ПОЛОЖЕНИЕ
о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе)
1. Настоящее Положение разработано на основании абзаца пятого пункта 3 статьи 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“, а также в соответствии с:
Инструкцией по делопроизводству, утвержденной приказом [”руководителя“] [”название организации“] от ___ № ___;
Положением о политике в отношении обработки персональных данных, утвержденным приказом [”руководителя“] [”название организации“] от ___ № ___;
Положением об организации информационной безопасности, утвержденным приказом [”руководителя“] [”название организации“] от ___ № ___;
перечнем информационных ресурсов (систем), содержащих персональные данные и категории персональных данных, подлежащих включению в них, установленным приказом [”руководителя“] [”название организации“] от ___ № ___.
2. Доступ в [”название организации“] к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), предоставляется:
работникам [”название организации“] (далее – работники) для выполнения должностных обязанностей в объеме, необходимом для надлежащего выполнения этих обязанностей;
работникам уполномоченного лица в объеме и на условиях, необходимых для исполнения договора между [”название организации“] и уполномоченным лицом (далее – иные лица).
3. Доступ к персональным данным имеют следующие работники:
[”руководитель“] [”название организации“] (лицо, исполняющее его обязанности) – ко всем категориям персональных данных;
лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных – ко всем категориям персональных данных в пределах исполнения должностных обязанностей;
заместители [”руководителя“] [”название организации“] – к персональным данным, необходимым для реализации положений Трудового кодекса Республики Беларусь, иных законодательных актов о труде и принятых в их развитие актов законодательства, данным в соответствии с содержанием резюме соискателей вакансий в структурных подразделениях по курируемым направлениям деятельности, иным категориям персональных данных, необходимым для исполнения должностных обязанностей;
администратор системный – к персональным данным, обрабатываемым [”название организации“] в информационных ресурсах (системах), в пределах исполнения должностных обязанностей.
Работникам, непосредственно осуществляющим обработку персональных данных, если иное не определено в части первой настоящего пункта, предоставляется доступ к персональным данным исходя из занимаемой должности и в соответствии с категориями персональных данных и целями их обработки согласно приложению 1, иным лицам – в соответствии с договором.
Предоставление доступа к персональным данным в информационных ресурсах (системах), а также отзыв предоставленных прав осуществляется при помощи средств управления правами доступа к соответствующим ресурсам (системам) согласно приложению 2.
4. Права доступа работника, иного лица:
изменяются – в случаях перевода работника на другую должность или изменения условий договора с уполномоченным лицом;
прекращаются – в случае увольнения работника или окончания срока действия договора с уполномоченным лицом, расторжения такого договора.
Доступ к персональным данным может быть также прекращен на основании организационно-распорядительного документа (приказа, поручения, указания) или иного документа с резолюцией [”руководителя“] [”название организации“] (лица, исполняющего его обязанности) или его заместителя.
5. Предоставление доступа к персональным данным обеспечивается:
в случае если персональные данные содержатся в организационно-распорядительной документации, образующейся в [”название организации“], – руководителем (его заместителем) структурного подразделения, в котором осуществляется оперативное хранение дела в соответствии с номенклатурой дел [”название организации“];
в случае если персональные данные обрабатываются в информационном ресурсе (системе) – администратором системным, осуществляющим обеспечение информационной безопасности согласно пункту ___ Положения об информационной безопасности.
6. Работники, не имеющие доступа к персональным данным, исходя из занимаемой должности или выполняемых функций, могут получить временный доступ к персональным данным одной или нескольких категорий и целей их обработки для выполнения служебного задания на период времени и в объеме, которые необходимы для выполнения такого задания.
При определении периода времени и объема персональных данных для предоставления временного доступа к ним руководитель структурного подразделения или его заместитель, а также администратор системный руководствуются содержанием служебного задания, содержащегося в организационно-распорядительном документе (приказ, поручение, указание) или ином документе с резолюцией [”руководителя“] [”название организации“] (лица, исполняющего его обязанности) или его заместителя по курируемому направлению деятельности.
В случае наличия сомнений относительно периода времени или объема персональных данных лицу, предоставляющему временный доступ к персональным данным, необходимо обратиться к [”руководителю“] [”название организации“] (лицу, исполняющему его обязанности) или его заместителю по курируемому направлению деятельности.
7. Работник или иное лицо, случайно или по иным причинам получившее доступ к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), не вправе изучать, изменять, удалять, копировать или иным способом использовать соответствующие документы или файлы.
8. Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, изучает и анализирует процессы, связанные с соблюдением настоящего Положения, вносит [”руководителю“] [”название организации“] (лицу, исполняющему его обязанности) предложения по совершенствованию осуществления внутреннего контроля за обработкой персональных данных, в том числе по ограничению доступа отдельных работников к определенным категориям персональных данных (если по его мнению такой доступ носит избыточный характер и может создавать риски для защиты прав субъектов персональных данных).
