1. Алгоритм приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“
Институт ответственного за осуществление внутреннего контроля за обработкой персональных данных является одним из основных инструментов обеспечения надлежащего соблюдения обязанностей, возложенных на операторов (уполномоченных лиц) Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“.
Варианты организации внутреннего контроля за обработкой персональных данных:
- создание отдельного структурного подразделения;
- назначение освобожденного работника (специалиста по внутреннему контролю за обработкой персональных данных);
- возложение дополнительных функций на одного из работников;
- возложение дополнительных функций на нескольких работников или на отдельное структурное подразделение.
Нецелесообразно:
- возложение функций исключительно на специалиста по информационной безопасности;
- назначение ответственных в каждом структурном подразделении.
Должностные обязанности специалиста по внутреннему контролю за обработкой персональных данных определены в Едином квалификационном справочнике должностей служащих (ЕКСД) ”Должности служащих для всех видов деятельности“, утвержденном постановлением Министерства труда Республики Беларусь от 30 декабря 1999 г. № 159.
На указанного специалиста возлагаются следующие функции:
организационные (изучение и анализ процессов обработки персональных данных, определение рисков, связанных с процессами обработки персональных данных, выработка предложений по их минимизации, разработка и поддержание в актуальном состоянии документов, определяющих политику оператора в отношении обработки персональных данных, порядка доступа к персональным данным, иных документов (форм) по вопросам обработки персональных данных, разработка формы реестра персональных данных и координация его ведения, участие в определении и осуществлении мер технической и криптографической защиты персональных данных и т. п.);
консультативные (консультирование работников и уполномоченных лиц по вопросам обработки и защиты персональных данных, согласование локальных правовых актов, договоров на предмет их соответствия законодательству о персональных данных, ознакомление работников с законодательством о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных и т.п.);
контрольные (осуществление контроля за своевременным внесением работниками изменений в персональные данные, которые являются неполными, устаревшими или неточными, прекращением обработки персональных данных, а также осуществлением их удаления или блокирования при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами; проведение мониторинга (проверки) соблюдения требований законодательства о персональных данных в структурных подразделениях организации для выявления нарушений и предупреждения их возникновения, изучение фактов нарушения работниками требований к обработке персональных данных, внесение предложений по привлечению виновных к ответственности и т.п.);
информационно-образовательные (организация прохождения обучения работников, осуществляющих обработку персональных данных, по вопросам обработки и защиты персональных данных в порядке, установленном законодательством, поиск оптимальных форм этого обучения, исходя
из их трудовых функций и т.п.);
иные функции, связанные с обеспечением комплексной работы по соблюдению законодательства о персональных данных (рассмотрение (участие в рассмотрении) заявлений и жалоб субъектов персональных данных по вопросам обработки персональных данных, принятие необходимых мер по восстановлению их нарушенных прав, обеспечение взаимодействия с Национальным центром защиты персональных данных, в том числе по вопросам уведомления о нарушениях систем защиты персональных данных, исполнения требований по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных и т.п.).
В соответствии с квалификационной характеристикой специалист по внутреннему контролю за обработкой персональных данных должен иметь высшее образование.
Такое лицо должно назначаться c учетом знания законодательства о персональных данных (что, как правило, предполагает наличие юридического образования) и практики его применения, а также способности выполнять функции, возложенные на данное лицо.
Важно обратить внимание, что в связи с назначением лица, ответственного за осуществление внутреннего контроля, ни оператор, ни уполномоченное лицо, ни работники организации, непосредственно осуществляющие обработку персональных данных, не освобождаются от ответственности, предусмотренной законодательными актами, за допущенные ими нарушения.
Аналогичные функции и подходы актуальны и для иных вышеперечисленных форм организации внутреннего контроля за обработкой персональных данных.
С целью осуществления надлежащего контроля за обработкой персональных данных оператором (уполномоченным лицом) необходимо осуществить систематизацию и учет видов обработки персональных данных в конкретной организации. Без этого невозможно обеспечить реализацию положений статьи 4 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон) и реализовать права субъектов персональных данных, например, право на получение информации об обработке персональных данных.
Для указанной цели может быть использован реестр обработки персональных данных или иная форма систематизации видов обработки.
Реестр обработки персональных данных может включать:
- цель обработки;
- подразделение (лицо), ответственное за обработку;
- категории лиц, чьи персональные данные обрабатываются;
- категории обрабатываемых персональных данных;
- правовую основу обработки;
- источник получения персональных данных;
- категории получателей персональных данных;
- срок хранения персональных данных.
Структура реестра обработки персональных данных или иного документа, систематизирующего обработку персональных данных, может определяться оператором (уполномоченным лицом). При этом важно не только создать реестр обработки персональных данных или иной документ, систематизирующий обработку персональных данных, но и поддерживать его в актуальном состоянии.
После выявления и фиксации бизнес-процессов, в которых используются персональные данные, необходимо провести анализ обработки на предмет соответствия требованиям законодательства о персональных данных.
В частности, могут рассматриваться следующие вопросы:
- формулирование целей обработки персональных данных, в том числе в целях обеспечения их конкретного характера. Распространенная ошибка – указание общих целей, не позволяющих четко определить предмет обработки и круг персональных данных, требующихся для ее достижения;
- определение правовых оснований для обработки персональных данных исходя из цели обработки. Распространенная ошибка – смешение договора и согласия как самостоятельных правовых оснований обработки посредством включения согласия в текст договора и лишение субъекта персональных данных выбора – давать согласие на обработку или нет;
- оценка соразмерности и избыточности обрабатываемых персональных данных по отношению к цели обработки. Распространенное нарушение – обработка персональных данных, которые не являются необходимыми для цели обработки (например, обработка информации о родственниках, идентификационном номере при рассмотрении резюме);
- соответствие получаемых согласий на обработку персональных данных требованиям статьи 5 Закона, если обработка осуществляется на основании согласия. Распространенное нарушение – непредоставление субъекту необходимой информации, указанной в статье 5 Закона, включение согласия в текст договора без возможности выбора – давать согласие на обработку или нет;
- определение сроков хранения персональных данных исходя из целей обработки. В качестве ориентира при определении сроков хранения персональных данных можно использовать постановление Министерства юстиции Республики Беларусь от 24 мая 2012 г. № 140 ”О перечне типовых документов Национального архивного фонда Республики Беларусь“. В случае, если сроки хранения не установлены законодательством, установление (уточнение) соответствующего срока осуществляется оператором;
- наличие правовых оснований для предоставления персональных данным уполномоченным лицам. В случае их привлечения к обработке, взаимоотношения между оператором и уполномоченным лицом определяются в соответствии с пунктом 1 статьи 7 Закона.
При отсутствии правовых оснований для обработки, превышении срока хранения, избыточности обрабатываемых персональных данных они подлежат удалению. В случае отсутствия технической возможности удаления персональных данных необходимо принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование.
Это может быть либо один общий документ, определяющий политику оператора (уполномоченного лица) в отношении обработки персональных данных в виде отдельного (самостоятельного) документа, либо несколько документов, определяющих с учетом специфики (особенностей) деятельности оператора (уполномоченного лица) порядок обработки персональных данных в определенных сферах или в связи с определенными бизнес-процессами (например, в рамках обработки персональных данных на сайте, обработки персональных данных работников и т.п.).
При этом следует обеспечить соотносимость информации о целях, правовых основаниях обработки и круге обрабатываемых персональных данных, а также написание документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, простым и доступным языком.
Рекомендации по написанию оператором (уполномоченным лицом) документов, определяющих политику в отношении обработки персональных данных размещены в открытом доступе.
🗸 порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе).
Данный порядок может включать следующую информацию:
- перечень работников, непосредственно осуществляющих обработку персональных данных, в соответствии с целями их обработки и категориями персональных данных;
- порядок доступа к персональным данным в иных случаях;
- порядок прекращения доступа работников к обработке персональных данных и т.п.;
🗸 перечня информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых он является, а также категорий персональных данных, подлежащих включению в данные ресурсы (системы).
К таким ресурсам (системам) следует относить, в том числе, такие распространенные ресурсы (системы), как корпоративная электронная почта, программное обеспечение для ведения бухгалтерского учета и отчетности, сайты организаций, автоматизированные системы контроля и управления доступом, системы видеонаблюдения в организации, системы электронного документооборота и т.п.
Категории персональных данных, подлежащих включению в такие ресурсы (системы), определены в подпункте 3.5 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“. С учетом классификации информационных ресурсов (систем), содержащих персональные данные, такие категории предопределяют круг предъявляемых к информационным ресурсам требований по технической и криптографической защите персональных данных.
В случае, если персональные данные содержатся в нескольких информационных ресурсах (системах), то подлежат применению требования к системе защиты информации, устанавливающие более высокий уровень защиты;
🗸 форм согласия субъектов персональных данных применительно к обработке персональных данных на основании согласия. Важно учитывать, что для разных целей обработки данные формы могут отличаться (по кругу обрабатываемых персональных данных, сроку хранения, кругу уполномоченных лиц и т.п.);
🗸 договоров между операторами и уполномоченными лицами в соответствии с требованиями статьи 7 Закона либо дополнительных соглашений в отношении таких договоров;
🗸 устанавливающих сроки хранения персональных данных.
🗸 перечня уполномоченных лиц, если обработка персональных данных осуществляется такими лицами. При этом такой перечень, равно как и сроки хранения персональных данных, могут быть установлены как в виде отдельного документа, так и в документах, определяющих политику оператора в отношении обработки персональных данных, реестре обработки персональных данных;
🗸 порядка удаления (уничтожения) персональных данных.
Удаление персональных данных оформляется и подтверждается актом удаления в случае, если персональные данные содержатся в электронной форме, либо актом уничтожения в случае, если персональные данные содержатся в письменной форме.
Акт удаления (уничтожения) персональных данных разрабатывается в произвольной форме и утверждается руководителем оператора.
Исполнение обязанностей, возложенных Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон), на оператора (уполномоченное лицо) при обработке персональных данных субъектов персональных данных, непосредственно осуществляется работниками оператора (уполномоченного лица). При этом все такие работники, независимо от выполняемых ими функций, обязаны соблюдать положения законодательства о персональных данных и локальных правовых актов по данным вопросам.
В целях надлежащего обеспечения защиты персональных данных, прав и свобод субъектов персональных данных, а также с учетом установленной Трудовым кодексом Республики Беларусь дисциплинарной ответственности за неисполнение или ненадлежащее исполнение работником своих трудовых обязанностей целесообразно предусмотреть в должностных инструкциях работников, осуществляющих обработку персональных данных, обязанность ”соблюдать установленный законодательством о персональных данных и локальными правовыми актами порядок обработки персональных данных“.
При необходимости должностные обязанности конкретных работников (например, работников, трудовая функция которых в основном связана с обработкой персональных данных в информационном ресурсе (системе) (работники кадровых, бухгалтерских служб, работники, ответственные за функционирование информационного ресурса (системы)) в части реализации законодательства о персональных данных могут быть детализированы, в том числе исходя из способов организации оператором выполнения обязанностей, предусмотренных статьей 16 Закона.
Пример.
Обязанность по получению согласий на обработку персональных данных работников в случаях, когда иные правовые основания на такую обработку отсутствуют, возложена не на лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, а на работника кадровой службы организации. Данная обязанность может быть закреплена в должностной инструкции этого работника.
Решение о необходимости детализации должностной инструкции с учетом выполняемых работником функций по реализации Закона принимается нанимателем самостоятельно.
Например, в зависимости от трудовой функции работника в его должностную инструкцию могут быть включены обязанности:
🗸 получать в необходимых случаях согласие субъекта персональных данных на обработку персональных данных;
🗸 осуществлять контроль за соответствием срока обработки персональных данных заявленным целям, прекращать обработку персональных данных, а также обеспечивать их удаление или блокирование при отсутствии правовых оснований для обработки персональных данных;
🗸 обеспечивать предоставление субъектам персональных данных информации об их персональных данных, а также о предоставлении их персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;
🗸 обеспечивать доступ к персональным данным в установленном порядке, вести учет такого доступа и случаев предоставления, распространения персональных данных третьим лицам и т.п.
Работников оператора (уполномоченного лица) и иных лиц, которые непосредственно обрабатывают персональные данные, необходимо ознакомить с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, а также документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных.
Оператор (уполномоченное лицо) может избрать любой механизм подтверждения ознакомления (например, под роспись в журнале), позволяющий в дальнейшем продемонстрировать выполнение им названной обязанности.
Операторы (уполномоченные лица) организуют не реже 1 раза в 5 лет прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных.
Требования к организации обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных, установлены Указом Президента Республики Беларусь от 28 октября 2021 г. № 422.
Приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 194 ”Об обучении по вопросам защиты персональных данных“ определены категории лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которые обязаны проходить обучение в Национальном центре защиты персональных данных Республики Беларусь.
Иные лица проходят обучение:
- в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов, по образовательной программе повышения квалификации руководящих работников и специалистов;
- в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);
- у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).
Следует обеспечить:
🗸 возможность отзыва согласия субъекта персональных данных в электронной форме, если согласие субъекта было получено в такой форме;
🗸 подтверждение информации о способе полученного согласия и условиях, при которых оно было дано (например, сохранение информации о сеансе, во время которого было получено согласие, вместе с копией информации, которая была предоставлена субъекту в это время);
🗸 фиксацию и хранение информации о предоставлении персональных данных третьим лицам. Это могут быть журналы, если информация предоставлялась в письменном виде, система логирования в информационном ресурсе (системе) и т.п.
В соответствии с абзацем пятым пункта 3 статьи 17 Закона обязательной мерой по обеспечению защиты персональных данных является осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
В целях обеспечения надлежащей технической и криптографической защиты персональных данных оператору важно правильно классифицировать в соответствии с приказом директора Национального центра защиты персональных данных Республики Беларусь от 15 ноября 2021 г. № 12 содержащиеся в информационном ресурсе (системе) персональные данные. В зависимости от вида персональных данных, содержащихся в информационном ресурсе (системе), будут определяться класс типовой информационной системы и, соответственно, требования к системе защиты информации, а также иные мероприятия по технической и криптографической защите защиты персональных данных.
Вопросы осуществления технической и криптографической защиты персональных данных регламентированы приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66 ”О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449“.
