Я, Примечание Если цели обработки персональных данных не требуют обработки всей
совокупности указанной информации, она не подлежит обработке оператором
при получении согласия субъекта персональных данных. Например, если для
регистрации личного кабинета на сайте и получения рекламной рассылки
достаточно указать ФИО и адрес электронной почты, то указание даты
рождения и идентификационного номера при получении согласия на рекламную
рассылку не требуется. Примечание Не допускается получать общее согласие на достижение всех целей. Если оператор заинтересован в получении согласия на несколько не связанных между собой целей обработки, то он может сделать это в одном документе, но обязан получать отдельное согласие на каждую цель (например, согласие на передачу персональных данных конкретной организации (организациям), согласие на получение рекламной рассылки). При этом субъекту должна быть предоставлена возможность согласиться с одной целью и не соглашаться с другой (другими). Примечание Отражаемая информация:
каким образом будет осуществляться обработка – с использованием средств автоматизации или посредством
создания картотек, списков, баз данных, журналов и т.п., без их использования;
информация об использовании обезличивания персональных данных в целях повышения их защищенности (при
использовании обезличивания);
конкретные действия, совершаемые с персональными данными (например, сбор, систематизация, хранение,
изменение, использование, обезличивание, блокирование, удаление персональных данных);
условия, при которых возможно распространение персональных данных (если предполагается их
распространение);
при наличии трансграничной передачи персональных данных – государства, в которые будет осуществляться
передача. В случае передачи в страны, где не обеспечивается надлежащий уровень защиты прав субъектов
персональных данных, необходимо отразить возможные риски такой передачи. Такими рисками, например, могут
быть отсутствие единого правового регулирования, то есть общего закона о защите персональных данных,
узкое понимание персональных данных (отнесение к ним ограниченного круга сведений о физическом лице),
отсутствие независимого контролирующего органа по защите прав субъектов персональных данных,
ограниченный круг (отсутствие) прав субъектов персональных данных, широкий доступ к персональным данным
у органов государственной власти в целях национальной безопасности и т.п. Примечание Указываются конкретные уполномоченные лица и место их нахождения, а в случае затруднительности такого
указания (например, наличие значительного количества уполномоченных лиц и их постоянное изменение) –
конкретные категории таких лиц (например, организации, оказывающие оператору услуги по системному
администрированию локальной сети; организации, осуществляющие доставку покупателю купленных у оператора
товаров; организации, оказывающие оператору услуги по ведению бухгалтерского, кадрового учета) и место
их нахождения (страна нахождения).
Не допускается указание слишком общих категорий (например, ”лица, с которыми оператор имеет договорные
отношения“), а также открытого перечня таких лиц (”и иные лица“). Примечание Если срок согласия различается для каждой цели, то его необходимо обозначить для каждой цели.
Срок согласия должен быть конкретным, доступным для восприятия и понятным для субъекта персональных
данных. Срок согласия может быть выражен конкретными датой, периодом времени либо критериями,
используемыми для определения таких сроков, например:
конкретная дата (например, до 31.12.2023);
период (например, 1 год с даты получения согласия);
комбинированный (например, в течение 1 года (месяца) с даты совершения последней покупки, авторизации на
сайте и т.п.).
Не допускается использование при определении сроков согласия таких формулировок, как ”до отзыва согласия
субъектом персональных данных“, ”сроки устанавливаются законодательством“ и т.п., поскольку они не
соответствуют требованиям прозрачности обработки персональных данных.
Не рекомендуется определять срок действия согласия свыше 3 лет, поскольку в связи со значительным
количеством оставляемых согласий гражданину будет затруднительно контролировать обработку своих
персональных данных. Мне разъяснены права, связанные с обработкой персональных данных, механизм их реализации прав, а также последствия дачи мною согласия или отказа в даче такого согласия. Примечание Соответствующая информация может быть представлена в виде отдельного документа, с которым следует
ознакомить субъекта персональных данных. При этом, если согласие отбирается в письменной форме, то и
информация должна быть предоставлена в такой же форме. Обязанность включать данную информацию в текст
согласия законодательством не установлена. Согласие на обработку персональных данных
Цель:
Объем:
Согласен Не согласен Цель:
Объем:
Согласен Не согласен Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных:
Информация об уполномоченных лицах:
Срок согласия
Согласие на обработку персональных данных
Согласие на обработку персональных данных (с пояснением)
- Главная
- ›
- Портфель оператора
- ›
- Формы документов
- ›
- Page 2
Рубрика: Формы документов
Порядок доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе)
ПОЛОЖЕНИЕ
о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе)
1. Настоящее Положение разработано на основании абзаца пятого пункта 3 статьи 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“, а также в соответствии с:
Инструкцией по делопроизводству, утвержденной приказом [”руководителя“] [”название организации“] от ___ № ___;
Положением о политике в отношении обработки персональных данных, утвержденным приказом [”руководителя“] [”название организации“] от ___ № ___;
Положением об организации информационной безопасности, утвержденным приказом [”руководителя“] [”название организации“] от ___ № ___;
перечнем информационных ресурсов (систем), содержащих персональные данные и категории персональных данных, подлежащих включению в них, установленным приказом [”руководителя“] [”название организации“] от ___ № ___.
2. Доступ в [”название организации“] к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), предоставляется:
работникам [”название организации“] (далее – работники) для выполнения должностных обязанностей в объеме, необходимом для надлежащего выполнения этих обязанностей;
работникам уполномоченного лица в объеме и на условиях, необходимых для исполнения договора между [”название организации“] и уполномоченным лицом (далее – иные лица).
3. Доступ к персональным данным имеют следующие работники:
[”руководитель“] [”название организации“] (лицо, исполняющее его обязанности) – ко всем категориям персональных данных;
лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных – ко всем категориям персональных данных в пределах исполнения должностных обязанностей;
заместители [”руководителя“] [”название организации“] – к персональным данным, необходимым для реализации положений Трудового кодекса Республики Беларусь, иных законодательных актов о труде и принятых в их развитие актов законодательства, данным в соответствии с содержанием резюме соискателей вакансий в структурных подразделениях по курируемым направлениям деятельности, иным категориям персональных данных, необходимым для исполнения должностных обязанностей;
администратор системный – к персональным данным, обрабатываемым [”название организации“] в информационных ресурсах (системах), в пределах исполнения должностных обязанностей.
Работникам, непосредственно осуществляющим обработку персональных данных, если иное не определено в части первой настоящего пункта, предоставляется доступ к персональным данным исходя из занимаемой должности и в соответствии с категориями персональных данных и целями их обработки согласно приложению 1, иным лицам – в соответствии с договором.
Предоставление доступа к персональным данным в информационных ресурсах (системах), а также отзыв предоставленных прав осуществляется при помощи средств управления правами доступа к соответствующим ресурсам (системам) согласно приложению 2.
4. Права доступа работника, иного лица:
изменяются – в случаях перевода работника на другую должность или изменения условий договора с уполномоченным лицом;
прекращаются – в случае увольнения работника или окончания срока действия договора с уполномоченным лицом, расторжения такого договора.
Доступ к персональным данным может быть также прекращен на основании организационно-распорядительного документа (приказа, поручения, указания) или иного документа с резолюцией [”руководителя“] [”название организации“] (лица, исполняющего его обязанности) или его заместителя.
5. Предоставление доступа к персональным данным обеспечивается:
в случае если персональные данные содержатся в организационно-распорядительной документации, образующейся в [”название организации“], – руководителем (его заместителем) структурного подразделения, в котором осуществляется оперативное хранение дела в соответствии с номенклатурой дел [”название организации“];
в случае если персональные данные обрабатываются в информационном ресурсе (системе) – администратором системным, осуществляющим обеспечение информационной безопасности согласно пункту ___ Положения об информационной безопасности.
6. Работники, не имеющие доступа к персональным данным, исходя из занимаемой должности или выполняемых функций, могут получить временный доступ к персональным данным одной или нескольких категорий и целей их обработки для выполнения служебного задания на период времени и в объеме, которые необходимы для выполнения такого задания.
При определении периода времени и объема персональных данных для предоставления временного доступа к ним руководитель структурного подразделения или его заместитель, а также администратор системный руководствуются содержанием служебного задания, содержащегося в организационно-распорядительном документе (приказ, поручение, указание) или ином документе с резолюцией [”руководителя“] [”название организации“] (лица, исполняющего его обязанности) или его заместителя по курируемому направлению деятельности.
В случае наличия сомнений относительно периода времени или объема персональных данных лицу, предоставляющему временный доступ к персональным данным, необходимо обратиться к [”руководителю“] [”название организации“] (лицу, исполняющему его обязанности) или его заместителю по курируемому направлению деятельности.
7. Работник или иное лицо, случайно или по иным причинам получившее доступ к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), не вправе изучать, изменять, удалять, копировать или иным способом использовать соответствующие документы или файлы.
8. Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, изучает и анализирует процессы, связанные с соблюдением настоящего Положения, вносит [”руководителю“] [”название организации“] (лицу, исполняющему его обязанности) предложения по совершенствованию осуществления внутреннего контроля за обработкой персональных данных, в том числе по ограничению доступа отдельных работников к определенным категориям персональных данных (если по его мнению такой доступ носит избыточный характер и может создавать риски для защиты прав субъектов персональных данных).
Приложение 1
ПЕРЕЧЕНЬ
работников, имеющих доступ к персональным данным, в соответствии с категориями персональных данных и целями их обработки
№ | Категории персональных данных | Цели обработки персональных данных | Работники, непосредственно осуществляющие обработку персональных данных |
1 | Данные, предусмотренные Трудовым кодексом Республики Беларусь, иными законодательными актами о труде и принятыми в их развитие актами законодательства | при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных | специалист по кадрам, главный бухгалтер, экономист, документовед |
2 | Персональные данные в соответствии с содержанием резюме (анкет, автобиографий, листков по учету кадров, заявлений, рекомендательных писем и т.п.) | рассмотрение резюме (анкет, автобиографий, листков по учету кадров, заявлений, рекомендательных писем и т.п.) соискателей на вакантные должности в целях заключения трудового договора (контракта) | специалист по кадрам, руководители структурных подразделений, их заместители |
3 | Фамилия, собственное имя, отчество (при его наличии, далее – отчество) либо инициалы лица, должность лица, подписавшего договор, иные данные в соответствии с условиями договора (при необходимости) | заключение и исполнение гражданско-правовых договоров (например, поставка, купля-продажа, подряд и т.п.) | главный бухгалтер, экономист, юрист, работники отдела организационного обеспечения |
4 | Фамилия, собственное имя, отчество либо инициалы, адрес места жительства (места пребывания), суть обращения, иные персональные данные, указанные в обращении | рассмотрение обращений, в том числе внесенных в книгу замечаний и предложений | работники отдела по работе с обращениями, документовед |
5 | Фамилия, собственное имя, отчество, контактный телефон, суть вопроса | предварительная запись на личный прием проведение ”горячих линий“ | документовед работники отдела по работе с обращениями, привлекаемые к проведению личного приема |
6 | Фамилия, собственное имя, отчество, адрес места жительства и (или) работы (учебы), контактный телефон (при необходимости), суть обращения, иные персональные данные, указанные в ходе проведения ”прямой телефонной линии“ | проведение личного приема, ”прямых телефонных линий“ | работники отдела по работе с обращениями |
7 | Фамилия, собственное имя, отчество либо инициалы лица, личная подпись, иные персональные данные (при необходимости) | организация оказания информационно-консультационных услуг | главный бухгалтер, экономист, юрист |