Приложение 1
ПЕРЕЧЕНЬ
работников, имеющих доступ к персональным данным, в соответствии с категориями персональных данных и целями их обработки
№ | Категории персональных данных | Цели обработки персональных данных | Работники, непосредственно осуществляющие обработку персональных данных |
1 | Данные, предусмотренные Трудовым кодексом Республики Беларусь, иными законодательными актами о труде и принятыми в их развитие актами законодательства | при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных | специалист по кадрам, главный бухгалтер, экономист, документовед |
2 | Персональные данные в соответствии с содержанием резюме (анкет, автобиографий, листков по учету кадров, заявлений, рекомендательных писем и т.п.) | рассмотрение резюме (анкет, автобиографий, листков по учету кадров, заявлений, рекомендательных писем и т.п.) соискателей на вакантные должности в целях заключения трудового договора (контракта) | специалист по кадрам, руководители структурных подразделений, их заместители |
3 | Фамилия, собственное имя, отчество (при его наличии, далее – отчество) либо инициалы лица, должность лица, подписавшего договор, иные данные в соответствии с условиями договора (при необходимости) | заключение и исполнение гражданско-правовых договоров (например, поставка, купля-продажа, подряд и т.п.) | главный бухгалтер, экономист, юрист, работники отдела организационного обеспечения |
4 | Фамилия, собственное имя, отчество либо инициалы, адрес места жительства (места пребывания), суть обращения, иные персональные данные, указанные в обращении | рассмотрение обращений, в том числе внесенных в книгу замечаний и предложений | работники отдела по работе с обращениями, документовед |
5 | Фамилия, собственное имя, отчество, контактный телефон, суть вопроса | предварительная запись на личный прием проведение ”горячих линий“ | документовед работники отдела по работе с обращениями, привлекаемые к проведению личного приема |
6 | Фамилия, собственное имя, отчество, адрес места жительства и (или) работы (учебы), контактный телефон (при необходимости), суть обращения, иные персональные данные, указанные в ходе проведения ”прямой телефонной линии“ | проведение личного приема, ”прямых телефонных линий“ | работники отдела по работе с обращениями |
7 | Фамилия, собственное имя, отчество либо инициалы лица, личная подпись, иные персональные данные (при необходимости) | организация оказания информационно-консультационных услуг | главный бухгалтер, экономист, юрист |
Права доступа, предоставленные работникам и иным лицам в информационных ресурсах (системах), содержащих персональные данные
№ | Наименование информационного ресурса (системы) | Работники, непосредственно осуществляющие обработку персональных данных | Категория (группа) пользователей | Права доступа в информационном ресурсе (системе) |
1 | Программное обеспечение ”Управление предприятием“ | ведущий администратор системный | администратор | добавление и удаление пользователей |
главный бухгалтер, экономист, специалист по кадрам | пользователь | добавление, изменение и удаление информации | ||
2 | Программное обеспечение ”Управление учебным центром“ | администратор системный | администратор | добавление и удаление пользователей |
управление образовательных услуг и связей с общественностью | пользователь | добавление, изменение и удаление информации | ||
3 | Интернет-сайт [”название организации“] | работник уполномоченного лица (ООО ”ПоддержкаСайта“) | администратор | добавление и удаление пользователей, плагинов, изменение онлайн-форм, баз данных, файлов каталога интернет-сайта |
администратор системный | администратор | добавление и удаление пользователей, плагинов, изменение онлайн-форм, баз данных, файлов каталога интернет-сайта | ||
специалист (инициалы, фамилия) | пользователь | добавление, изменение и удаление страниц, постов, медиафайлов | ||
4 | Система электронного документооборота ”СЭД“ | работник уполномоченного лица (ООО ”ПоддержкаСЭД“) | администратор | создание учетных записей пользователям, предоставление им доступа к журналам |
ведущий администратор системный | работник, зарегистрированный в автоматизированной системе технической поддержки пользователей | направление заявок на изменение учетных записей пользователей, предоставление им доступа к журналам | ||
работники в случаях и объеме согласно резолюции [”руководителя“], его заместителей и начальников структурных подразделений | пользователь | добавление, изменение и удаление документов исходя из должностных обязанностей | ||
5 | Услуга ”Электронная почта“ | работник уполномоченного лица (ООО ”ПоддержкаПочты“) | администратор | создание почтовых ящиков, назначение им адресов электронной почты и передача учетных данных для доступа |
работник, указанный в подпункте 2.3 пункта 2 договора № ___ оказания услуги республиканской платформы ”Электронная почта. Light“ | представитель, ответственный за приемку услуг | получение информации о порядке доступа к программному обеспечению и учетным данным (имя и пароль, присваиваемые пользователю для его идентификации) | ||
работники в объеме согласно приложению 1 к Положению о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе) | пользователь | использование почтового ящика с присвоенным основным адресом электронной почты | ||
6 | Локальная вычислительная сеть | ведущий администратор системный | администратор | добавление и удаление пользователей |
6.1 | Система управления контроля доступа ”Контроль“ | ведущий администратор системный | администратор | добавление и удаление пользователей |
6.2 | Система видеонаблюдения ”Видеокамера“ | ведущий администратор системный | администратор | добавление и удаление пользователей |
Порядок доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе)