Вы на портале
+375 (29) 896-76-10
Подписка
Вход
Еще
    № 2 февраль 2022

    Как исполнить требования законодательства о защите персональных данных: 8 обязательных шагов

    15 ноября 2021 г. вступил в силу Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных». Также был создан Национальный центр защиты персональных данных — уполномоченный орган по защите прав субъектов персональных данных, который уже частично сформировал план проверок на 2022 год.

    Рассмотрим алгоритм приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями указанного Закона.

    Косько Юрий
    Косько Юрий

    Юрист, специалист в сфере трудового права, выпускающий редактор портала «Судебная и арбитражная практика» (sudpraktika.by)

    Самосейко Владимир
    Самосейко Владимир

    Юрист, магистр права

    9995 Shape 1 copy 6Created with Avocode.

    Содержание:

    Образцы документов:

    • приказ о внесении изменений в штатное расписание (образец по ссылке);
    • должностная инструкция (образец по ссылке);
    • приказ о назначении лица (лиц), ответственного за осуществление внутреннего контроля за обработкой персональных данных (образец по ссылке);
    • положение об организации внутреннего контроля за обработкой персональных данных (образец по ссылке
    • реестр обработок персональных данных (образец  ссылке)
    • положение о политике организации в отношении обработки персональных данных (образец по ссылке);
    • положение о порядке доступа работников и иных лиц к обработке персональных данных (образец по ссылке);
    • формы согласия субъектов персональных данных применительно к обработке персональных данных на основании согласия (образец по ссылке);
    • приказ об определении лиц, имеющих право доступа к персональным данным работников, обрабатываемым организацией (образец по ссылке);
    • положение об уничтожении (удалении) персональных данных (образец по ссылке).
    • положение о порядке обучения по вопросам персональных данных (образец по ссылке);
    • приказ о направлении на обучение (организации обучения в учреждении) (образец по ссылке);
    • журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных (образец по ссылке).

    Шаг 1. Назначение ответственных лиц

    • Назначить структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных. 
    • Определить его должностные обязанности, утвердить положение об организации внутреннего контроля за обработкой персональных данных.

    Варианты назначения ответственного лица:

    • освобожденный работник (отдельное структурное подразделение);
    • возложение дополнительных функций на одного работника организации;
    • возложение дополнительных функций на нескольких работников.

    Итоговые документы: 

    • приказ о внесении изменений в штатное расписание (образец по ссылке);
    • должностная инструкция (образец по ссылке);
    • приказ о назначении лица (лиц), ответственного за осуществление внутреннего контроля за обработкой персональных данных (образец по ссылке);
    • положение об организации внутреннего контроля за обработкой персональных данных (образец по ссылке

    Шаг 2. Организация бизнес-процессов

    • Выявить и зафиксировать бизнес-процессы, в которых используются персональные данные.
    • Проанализировать бизнес-процессы, в которых используются персональные данные, на предмет соответствия требованиям законодательства о персональных данных.

    Каждый бизнес-процесс в отношении использования персональных данных необходимо проанализировать по следующим позициям:

    • цель обработки;
    • подразделение (лицо), ответственное за обработку;
    • категории лиц, чьи персональные данные обрабатываются;
    • категории обрабатываемых персональных данных;
    • правовая основа обработки;
    • источник получения персональных данных;
    • категории получателей персональных данных;
    • срок хранения персональных данных.

    Итоговый документ:

    • реестр обработок персональных данных (образец  ссылке)

    Шаг 3. Разработка локальных правовых актов 

    • Издать документы, определяющие политику в отношении обработки персональных данных.
    • Обеспечить неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к данной политике.
    • Разработать иные (кроме определяющих политику в отношении персональных данных) документы.

    Политик в организации может быть несколько. Например, одна политика для посетителей сайта, вторая — для соискателей при отборе персонала, третья — в части обработки персональных данных при видеонаблюдении и т.п.

    Итоговые документы:

    • положение о политике организации в отношении обработки персональных данных (образец по ссылке);
    • положение о порядке доступа работников и иных лиц к обработке персональных данных (образец по ссылке);
    • перечень информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых является оператор, а также категорий персональных данных, подлежащих включению в данные ресурсы (системы);
    • формы согласия субъектов персональных данных применительно к обработке персональных данных на основании согласия (образец по ссылке);
    • договоры между операторами и уполномоченными лицами либо дополнительные соглашения в отношении таких договоров;
    • документы, устанавливающие сроки хранения персональных данных;
    • приказ об определении лиц, имеющих право доступа к персональным данным работников, обрабатываемым организацией (образец по ссылке);
    • положение об уничтожении (удалении) персональных данных (образец по ссылке).

    Шаг 4. Оформление кадровых документов

    • Внести изменения в должностные обязанности лиц, обрабатывающих персональные данные.
    • Издать приказ о внесении изменений в должностную инструкцию лиц, обрабатывающих персональные данные.
    • Ознакомить работников с дополнением в должностную инструкцию и приказом о внесении дополнений в должностную инструкцию.

    Итоговые документы: 

    • дополнение должностной инструкции;
    • приказ о внесении изменений в должностную инструкцию.

    Шаг 5. Информирование работников

    • Ознакомить работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных.

    Варианты по ознакомлению работников с документами:

    • ознакомление с НПА и ЛПА по вопросам обработки персональных данных под роспись;
    • размещение рассматриваемых документов на стенде, в общедоступном корпоративном ресурсе и т.п.;
    • выдача копий таких документов и т.п.

    Итоговый документ:

    • лист ознакомления с НПА и ЛПА по вопросам обработки персональных данных (в случае ознакомления под роспись).

    Шаг 6. Обучение работников

    • Обучить лиц, непосредственно осуществляющих обработку персональных данных, и лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных.

    Лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, а также лица, непосредственно осуществляющие обработку персональных данных, которые обязаны проходить обучение в НЦЗПД, определены в приказе ОАЦ при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных».

    Иные лица проходят обучение:

    • в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов;
    • в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);
    • у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).

    Итоговые документы:

    • положение о порядке обучения по вопросам персональных данных (образец по ссылке);
    • приказ о направлении на обучение (организации обучения в учреждении) (образец по ссылке);
    • журнал учета лиц, прошедших обучение по вопросам персональных данных.

    Шаг 7. Разработка организационных и технических документов

    • Разработать документы, позволяющие реализовать организационные и технические меры.

    Следует обеспечить:

    • возможность отзыва согласия субъекта персональных данных в электронной форме, если согласие субъекта было получено в такой форме;
    • подтверждение информации о способе полученного согласия и условиях, при которых оно было дано;
    • фиксацию и хранение информации о предоставлении персональных данных третьим лицам. 

    Итоговые документы:

    • положение о порядке реагирования на заявления субъектов персональных данных;
    • унифицированные формы заявлений и ответов на них;
    • журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных (образец по ссылке).

    Шаг 8. Техническая и криптографическая защита персональных данных

    • Осуществить техническую и криптографическую защиту персональных данных в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

    Оператору необходимо: 

    • правильно классифицировать содержащиеся в информационном ресурсе (системе) персональные данные; 
    • провести государственную экспертизу средств технической и криптографической защиты информации. 

    Итоговый документ:

    • экспертное заключение.
    9995 Shape 1 copy 6Created with Avocode.
    Последнее
    по теме
    Очистить
    Отсортировано:
    по релевантности
    по дате
    Проверить контрагента:
    Очистить
    Очистить
    Период принятия
    Период регистрации в Национальном реестре
    Базы данных
    Результаты: 0
    Спасибо за сообщение!
    В скором времени мы свяжемся с вами
    На главную
    Ваш тарифный план не предусматривает возможность использования продукта "Эталон-онлайн" из комплекта "Эталон. Система Юрист". Просим Вас войти под пользователем с соответствующими правами или приобрести соответствующий тарифный план.
    Я уже подписчик
    Нужна помощь?
    Кадровик