техническая и криптографическая защита персональных данных

  • Осуществить техническую и криптографическую защиту персональных данных в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

Оператору необходимо: 

  • правильно классифицировать содержащиеся в информационном ресурсе (системе) персональные данные; 
  • провести государственную экспертизу средств технической и криптографической защиты информации. 

Итоговый документ:

  • экспертное заключение.
10330 Shape 1 copy 6Created with Avocode.
Последнее
по теме