Метка: Внутренний контроль

Приложение

СТАНДАРТНЫЕ ПОЛОЖЕНИЯ

для включения в договор между оператором и уполномоченным лицом о поручении обработки персональных данных

1. Цели обработки персональных данных.

Цели обработки персональных данных должны соответствовать целям, заявленным в документе, определяющем политику оператора в отношении обработки персональных данных, и не должны быть абстрактными или общими.

2. Перечень действий, которые будут совершаться с персональными данными уполномоченным лицом.

В договоре следует, в частности, указать:

конкретные действия, совершаемые с персональными данными, поручаемые уполномоченному лицу (например, сбор персональных данных для заключения договора с определением перечня необходимых персональных данных; внесение сведений в информационный ресурс; хранение персональных данных с указанием сроков и условий хранения; их актуализация путем сопоставления с дополнительной информацией и т.п.);

информацию об использовании обезличивания персональных данных в целях повышения их защищенности (при использовании обезличивания);

условия, при которых возможно предоставление персональных данных третьим лицам или их распространение (если предполагается их предоставление или распространение).

3. Обязанность уполномоченного лица по соблюдению конфиденциальности персональных данных.

В соответствии с Законом об информации, информатизации и защите информации конфиденциальность информации – это требование не допускать распространения и (или) предоставления информации без согласия ее обладателя или иного основания, предусмотренного законодательными актами.

Соответственно, в договоре следует предусмотреть требование о том, что уполномоченное лицо не вправе распространять и (или) предоставлять персональные данные, которые стали ему (им) известны в связи с исполнением договора о поручении обработки, в том числе после прекращения обработки без наличия правового основания, предусмотренного законодательными актами.

4. Меры по обеспечению защиты персональных данных всоответствии со статьей 17 Закона.

В договор включаются положения о том, что уполномоченное лицо гарантирует принятие мер по обеспечению защиты персональных данных в соответствии со статьей 17 Закона. Такие меры должны быть приняты до заключения договора.

Одновременно в качестве механизма контроля оператором выполнения уполномоченным лицом указанных мер может быть закреплена обязанность уполномоченного лица предоставлять оператору информацию, необходимую для подтверждения реализации мер по обеспечению защиты персональных данных в соответствии со статьей 17 Закона. Если договор является долгосрочным, то предоставление такой информации может быть периодическим.

К такой информации могут быть отнесены сведения о:

наличии аттестата соответствия системы защиты информации информационной системы требованиям по защите информации;

наличии структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

наличии документов, определяющих политику уполномоченного лица в отношении обработки персональных данных, соответствующих положениям пункта 6 статьи 4 Закона;

разработке порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

прохождении обучения работников уполномоченного лица по вопросам защиты персональных данных и т.п.

5. Условия о привлечении уполномоченным лицом иных лиц (субуполномоченных) для обработки персональных данных.

В договоре следует предусмотреть условие о невозможности привлечения таких лиц либо о возможности привлечения с (без)  предварительного письменного разрешения оператора или письменного уведомления оператора.

В случае допустимости привлечения субуполномоченных лиц необходимо предусмотреть:

условие об обеспечении субуполномоченным лицом защиты персональных данных на уровне не ниже, чем обеспечено уполномоченным лицом;

обязанность уполномоченного лица обеспечить соблюдение субуполномоченным лицом обязательств, возложенных на уполномоченное лицо.

6. Механизм участия уполномоченного лица в выполнении оператором обязанностей перед субъектами персональных данных.

В договоре целесообразно определить порядок действий уполномоченного лица в случае поступления к нему или к оператору заявлений субъектов персональных данных.

Например, может быть предусмотрено, что в случае поступления заявления уполномоченному лицу оно может предоставлять субъекту персональных данных информацию об обработке персональных данных.

Кроме того, для обеспечения оператора полной и достоверной информацией об обработке персональных данных могут быть предусмотрены следующие обязанности уполномоченного лица с установлением сроков их исполнения (например, в трехдневный срок со дня поступления запроса, с момента, когда стало известно, и т.п.):

отвечать на запросы оператора о текущей обработке персональных данных;

в случае поступления к оператору заявления субъекта персональных данных предоставлять оператору информацию об обработке персональных данных, необходимую для подготовки ответа, оказывать иную помощь, необходимую для реализации оператором обязанностей перед субъектом персональных данных, предусмотренных Законом;

уведомлять оператора о любом заявлении (запросе), полученном от субъекта персональных данных;

информировать оператора в случае, если стало известно, что персональные данные, обработку которых осуществляет уполномоченное лицо, являются неполными, устаревшими или неточными;

уведомлять оператора в случае, если имеются основания полагать, что поручения оператора по обработке персональных данных не соответствуют требованиям законодательства.

7. Обязанность уполномоченного лица по окончании договора прекратить обработку персональных данных, передать все персональные данные оператору либо удалить (блокировать) персональные данные, за исключением случаев, когда законодательными актами предусмотрена обязанность их хранения, а также удалить (блокировать) все имеющиеся копии персональных данных и подтвердить оператору, что это сделано.

Подтверждение передачи, удаления или блокирования персональных данных может быть, например, оформлено отдельным актом, либо соответствующая информация может быть указана в акте сдачи-приемки выполненных работ, либо представлен письменный отчет о выполненном поручении.

8. Иные обязанности сторон.

В договоре могут быть предусмотрены также иные обязанности сторон, направленные на обеспечение защиты персональных данных, прав и свобод граждан при обработке их персональных данных, в зависимости от характера и особенностей обработки персональных данных, в том числе:

8.1. обязанность оператора уведомлять уполномоченное лицо о необходимости прекращения обработки персональных данных в связи с утратой оснований для их обработки (например, в случае отзыва субъектом персональных данных согласия на обработку персональных данных);

8.2. обязанности уполномоченного лица:

осуществлять обработку персональных данных только для целей, предусмотренных договором;

незамедлительно уведомлять оператора о нарушениях систем защиты персональных данных, в том числе о:

— примерном количестве субъектов персональных данных, затронутых нарушением;

— вероятных неблагоприятных последствиях нарушения системы защиты персональных данных;

— мерах, принятых или предлагаемых для устранения нарушения системы защиты персональных данных.

ПОЛОЖЕНИЕ
о порядке осуществления внутреннего контроля за обработкой персональных данных

1. Настоящее Положение разработано в соответствии с локальными правовыми актами Национального центра защиты персональных данных, в том числе:

• Инструкцией по делопроизводству, утвержденной приказом [”руководителя“] [”название организации“] от ____ г. № ___;
• Положением о политике в отношении обработки персональных данных, Положением о политике в отношении обработки персональных данных в процессе трудовой деятельности и при осуществлении административных процедур, Положением о политике в отношении обработки куки, утвержденными приказом [”руководителя“] [”название организации“] от ____ г. № ___;
• Положением об организации информационной безопасности, утвержденным приказом [”руководителя“] [”название организации“] от ____ г. № ___;
• Положением о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), утвержденным приказом [”руководителя“] [”название организации“] от ____ г. № ___;
• перечнем информационных ресурсов (систем), содержащих персональные данные и категории персональных данных, подлежащих включению в них, установленным приказом [”руководителя“] [”название организации“] от ____ г. № ___;
• определяет порядок проведения внутреннего контроля за обработкой персональных данных (далее – контроль), направленного на выявление и упреждение нарушений:
• требований законодательства о персональных данных в [”название организации“];
• локальных правовых актов, принятых в целях обеспечения защиты персональных данных (далее – локальные правовые акты), в том числе:
• документов, определяющих политику [”название организации“] в отношении обработки персональных данных;
• порядка доступа в [”название организации“] к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе).

2. Целями осуществления контроля в [”название организации“] являются:

• проверка выполнения работниками требований законодательства о персональных данных и локальных правовых актов;
• оценка уровня осведомленности и знаний работников в области обработки и защиты персональных данных;
• оценка необходимости и достаточности применяемых мер по обеспечению защиты персональных данных;
• выявление и упреждение нарушений законодательства о персональных данных;
• оказание методической помощи работникам по вопросам обработки персональных данных.

3. Контроль осуществляется лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных, – [”наименование структурного подразделения или должности лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных“] (далее – специалист) путем проведения мониторинга и внеплановых проверок (далее, если не определено иное, – проверки).
4. Мониторинг каждого структурного подразделения [”название организации“] проводится не реже одного раза в полугодие в соответствии с планом проведения мониторинга на соответствующий год по форме согласно приложению 1.

План проведения мониторинга на предстоящий год готовится специалистом и представляется на утверждение [”руководителя“] [”название организации“]  (лицу, исполняющему его обязанности) на 2022 год не позднее 15 июня 2022 г. и не позднее 20 декабря на последующие годы. В плане проведения мониторинга определяются структурные подразделения [”название организации“] и сроки проведения мониторинга.

5. Внеплановые проверки проводятся по устному поручению [”руководителя“] [”название организации“] (лица, исполняющего его обязанности) в течение трех рабочих дней с даты поступления соответствующего поручения.
6. В ходе подготовки к проведению проверки специалист определяет:

• структурное подразделение (работника), деятельность которого подлежит проверке;
• объекты контроля (процессы обработки персональных данных; информационные ресурсы и системы, содержащие персональные данные);
• проверяемый период.

7. Проверка включает проведение мероприятий по:

• анализу полноты выполнения работниками требований законодательства о персональных данных и локальных правовых актов;
• анализу ведения работниками [”название организации“] реестра обработки персональных данных (далее – реестр), его своевременной актуализации;
• проверке соответствия сроков хранения персональных данных срокам, указанным в реестре согласно требованиям законодательства;
• анализу реализации порядка доступа в [”название организации“]  к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
• проверке соблюдения сроков обучения работников [”название организации“]  по вопросам защиты персональных данных;
• контролю знаний работников [”название организации“]  законодательства о персональных данных и локальных правовых актов;
• иным вопросам, касающимся обработки персональных данных в [”название организации“].

8. Срок проверки не должен превышать трех рабочих дней.

При необходимости и по устному распоряжению [”руководителя“] [”название организации“] (лица, исполняющего его обязанности) срок проведения проверки может быть продлен не более чем на два рабочих дня.

9. Специалист не позднее чем за три рабочих дня до начала проведения мониторинга уведомляет руководителя проверяемого структурного подразделения и представляет ему для ознакомления план проведения мониторинга.

При проведении внеплановой проверки уведомление руководителя проверяемого структурного подразделения об этом не производится и план проведения проверки не составляется.

10. Проверки проводятся специалистом непосредственно на рабочем месте соответствующих работников, осуществляющих обработку персональных данных, в их присутствии.

При проведении проверки работник обязан предоставить специалисту доступ к своим документам, рабочему месту и компьютеру.

В случае отсутствия работника в период проведения проверки (болезнь, отпуск, командировка и т.п.) решение о переносе срока проведения проверки или проведении проверки в отсутствие такого работника принимается на основании устного поручения [”руководителя“] [”название организации“]  (лица, исполняющее его обязанности).

В случае проведения проверки в отсутствие работника осмотр документов, рабочего места и компьютера осуществляется в присутствии его непосредственного руководителя (лица, исполняющего его обязанности).

11. Специалист при осуществлении проверки имеет право рекомендовать руководителю структурного подразделения (работнику), деятельность которого проверяется:

• принять меры по устранению выявленных недостатков обработки персональных данных исходя из требований законодательства о персональных данных и локальных правовых актов;
• актуализировать реестр, в том числе привести в соответствие его записи фактически складывающемся действиям по обработке персональных данных.
• вносить [”руководителю“] [”название организации“] (лицу, исполняющему его обязанности) предложения, направленные на упреждение нарушения законодательства о персональных данных и локальных правовых актов, в том числе о:

совершенствовании правового, организационного и технического обеспечения защиты персональных данных при их обработке в [”название организации“];

поручении руководителям соответствующих структурных подразделений (работникам) актуализировать реестр;

привлечении к дисциплинарной ответственности работников, нарушивших законодательство о персональных данных или локальные правовые акты.

Не допускается вмешательство в деятельность специалиста при осуществлении контроля.

12. По итогам проведения проверки специалистом в течение трех рабочих дней после ее завершения готовится отчет по форме согласно приложению 2, в котором указываются:

• сроки проведения проверки, форма проведения проверки (мониторинг, внеплановая проверка), наименование структурного подразделения (работника), деятельность которого проверена;
• проведенные мероприятия;
• выявленные недостатки (при их наличии);
• предложения по совершенствованию обработки персональных данных и сроки устранения выявленных недостатков (при их наличии).

По истечению сроков устранения выявленных недостатков специалист проводит повторную проверку (при необходимости).

Отчет представляется [”руководителю“] [”название организации“]  (лицу, исполняющему его обязанности).

Отчеты хранятся у специалиста до полного устранения недостатков, но не более трех лет.

13. Специалист ежегодно не позднее 31 января представляет [”руководителю“] [”название организации“] сводный отчет о проведении проверок за предыдущий год.

ПОЛОЖЕНИЕ
о реестре обработки
персональных данных

1. Настоящее Положение определяет порядок ведения реестра обработки персональных данных (далее, если не определено иное, – Реестр) в [”название организации“], состав включаемых в него сведений, порядок их внесения в Реестр, изменения и исключения из него.
2. Реестр ведется в целях осуществления надлежащего контроля за обработкой персональных данных [”название организации“], осуществления систематизации и учета видов обработки персональных данных по форме согласно приложению.
3. Последовательность размещения записей в Реестре определяется [”наименование структурного подразделения или должности лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных“] (далее – специалист по контролю за обработкой персональных данных).
4. Реестр размещается в сетевой папке [”Внутренний контроль“] локальной вычислительной сети [”название организации“] в [”excel-файле“, ”базе данных“, ”автоматизированной информационной системе“, ”ином формате“].
5. Сведения в Реестр вносятся, изменяются в нем и исключаются из него специалистом по контролю за обработкой персональных данных по предложению руководителей структурных подразделений по направлениям их деятельности или уполномоченных ими лиц (далее – ответственное лицо).

Предложения направляются специалисту по контролю за обработкой персональных данных в электронном виде по форме согласно приложению в рабочем порядке.

5^*. Сведения в Реестр вносятся, изменяются в нем и исключаются из него руководителями структурных подразделений по направлениям их деятельности или уполномоченными ими лицами (далее – ответственное лицо) по форме согласно приложению.

6. Специалист по контролю за обработкой персональных данных поддерживает Реестр в актуальном состоянии, в том числе:

вносит, изменяет и исключает сведения в Реестре по предложению ответственных лиц;^*

при необходимости вносит предложения структурным подразделениям по направлениям их деятельности о дополнении Реестра, изменении сведений в нем и исключении их из него;

вносит [”руководителю“] [”название организации“] предложения о совершенствовании структуры Реестра и порядка его ведения;

осуществляет резервное копирование Реестра по мере его наполнения, но не реже одного раза в полугодие^*.

7. Резервное копирование Реестра производится [”системным администратором“, ”специалистом по контролю за обработкой персональных данных“, ”иным лицом“] на [”персональный компьютер системного администратора“, ”внешний жесткий диск“,”иной носитель информации“].
8. В случаях возникновения, изменения или прекращения рабочих процессов, требующих обработки персональных данных, ответственные лица направляют специалисту по контролю за обработкой персональных данных предложения о дополнении Реестра, изменении сведений в нем или исключении их из него в течение 10 рабочих дней со дня возникновения, изменения или прекращения этих рабочих процессов.

8^*. В случаях возникновения, изменения или прекращения рабочих процессов, требующих обработки персональных данных, ответственные лица дополняют Реестр, изменяют сведения в нем или исключают их из него, а также уведомляют в рабочем порядке специалиста по контролю за обработкой персональных данных в течение 10 рабочих дней со дня возникновения, изменения или прекращения этих рабочих процессов.

9. В целях обеспечения единообразия и осуществления контроля специалист по контролю за обработкой персональных данных вправе уточнять (в рабочем порядке) содержание сведений в Реестре у ответственных лиц.
10. В случае несогласия со специалистом по контролю за обработкой персональных данных ответственные лица вправе обратиться к [”руководителю“] [”название организации“] с предложениями о дополнении, изменении или исключении Реестра.

По результатам рассмотрения таких предложений решение об окончательной редакции сведений Реестра принимается [”руководителем“] [”название организации“].

Приложение
к Положению о реестре обработки
персональных данных
__.04.2022 № ___

Форма

РЕЕСТР

обработки персональных данных

[1] При отсутствии возможности отразить исчерпывающий перечень обрабатываемых персональных данных следует указывать ссылку на конкретную норму акта законодательства (если таковая имеется).

[2] Отражается норма Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“. Нормы иных актов законодательства могут отражаться в примечании. В этом столбце, в примечании и иных столбцах допускается использовать сокращения (Закон, п., абз., ч., ст.).

[3] Отражаются категории получателей (уполномоченные лица), получающие персональные данные на регулярной (постоянной) основе в соответствии с законодательными актами, при этом законодательными актами могут быть предусмотрены и иные случаи обязательной передачи персональных данных, в том числе их передача контрольным и надзорным органам, правоохранительным органам, суду.

[4] В случае, если персональные данные содержатся в документе, подлежащем передаче в архив, следует руководствоваться сроком хранения, определенным в номенклатуре дел.

В иных случаях такой срок определяется, исходя из необходимости соблюдения пункта 8 статьи 4 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ с учетом сроков хранения типовых документов Национального архивного фонда, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей, определенных республиканским органом государственного управления в сфере архивного дела и делопроизводства (например, постановление Министерства юстиции Республики Беларусь от 24 мая 2012 г. № 140 ”О перечне типовых документов Национального архивного фонда Республики Беларусь“).

Срок указывается в днях. Год условно определяется как 365 дней, а месяц – 30 дней.

[5] В примечании может содержаться иная необходимая информация, в том числе ссылки на акты законодательства, не нашедшие отражение в 5 и 6 столбцах.