Права доступа, предоставленные работникам и иным лицам в информационных ресурсах (системах), содержащих персональные данные
№ | Наименование информационного ресурса (системы) | Работники, непосредственно осуществляющие обработку персональных данных | Категория (группа) пользователей | Права доступа в информационном ресурсе (системе) |
1 | Программное обеспечение ”Управление предприятием“ | ведущий администратор системный | администратор | добавление и удаление пользователей |
главный бухгалтер, экономист, специалист по кадрам | пользователь | добавление, изменение и удаление информации | ||
2 | Программное обеспечение ”Управление учебным центром“ | администратор системный | администратор | добавление и удаление пользователей |
управление образовательных услуг и связей с общественностью | пользователь | добавление, изменение и удаление информации | ||
3 | Интернет-сайт [”название организации“] | работник уполномоченного лица (ООО ”ПоддержкаСайта“) | администратор | добавление и удаление пользователей, плагинов, изменение онлайн-форм, баз данных, файлов каталога интернет-сайта |
администратор системный | администратор | добавление и удаление пользователей, плагинов, изменение онлайн-форм, баз данных, файлов каталога интернет-сайта | ||
специалист (инициалы, фамилия) | пользователь | добавление, изменение и удаление страниц, постов, медиафайлов | ||
4 | Система электронного документооборота ”СЭД“ | работник уполномоченного лица (ООО ”ПоддержкаСЭД“) | администратор | создание учетных записей пользователям, предоставление им доступа к журналам |
ведущий администратор системный | работник, зарегистрированный в автоматизированной системе технической поддержки пользователей | направление заявок на изменение учетных записей пользователей, предоставление им доступа к журналам | ||
работники в случаях и объеме согласно резолюции [”руководителя“], его заместителей и начальников структурных подразделений | пользователь | добавление, изменение и удаление документов исходя из должностных обязанностей | ||
5 | Услуга ”Электронная почта“ | работник уполномоченного лица (ООО ”ПоддержкаПочты“) | администратор | создание почтовых ящиков, назначение им адресов электронной почты и передача учетных данных для доступа |
работник, указанный в подпункте 2.3 пункта 2 договора № ___ оказания услуги республиканской платформы ”Электронная почта. Light“ | представитель, ответственный за приемку услуг | получение информации о порядке доступа к программному обеспечению и учетным данным (имя и пароль, присваиваемые пользователю для его идентификации) | ||
работники в объеме согласно приложению 1 к Положению о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе) | пользователь | использование почтового ящика с присвоенным основным адресом электронной почты | ||
6 | Локальная вычислительная сеть | ведущий администратор системный | администратор | добавление и удаление пользователей |
6.1 | Система управления контроля доступа ”Контроль“ | ведущий администратор системный | администратор | добавление и удаление пользователей |
6.2 | Система видеонаблюдения ”Видеокамера“ | ведущий администратор системный | администратор | добавление и удаление пользователей |
Порядок доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе)
Ресурсы, содержащие персональные данные
ПЕРЕЧЕНЬ информационных ресурсов (систем), содержащих персональные данные, и категории персональных данных, подлежащих включению в них № п/п Информационные ресурсы (системы), содержащие персональные данные Категории персональных данных, подлежащих включению в информационные ресурсы (системы) 1 Программное обеспечение ”ИС: Управление бюджетным учреждением для 1С: Предприятие“ Специальные персональные данные; персональные данные, не являющиеся общедоступными или специальными 2 Программное обеспечение ”ИС: Управление учебным центром для 1С: Предприятие“ Персональные данные, не являющиеся общедоступными или специальными 3 Официальный многостраничный интернет-сайт Организации Общедоступные персональные данные 4 Система электронного документооборота ”SM Business“ Персональные данные, не являющиеся общедоступными или специальными 5 Услуга ”Электронная почта. Light“ Персональные данные, не являющиеся общедоступными или специальными Перечень информационных систем образец