Содержание:
Образцы документов:
- приказ о внесении изменений в штатное расписание (образец по ссылке);
- должностная инструкция (образец по ссылке);
- приказ о назначении лица (лиц), ответственного за осуществление внутреннего контроля за обработкой персональных данных (образец по ссылке);
- положение об организации внутреннего контроля за обработкой персональных данных (образец по ссылке)
- реестр обработок персональных данных (образец ссылке)
- положение о политике организации в отношении обработки персональных данных (образец по ссылке);
- положение о порядке доступа работников и иных лиц к обработке персональных данных (образец по ссылке);
- формы согласия субъектов персональных данных применительно к обработке персональных данных на основании согласия (образец по ссылке);
- приказ об определении лиц, имеющих право доступа к персональным данным работников, обрабатываемым организацией (образец по ссылке);
- положение об уничтожении (удалении) персональных данных (образец по ссылке).
- положение о порядке обучения по вопросам персональных данных (образец по ссылке);
- приказ о направлении на обучение (организации обучения в учреждении) (образец по ссылке);
- журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных (образец по ссылке).
Шаг 1. Назначение ответственных лиц
- Назначить структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.
- Определить его должностные обязанности, утвердить положение об организации внутреннего контроля за обработкой персональных данных.
Варианты назначения ответственного лица:
- освобожденный работник (отдельное структурное подразделение);
- возложение дополнительных функций на одного работника организации;
- возложение дополнительных функций на нескольких работников.
Итоговые документы:
- приказ о внесении изменений в штатное расписание (образец по ссылке);
- должностная инструкция (образец по ссылке);
- приказ о назначении лица (лиц), ответственного за осуществление внутреннего контроля за обработкой персональных данных (образец по ссылке);
- положение об организации внутреннего контроля за обработкой персональных данных (образец по ссылке)
Шаг 2. Организация бизнес-процессов
- Выявить и зафиксировать бизнес-процессы, в которых используются персональные данные.
- Проанализировать бизнес-процессы, в которых используются персональные данные, на предмет соответствия требованиям законодательства о персональных данных.
Каждый бизнес-процесс в отношении использования персональных данных необходимо проанализировать по следующим позициям:
- цель обработки;
- подразделение (лицо), ответственное за обработку;
- категории лиц, чьи персональные данные обрабатываются;
- категории обрабатываемых персональных данных;
- правовая основа обработки;
- источник получения персональных данных;
- категории получателей персональных данных;
- срок хранения персональных данных.
Итоговый документ:
- реестр обработок персональных данных (образец ссылке)
Шаг 3. Разработка локальных правовых актов
- Издать документы, определяющие политику в отношении обработки персональных данных.
- Обеспечить неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к данной политике.
- Разработать иные (кроме определяющих политику в отношении персональных данных) документы.
Политик в организации может быть несколько. Например, одна политика для посетителей сайта, вторая — для соискателей при отборе персонала, третья — в части обработки персональных данных при видеонаблюдении и т.п.
Итоговые документы:
- положение о политике организации в отношении обработки персональных данных (образец по ссылке);
- положение о порядке доступа работников и иных лиц к обработке персональных данных (образец по ссылке);
- перечень информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых является оператор, а также категорий персональных данных, подлежащих включению в данные ресурсы (системы);
- формы согласия субъектов персональных данных применительно к обработке персональных данных на основании согласия (образец по ссылке);
- договоры между операторами и уполномоченными лицами либо дополнительные соглашения в отношении таких договоров;
- документы, устанавливающие сроки хранения персональных данных;
- приказ об определении лиц, имеющих право доступа к персональным данным работников, обрабатываемым организацией (образец по ссылке);
- положение об уничтожении (удалении) персональных данных (образец по ссылке).
Шаг 4. Оформление кадровых документов
- Внести изменения в должностные обязанности лиц, обрабатывающих персональные данные.
- Издать приказ о внесении изменений в должностную инструкцию лиц, обрабатывающих персональные данные.
- Ознакомить работников с дополнением в должностную инструкцию и приказом о внесении дополнений в должностную инструкцию.
Итоговые документы:
- дополнение должностной инструкции;
- приказ о внесении изменений в должностную инструкцию.
Шаг 5. Информирование работников
- Ознакомить работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных.
Варианты по ознакомлению работников с документами:
- ознакомление с НПА и ЛПА по вопросам обработки персональных данных под роспись;
- размещение рассматриваемых документов на стенде, в общедоступном корпоративном ресурсе и т.п.;
- выдача копий таких документов и т.п.
Итоговый документ:
- лист ознакомления с НПА и ЛПА по вопросам обработки персональных данных (в случае ознакомления под роспись).
Шаг 6. Обучение работников
- Обучить лиц, непосредственно осуществляющих обработку персональных данных, и лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных.
Лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, а также лица, непосредственно осуществляющие обработку персональных данных, которые обязаны проходить обучение в НЦЗПД, определены в приказе ОАЦ при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных».
Иные лица проходят обучение:
- в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов;
- в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);
- у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).
Итоговые документы:
- положение о порядке обучения по вопросам персональных данных (образец по ссылке);
- приказ о направлении на обучение (организации обучения в учреждении) (образец по ссылке);
- журнал учета лиц, прошедших обучение по вопросам персональных данных.
Шаг 7. Разработка организационных и технических документов
- Разработать документы, позволяющие реализовать организационные и технические меры.
Следует обеспечить:
- возможность отзыва согласия субъекта персональных данных в электронной форме, если согласие субъекта было получено в такой форме;
- подтверждение информации о способе полученного согласия и условиях, при которых оно было дано;
- фиксацию и хранение информации о предоставлении персональных данных третьим лицам.
Итоговые документы:
- положение о порядке реагирования на заявления субъектов персональных данных;
- унифицированные формы заявлений и ответов на них;
- журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных (образец по ссылке).
Шаг 8. Техническая и криптографическая защита персональных данных
- Осуществить техническую и криптографическую защиту персональных данных в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
Оператору необходимо:
- правильно классифицировать содержащиеся в информационном ресурсе (системе) персональные данные;
- провести государственную экспертизу средств технической и криптографической защиты информации.
Итоговый документ: