1. Главная
  2. Правовая основа
  3. Методологические документы

Методологические документы

1. Алгоритм приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“

1. Назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, определение его должностных обязанностей, утверждение положения об организации внутреннего контроля за обработкой персональных данных.

Институт ответственного за осуществление внутреннего контроля за обработкой персональных данных является одним из основных инструментов обеспечения надлежащего соблюдения обязанностей, возложенных на операторов (уполномоченных лиц) Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“.

Варианты организации внутреннего контроля за обработкой персональных данных:

  • создание отдельного структурного подразделения;
  • назначение освобожденного работника (специалиста по внутреннему контролю за обработкой персональных данных);
  • возложение дополнительных функций на одного из работников;
  • возложение дополнительных функций на нескольких работников или на отдельное структурное подразделение.

Нецелесообразно:

  • возложение функций исключительно на специалиста по информационной безопасности;
  • назначение ответственных в каждом структурном подразделении.

Должностные обязанности специалиста по внутреннему контролю за обработкой персональных данных определены в Едином квалификационном справочнике должностей служащих (ЕКСД) ”Должности служащих для всех видов деятельности“, утвержденном постановлением Министерства труда Республики Беларусь от 30 декабря 1999 г. № 159.

На указанного специалиста возлагаются следующие функции:

организационные (изучение и анализ процессов обработки персональных данных, определение рисков, связанных с процессами обработки персональных данных, выработка предложений по их минимизации, разработка и поддержание в актуальном состоянии документов, определяющих политику оператора в отношении обработки персональных данных, порядка доступа к персональным данным, иных документов (форм) по вопросам обработки персональных данных, разработка формы реестра персональных данных и координация его ведения, участие в определении и осуществлении мер технической и криптографической защиты персональных данных и т. п.);

консультативные (консультирование работников и уполномоченных лиц по вопросам обработки и защиты персональных данных, согласование локальных правовых актов, договоров на предмет их соответствия законодательству о персональных данных, ознакомление работников с законодательством о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных и т.п.);

контрольные (осуществление контроля за своевременным внесением работниками изменений в персональные данные, которые являются неполными, устаревшими или неточными, прекращением обработки персональных данных, а также осуществлением их удаления или блокирования при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами; проведение мониторинга (проверки) соблюдения требований законодательства о персональных данных в структурных подразделениях организации для выявления нарушений и предупреждения их возникновения, изучение фактов нарушения работниками требований к обработке персональных данных, внесение предложений по привлечению виновных к ответственности и т.п.);

информационно-образовательные (организация прохождения обучения работников, осуществляющих обработку персональных данных, по вопросам обработки и защиты персональных данных в порядке, установленном законодательством, поиск оптимальных форм этого обучения, исходя
из их трудовых функций и т.п.);

иные функции, связанные с обеспечением комплексной работы по соблюдению законодательства о персональных данных (рассмотрение (участие в рассмотрении) заявлений и жалоб субъектов персональных данных по вопросам обработки персональных данных, принятие необходимых мер по восстановлению их нарушенных прав, обеспечение взаимодействия с Национальным центром защиты персональных данных, в том числе по вопросам уведомления о нарушениях систем защиты персональных данных, исполнения требований по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных и т.п.).

В соответствии с квалификационной характеристикой специалист по внутреннему контролю за обработкой персональных данных должен иметь высшее образование.

Такое лицо должно назначаться c учетом знания законодательства о персональных данных (что, как правило, предполагает наличие юридического образования) и практики его применения, а также способности выполнять функции, возложенные на данное лицо.

Важно обратить внимание, что в связи с назначением лица, ответственного за осуществление внутреннего контроля, ни оператор, ни уполномоченное лицо, ни работники организации, непосредственно осуществляющие обработку персональных данных, не освобождаются от ответственности, предусмотренной законодательными актами, за допущенные ими нарушения.

Аналогичные функции и подходы актуальны и для иных вышеперечисленных форм организации внутреннего контроля за обработкой персональных данных.

2. Выявление и фиксация бизнес-процессов, в которых используются персональные данные.

С целью осуществления надлежащего контроля за обработкой персональных данных оператором (уполномоченным лицом) необходимо осуществить систематизацию и учет видов обработки персональных данных в конкретной организации. Без этого невозможно обеспечить реализацию положений статьи 4 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон) и реализовать права субъектов персональных данных, например, право на получение информации об обработке персональных данных.

Для указанной цели может быть использован реестр обработки персональных данных или иная форма систематизации видов обработки.

Реестр обработки персональных данных может включать:

  • цель обработки;
  • подразделение (лицо), ответственное за обработку;
  • категории лиц, чьи персональные данные обрабатываются;
  • категории обрабатываемых персональных данных;
  • правовую основу обработки;
  • источник получения персональных данных;
  • категории получателей персональных данных;
  • срок хранения персональных данных.

Структура реестра обработки персональных данных или иного документа, систематизирующего обработку персональных данных, может определяться оператором (уполномоченным лицом). При этом важно не только создать реестр обработки персональных данных или иной документ, систематизирующий обработку персональных данных, но и поддерживать его в актуальном состоянии.

3. Анализ бизнес-процессов, в которых используются персональные данные, на предмет соответствия требованиям законодательства о персональных данных.

После выявления и фиксации бизнес-процессов, в которых используются персональные данные, необходимо провести анализ обработки на предмет соответствия требованиям законодательства о персональных данных.

В частности, могут рассматриваться следующие вопросы:

  1. формулирование целей обработки персональных данных, в том числе в целях обеспечения их конкретного характера. Распространенная ошибка – указание общих целей, не позволяющих четко определить предмет обработки и круг персональных данных, требующихся для ее достижения;
  2. определение правовых оснований для обработки персональных данных исходя из цели обработки. Распространенная ошибка – смешение договора и согласия как самостоятельных правовых оснований обработки посредством включения согласия в текст договора и лишение субъекта персональных данных выбора – давать согласие на обработку или нет;
  3. оценка соразмерности и избыточности обрабатываемых персональных данных по отношению к цели обработки. Распространенное нарушение – обработка персональных данных, которые не являются необходимыми для цели обработки (например, обработка информации о родственниках, идентификационном номере при рассмотрении резюме);
  4. соответствие получаемых согласий на обработку персональных данных требованиям статьи 5 Закона, если обработка осуществляется на основании согласия. Распространенное нарушение – непредоставление субъекту необходимой информации, указанной в статье 5 Закона, включение согласия в текст договора без возможности выбора – давать согласие на обработку или нет;
  5. определение сроков хранения персональных данных исходя из целей обработки. В качестве ориентира при определении сроков хранения персональных данных можно использовать постановление Министерства юстиции Республики Беларусь от 24 мая 2012 г. № 140 ”О перечне типовых документов Национального архивного фонда Республики Беларусь“. В случае, если сроки хранения не установлены законодательством, установление (уточнение) соответствующего срока осуществляется оператором;
  6. наличие правовых оснований для предоставления персональных данным уполномоченным лицам. В случае их привлечения к обработке, взаимоотношения между оператором и уполномоченным лицом определяются в соответствии с пунктом 1 статьи 7 Закона.

При отсутствии правовых оснований для обработки, превышении срока хранения, избыточности обрабатываемых персональных данных они подлежат удалению. В случае отсутствия технической возможности удаления персональных данных необходимо принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование.

4. Издание документов, определяющих политику в отношении обработки персональных данных и обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет к данной политике.

Это может быть либо один общий документ, определяющий политику оператора (уполномоченного лица) в отношении обработки персональных данных в виде отдельного (самостоятельного) документа, либо несколько документов, определяющих с учетом специфики (особенностей) деятельности оператора (уполномоченного лица) порядок обработки персональных данных в определенных сферах или в связи с определенными бизнес-процессами (например, в рамках обработки персональных данных на сайте, обработки персональных данных работников и т.п.).

При этом следует обеспечить соотносимость информации о целях, правовых основаниях обработки и круге обрабатываемых персональных данных, а также написание документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, простым и доступным языком.

Рекомендации по написанию оператором (уполномоченным лицом) документов, определяющих политику в отношении обработки персональных данных размещены в открытом доступе.

5. Разработка иных (кроме определяющих политику в отношении персональных данных) документов:

🗸 порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе).

Данный порядок может включать следующую информацию:

  1. перечень работников, непосредственно осуществляющих обработку персональных данных, в соответствии с целями их обработки и категориями персональных данных;
  2. порядок доступа к персональным данным в иных случаях;
  3. порядок прекращения доступа работников к обработке персональных данных и т.п.;

🗸 перечня информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых он является, а также категорий персональных данных, подлежащих включению в данные ресурсы (системы).

К таким ресурсам (системам) следует относить, в том числе, такие распространенные ресурсы (системы), как корпоративная электронная почта, программное обеспечение для ведения бухгалтерского учета и отчетности, сайты организаций, автоматизированные системы контроля и управления доступом, системы видеонаблюдения в организации, системы электронного документооборота и т.п.

Категории персональных данных, подлежащих включению в такие ресурсы (системы), определены в подпункте 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“. С учетом классификации информационных ресурсов (систем), содержащих персональные данные, такие категории предопределяют круг предъявляемых к информационным ресурсам требований по технической и криптографической защите персональных данных.

В случае, если персональные данные содержатся в нескольких информационных ресурсах (системах), то подлежат применению требования к системе защиты информации, устанавливающие более высокий уровень защиты;

🗸 форм согласия субъектов персональных данных применительно к обработке персональных данных на основании согласия. Важно учитывать, что для разных целей обработки данные формы могут отличаться (по кругу обрабатываемых персональных данных, сроку хранения, кругу уполномоченных лиц и т.п.);

🗸 договоров между операторами и уполномоченными лицами в соответствии с требованиями статьи 7 Закона либо дополнительных соглашений в отношении таких договоров;

🗸 устанавливающих сроки хранения персональных данных.

🗸 перечня уполномоченных лиц, если обработка персональных данных осуществляется такими лицами. При этом такой перечень, равно как и сроки хранения персональных данных, могут быть установлены как в виде отдельного документа, так и в документах, определяющих политику оператора в отношении обработки персональных данных, реестре обработки персональных данных;

🗸 порядка удаления (уничтожения) персональных данных.

Удаление персональных данных оформляется и подтверждается актом удаления в случае, если персональные данные содержатся в электронной форме, либо актом уничтожения в случае, если персональные данные содержатся в письменной форме.

Акт удаления (уничтожения) персональных данных разрабатывается в произвольной форме и утверждается руководителем оператора.

6. Внесение изменений в должностные обязанности лиц, обрабатывающих персональные данные.

Исполнение обязанностей, возложенных Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон), на оператора  (уполномоченное лицо) при обработке персональных данных субъектов персональных данных, непосредственно осуществляется работниками оператора (уполномоченного лица). При этом все такие работники, независимо от выполняемых ими функций, обязаны соблюдать положения  законодательства о персональных данных и локальных правовых актов по данным вопросам.

В целях надлежащего обеспечения защиты персональных данных, прав и свобод субъектов персональных данных, а также с учетом установленной Трудовым кодексом Республики Беларусь дисциплинарной ответственности за неисполнение или ненадлежащее исполнение работником своих трудовых обязанностей целесообразно предусмотреть в должностных инструкциях работников, осуществляющих обработку персональных данных, обязанность ”соблюдать установленный законодательством о персональных данных и локальными правовыми актами порядок обработки персональных данных“.

При необходимости должностные обязанности конкретных работников (например, работников, трудовая функция которых в основном связана с обработкой персональных данных в информационном ресурсе (системе) (работники кадровых, бухгалтерских служб, работники, ответственные за функционирование информационного ресурса (системы)) в части реализации законодательства о персональных данных могут быть детализированы, в том числе исходя из способов организации оператором выполнения обязанностей, предусмотренных статьей 16 Закона.

Пример.

Обязанность по получению согласий на обработку персональных данных работников в случаях, когда иные правовые основания на такую обработку отсутствуют, возложена не на лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, а на работника кадровой службы организации. Данная обязанность может быть закреплена в должностной инструкции этого работника.

Решение о необходимости детализации должностной инструкции с учетом выполняемых работником функций по реализации Закона принимается нанимателем самостоятельно.

Например, в зависимости от трудовой функции работника в его должностную инструкцию могут быть включены обязанности:

🗸 получать в необходимых случаях согласие субъекта персональных данных на обработку персональных данных;

🗸 осуществлять контроль за соответствием срока обработки персональных данных заявленным целям, прекращать обработку персональных данных, а также обеспечивать их удаление или блокирование при отсутствии правовых оснований для обработки персональных данных;

🗸 обеспечивать предоставление субъектам персональных данных информации об их персональных данных, а также о предоставлении их персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;

🗸 обеспечивать доступ к персональным данным в установленном порядке, вести учет такого доступа и случаев предоставления, распространения персональных данных третьим лицам и т.п.

7. Ознакомление работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных.

Работников оператора (уполномоченного лица) и иных лиц, которые непосредственно обрабатывают персональные данные, необходимо ознакомить с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, а также документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных.

Оператор (уполномоченное лицо) может избрать любой механизм подтверждения ознакомления (например, под роспись в журнале), позволяющий в дальнейшем продемонстрировать выполнение им названной обязанности.

8. Обучение лиц, непосредственно осуществляющих обработку персональных данных, и лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных.

Операторы (уполномоченные лица) организуют не реже 1 раза в 5 лет прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных.

Требования к организации обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных, установлены Указом Президента Республики Беларусь от 28 октября 2021 г. № 422.

Приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 194 ”Об обучении по вопросам защиты персональных данных“ определены категории лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которые обязаны проходить обучение в Национальном центре защиты персональных данных Республики Беларусь.

Иные лица проходят обучение:

  • в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов, по образовательной программе повышения квалификации руководящих работников и специалистов;
  • в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);
  • у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).

9. Реализация организационных и технических мер.

Следует обеспечить:

🗸 возможность отзыва согласия субъекта персональных данных в электронной форме, если согласие субъекта было получено в такой форме;

🗸 подтверждение информации о способе полученного согласия и условиях, при которых оно было дано (например, сохранение информации о сеансе, во время которого было получено согласие, вместе с копией информации, которая была предоставлена субъекту в это время);

🗸 фиксацию и хранение информации о предоставлении персональных данных третьим лицам. Это могут быть журналы, если информация предоставлялась в письменном виде, система логирования в информационном ресурсе (системе) и т.п.

10. Осуществление технической и криптографической защиты персональных данных в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

В соответствии с абзацем пятым пункта 3 статьи 17 Закона обязательной мерой по обеспечению защиты персональных данных является осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

В целях обеспечения надлежащей технической и криптографической защиты персональных данных оператору важно правильно классифицировать в соответствии с приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 12 содержащиеся в информационном ресурсе (системе) персональные данные. В зависимости от вида персональных данных, содержащихся в информационном ресурсе (системе), будут определяться класс типовой информационной системы и, соответственно, требования к системе защиты информации, а также иные мероприятия по технической и криптографической защите защиты персональных данных.

2. Разъяснения по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных

Разъяснения по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных

  1. Настоящие Разъяснения подготовлены на основании абзаца восьмого пункта 3 статьи 18 Закона Республики Беларусь от 7 мая 2021 г. ”О защите персональных данных“ (далее, если не указано иное, – Закон) в целях формирования единообразных подходов к структуре и форме документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных (далее – Политика).
  2. Для целей настоящих Разъяснений применяются термины в значениях, определенных в Законе.
  3. Издание Политики предусмотрено абзацем третьим пункта 3 статьи 17 Закона в качестве обязательной меры по обеспечению защиты персональных данных для юридических лиц Республики Беларусь, иных организаций, индивидуальных предпринимателей, которые являются операторами или уполномоченными лицами, и направлено на обеспечение прозрачного характера обработки персональных данных (пункт 6 статьи 4 Закона).

Политика должна позволять субъектам персональных данных понимать, кем, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются. В этой связи в Политике необходимо обеспечить соотношение целей обработки персональных данных, категорий субъектов, чьи данные подвергаются обработке, перечня обрабатываемых персональных данных, правовых оснований их обработки и сроков хранения персональных данных.

Кроме того, Политика должна отражать имеющиеся у субъектов персональных данных права и механизмы их реализации.

  1. Оператор (уполномоченное лицо) может подготовить либо одну общую Политику , либо несколько политик по отдельным направлениям деятельности или в отношении отдельных категорий субъектов персональных данных.

Издание одного документа может иметь место при отсутствии у операторов (уполномоченных лиц) большого количества бизнес-процессов, целей обработки персональных данных.

В иных случаях целесообразно издание нескольких документов (Политик), которые могут отражать отдельные процессы обработки персональных данных или быть предназначены для отдельных категорий субъектов персональных данных, например:

Политики в отношении обработки персональных данных (общие процессы обработки персональных данных (приложение 1 к настоящим Разъяснениям);

Политики обработки персональных данных в процессе трудовой деятельности (приложение 2 к настоящим Разъяснениям);

Политики обработки файлов cookie, если оператор (уполномоченное лицо) осуществляет обработку не только технических cookie-файлов (приложение 3 к настоящим Разъяснениям);

Политики видеонаблюдения (приложение 4 к настоящим Разъяснениям);

Политики обработки персональных данных участников программы лояльности;

Политики обработки персональных данных пользователей мобильного приложения и т.п.

При подготовке нескольких Политик необходимо обеспечить их согласованность между собой и соответствие локальным правовым актам оператора (уполномоченного лица).

  1. Политика должна быть написана простым, ясным, доступным языком и отражать особенности обработки персональных данных у конкретного оператора (уполномоченного лица).

Следует избегать абстрактных или неоднозначных формулировок, не позволяющих субъекту персональных данных понять суть и параметры обработки персональных данных, в частности, таких слов, как ”может“, ”вероятно“, ”некоторый“, ”часто“, ”возможно“, ”в зависимости от ситуации“, а также излишнего цитирования актов законодательства, использования большого числа специальных терминов, подробного описания технических аспектов обработки персональных данных.

Политика должна быть доступной для восприятия. При наличии технической возможности целесообразно использовать многоуровневый подход (раскрытие раздела (рубрики) информации при нажатии на него), что позволит субъекту персональных данных перейти к определенному разделу Политики, к которому он хочет получить доступ, вместо того, чтобы просматривать большие объемы текста в поисках интересующих его сведений.

При необходимости для большей наглядности и доступности содержащейся в Политике информации, в том числе для облегчения понимания информации определенными категориями лиц (дети, пожилые люди и т.п.), могут использоваться:

табличные или графические (инфографики, схемы и т.п.) варианты ее представления;

 возможность поиска по тексту Политики слов, интересующих субъекта персональных данных;

сокращения повторяющихся терминов, процессов, категорий, перечней и т.п.

  1. Оператор (уполномоченное лицо) обязан (обязано) обеспечить неограниченный доступ к Политике. Способ обеспечения такого доступа определяется, в том числе, с учетом категорий субъектов персональных данных, для которых Политика предназначена.

При наличии у оператора (уполномоченного лица) официального сайта (далее – сайт) Политика  должна размещаться на сайте, как правило, на странице не ниже второго уровня или в элементе структуры сайта со сквозным отображением (футере сайта), что позволит обеспечить доступ к Политике с любой страницы сайта.

При наличии у оператора (уполномоченного лица) нескольких сайтов для разных направлений деятельности Политика размещается на каждом сайте. При этом при наличии у оператора (уполномоченного лица) отдельных Политик по соответствующим направлениям деятельности допускается размещение  на каждом сайте Политики по соответствующему отдельному направлению деятельности (например, на одном сайте предлагаются товары оптом для бизнеса, а на другом – в розницу для физических лиц), содержащей в том числе ссылку на Политику, комплексно описывающую обработку персональных данных у оператора (уполномоченного лица).

Если наряду с сайтом у оператора (уполномоченного лица) имеется мобильное приложение, неограниченный доступ к Политике должен быть предоставлен посредством такого приложения, например, из его главного меню.

При отсутствии у оператора (уполномоченного лица) сайта обеспечение неограниченного доступа к Политике осуществляется посредством ее размещения на информационных стендах или иными способами.

Так, при наличии страницы в социальной сети, посредством которой осуществляется коммуникация с субъектами персональных данных для оказания им услуг либо реализации товаров, Политика может быть размещена с использованием  предоставляемых этой социальной сетью инструментов (например, в случае использования Инстаграм – в Reels либо закрепленных постах).

В случае обработки персональных данных посредством видеонаблюдения соответствующая Политика может быть также размещена в общедоступных местах (например, при входе в здание, в фойе и т.п.) на бумажном носителе или в виде ссылки (QR-кода) на её текст на сайте.

С учетом категории субъектов персональных данных, для которых предназначена Политика обработки персональных данных в процессе трудовой деятельности, неограниченный доступ к такой Политике может быть обеспечен без ее размещения на сайте (например, путем размещения ее текста в общедоступной папке на локальном сетевом хранилище, на информационном  стенде оператора (уполномоченного лица), на странице корпоративного информационного ресурса).

  1. Необходимо учитывать, что ознакомление с Политикой является правом, а не обязанностью субъекта персональных данных. В этой связи не допускается требовать ознакомления с Политикой, согласия с ней или ее принятия для получения доступа к сервису, оказания услуги, реализации товара. Такие действия субъекта персональных данных не могут рассматриваться в качестве его согласия на обработку персональных данных, в том числе на условиях, изложенных в Политике.
  2. Политика должна поддерживаться в актуальном состоянии. Если в содержание Политики вносятся существенные изменения, включая изменение целей обработки, сроков хранения, порядка реализации прав субъектов персональных данных, условий трансграничной передачи, их следует доводить до сведения субъектов персональных данных заблаговременно до вступления в силу таких изменений.
  3. В Политику включается следующая информация:

9.1. общие положения;

9.2. порядок и условия обработки персональных данных;

9.3. об уполномоченных лицах;

9.4. о трансграничной передаче персональных данных;

9.5. права субъектов персональных данных и механизмы их реализации.

  1. В общих положениях отражается наименование оператора (уполномоченного лица), его контактные данные, сферы (бизнес-процессы), на которые распространяется действие Политики (например, обработка персональных данных пользователей сайта, приложения, лиц, претендующих на трудоустройство), используемые сокращения.

В целях обеспечения простоты и доступности изложения Политики в общих положениях не следует дублировать положения Закона (например, статей 1 и 4 Закона) без раскрытия особенностей их применения оператором (уполномоченным лицом).

  1. При определении порядка и условий обработки персональных данных указываются:

перечень осуществляемых оператором (уполномоченным лицом) действий с персональными данными, источник получения персональных данных;

цели обработки персональных данных, а также применительно к каждой такой цели:

– категории субъектов персональных данных, чьи данные подвергаются обработке;

– перечень обрабатываемых персональных данных;

– правовые основания обработки персональных данных;

– срок хранения персональных данных.

При осуществлении оператором (уполномоченным лицом) распространения персональных данных необходимо указать цель такой обработки, а также источник, посредством которого такое распространение осуществляется.

В Политике могут указываться принимаемые правовые, организационные и технические меры по обеспечению защиты персональных данных, например, как персональные данные защищены от неправомерных действий третьих лиц, механизм контроля за уполномоченным (субуполномоченным) лицом.

  1. Цели обработки персональных данных должны быть конкретными, законными и формулироваться до начала такой обработки. Они могут основываться на требованиях законодательства, положениях договоров, вытекать из осуществляемой оператором (уполномоченным лицом) деятельности.

Не допускается указание абстрактных или общих целей, которые не определяют пределы обработки и не позволяют субъекту персональных данных понять, для чего будут обрабатываться его персональные данные.

В частности, не соответствуют критерию конкретности следующие формулировки:

”для совершенствования деятельности организации“;

”для разработки новых услуг“;

”в исследовательских целях“ (за исключением случаев, когда речь идет об обработке обезличенных персональных данных);

”для обеспечения реализации Устава“;

”для обеспечения соблюдения законодательства“.

  1. В качестве категорий субъектов персональных данных в Политике могут быть, в частности, указаны:

посетители;

покупатели (заказчики);

пациенты;

абитуриенты;

студенты, лица, проходящие практику;

кандидаты на трудоустройство;

работники, в том числе уволенные, а также их родственники (члены семьи);

граждане, подавшие (подающие) обращения;

граждане, обратившиеся (обращающиеся) за осуществлением административной процедуры;

пользователи интернет-сайта (мобильного приложения) оператора и иные конкретные категории субъектов персональных данных и др.

  1. Перечень обрабатываемых персональных данных определяется с учетом заявленной цели. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленной цели (пункт 5 статьи 4 Закона).

Перечень обрабатываемых персональных данных может отражаться в Политике путем их перечисления, отсылки к акту законодательства, перечисляющему персональные данные или устанавливающему соответствующую форму, посредством закрепления критериев, очерчивающих объем обрабатываемых данных, и т.п.

  1. Правовые основания обработки персональных данных указаны в статьях 5, 6 и пункте 2 статьи 8 Закона.

Если обработка персональных данных  необходима для выполнения обязанностей (полномочий), предусмотренных законодательными актами, наряду со ссылкой на соответствующий абзац статьи 6 или пункта 2 статьи 8 Закона в качестве правового основания также указывается законодательство, которое содержит соответствующую обязанность (полномочие). При этом с учетом имеющихся у оператора (уполномоченного лица) специфики бизнес-процессов или отдельных целей обработки персональных данных допускается указание на законодательство без ссылки на конкретные структурные элементы (например, законодательство о труде, о защите прав потребителей, об архивном деле и делопроизводстве, об обращениях граждан и юридических лиц, об административных процедурах, о государственных закупках и т.п.). В таком случае информация о конкретном нормативном правовом акте и (или) его структурном элементе подлежит уточнению при учете и систематизации обработок, а также представлению субъекту персональных данных при поступлении от него соответствующего заявления о реализации прав или Национальному центру защиты персональных данных при поступлении от него соответствующего запроса.

  1. Срок хранения персональных данных отражается с указанием на дату или период времени либо критерии, используемые для определения такого срока.
  2. В случае если оператор поручает обработку персональных данных уполномоченному лицу (уполномоченным лицам), в Политике отражается:

наименование и местонахождение уполномоченного лица (уполномоченных лиц), а при невозможности указания данной информации из-за  большого количества уполномоченных лиц, динамичности или краткосрочности договорных отношений – категории уполномоченных лиц. При этом следует избегать общих формулировок, таких как ”подрядчики“, ”партнеры“, ”контрагенты“ без указания конкретных сфер их деятельности. Допускается указание в Политике ссылки (QR-кода) на информацию, размещенную в открытом доступе, например, на сайте, и содержащую перечень уполномоченных лиц;

цели обработки персональных данных, для реализации которых привлекается уполномоченное лицо (уполномоченные лица). В случае, если уполномоченному лицу оператором предоставлено право привлекать к обработке персональных данных третьих (субуполномоченных) лиц, соответствующая информация отражается  в Политике.

  1. При осуществлении трансграничной передачи персональных данных в Политике применительно к каждой цели передачи персональных данных отражаются:

субъекты (категории субъектов) в иностранных государствах, которым персональные данные передаются;

иностранные государства, на территории которых находятся такие субъекты (категории субъектов);

правовые основания трансграничной передачи;

передаваемые персональные данные.

В качестве правовых оснований трансграничной передачи персональных данных могут быть указаны:

основания, предусмотренные статьями 5, 6 и пунктом 2 статьи 8 Закона (в случае передачи персональных данных в иностранные государства, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных);

основания, предусмотренные пунктом 1 статьи 9 Закона (в случае передачи персональных данных в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных).

Кроме того, в Политике указывается, отнесены ли иностранные государства, куда осуществляется трансграничная передача персональных данных, к государствам, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных.

Перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, определен приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 14.

Если трансграничная передача персональных данных осуществляется в иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных, или определить государства, в которые она осуществляется, невозможно, в Политике допускается указание обобщенного перечня государств (например, иностранные государства, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных), а также может быть отражена информация о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты.

Если трансграничная передача персональных данных не осуществляется, информация об этом также отражается в Политике.

  1. Права субъектов персональных данных закреплены в главе 3 Закона.

При перечислении прав субъектов персональных данных в Политике описывается, как субъекты персональных данных могут подать заявления о реализации своих прав и порядок их рассмотрения (приложение 5 к настоящим Разъяснениям). Указываются также контактные данные лица (структурного подразделения) оператора, ответственного за осуществление внутреннего контроля за обработкой персональных данных (например, адрес электронной почты и (или) контактный номер телефона) .

Оператор вправе предусмотреть в Политике возможность подачи субъектом персональных данных заявления о реализации его прав посредством информационного ресурса (системы) без соблюдения требований статьи 14 Закона. При этом предоставление такой возможности не является для оператора обязательным.

Приложение 1 Примерная Политика в отношении обработки персональных данных
Приложение 1 к Политике в отношении обработки персональных данных
Приложение 2 к Политике в отношении обработки персональных данных
Приложение 2 Политика обработки персональных данных в процессе трудовой деятельности
Приложение 1 к Политике обработки персональных данных в процессе трудовой деятельности
Приложение 2 к Политике обработки персональных данных в процессе трудовой деятельности
Приложение 3 Примерная Политика в отношении обработки файлов cookie
Приложение 4 Примерная Политика видеонаблюдения
Приложение 4 Примерная Политика в отношении обработки файлов cookie
Приложение 5 Права субъектов персональных данных