ПОЛОЖЕНИЕ
о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе)

1. Настоящее Положение разработано на основании абзаца пятого пункта 3 статьи 17 Закона Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“, а также в соответствии с:
Инструкцией по делопроизводству, утвержденной приказом [”руководителя“] [”название организации“] от ___ № ___;
Положением о политике в отношении обработки персональных данных, утвержденным приказом [”руководителя“] [”название организации“] от ___ № ___;
Положением об организации информационной безопасности, утвержденным приказом [”руководителя“] [”название организации“] от ___ № ___;
перечнем информационных ресурсов (систем), содержащих персональные данные и категории персональных данных, подлежащих включению в них, установленным приказом [”руководителя“] [”название организации“] от ___ № ___.
2. Доступ в [”название организации“] к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), предоставляется:
работникам [”название организации“] (далее – работники) для выполнения должностных обязанностей в объеме, необходимом для надлежащего выполнения этих обязанностей;
работникам уполномоченного лица в объеме и на условиях, необходимых для исполнения договора между [”название организации“] и уполномоченным лицом (далее – иные лица).
3. Доступ к персональным данным имеют следующие работники:
[”руководитель“] [”название организации“] (лицо, исполняющее его обязанности) – ко всем категориям персональных данных;
лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных – ко всем категориям персональных данных в пределах исполнения должностных обязанностей;
заместители [”руководителя“] [”название организации“] – к персональным данным, необходимым для реализации положений Трудового кодекса Республики Беларусь, иных законодательных актов о труде и принятых в их развитие актов законодательства, данным в соответствии с содержанием резюме соискателей вакансий в структурных подразделениях по курируемым направлениям деятельности, иным категориям персональных данных, необходимым для исполнения должностных обязанностей;
администратор системный – к персональным данным, обрабатываемым [”название организации“] в информационных ресурсах (системах), в пределах исполнения должностных обязанностей.
Работникам, непосредственно осуществляющим обработку персональных данных, если иное не определено в части первой настоящего пункта, предоставляется доступ к персональным данным исходя из занимаемой должности и в соответствии с категориями персональных данных и целями их обработки согласно приложению 1, иным лицам – в соответствии с договором.
Предоставление доступа к персональным данным в информационных ресурсах (системах), а также отзыв предоставленных прав осуществляется при помощи средств управления правами доступа к соответствующим ресурсам (системам) согласно приложению 2.
4. Права доступа работника, иного лица:
изменяются – в случаях перевода работника на другую должность или изменения условий договора с уполномоченным лицом;
прекращаются – в случае увольнения работника или окончания срока действия договора с уполномоченным лицом, расторжения такого договора.
Доступ к персональным данным может быть также прекращен на основании организационно-распорядительного документа (приказа, поручения, указания) или иного документа с резолюцией [”руководителя“] [”название организации“] (лица, исполняющего его обязанности) или его заместителя.
5. Предоставление доступа к персональным данным обеспечивается:
в случае если персональные данные содержатся в организационно-распорядительной документации, образующейся в [”название организации“], – руководителем (его заместителем) структурного подразделения, в котором осуществляется оперативное хранение дела в соответствии с номенклатурой дел [”название организации“];
в случае если персональные данные обрабатываются в информационном ресурсе (системе) – администратором системным, осуществляющим обеспечение информационной безопасности согласно пункту ___ Положения об информационной безопасности.
6. Работники, не имеющие доступа к персональным данным, исходя из занимаемой должности или выполняемых функций, могут получить временный доступ к персональным данным одной или нескольких категорий и целей их обработки для выполнения служебного задания на период времени и в объеме, которые необходимы для выполнения такого задания.
При определении периода времени и объема персональных данных для предоставления временного доступа к ним руководитель структурного подразделения или его заместитель, а также администратор системный руководствуются содержанием служебного задания, содержащегося в организационно-распорядительном документе (приказ, поручение, указание) или ином документе с резолюцией [”руководителя“] [”название организации“] (лица, исполняющего его обязанности) или его заместителя по курируемому направлению деятельности.
В случае наличия сомнений относительно периода времени или объема персональных данных лицу, предоставляющему временный доступ к персональным данным, необходимо обратиться к [”руководителю“] [”название организации“] (лицу, исполняющему его обязанности) или его заместителю по курируемому направлению деятельности.
7. Работник или иное лицо, случайно или по иным причинам получившее доступ к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), не вправе изучать, изменять, удалять, копировать или иным способом использовать соответствующие документы или файлы.
8. Лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, изучает и анализирует процессы, связанные с соблюдением настоящего Положения, вносит [”руководителю“] [”название организации“] (лицу, исполняющему его обязанности) предложения по совершенствованию осуществления внутреннего контроля за обработкой персональных данных, в том числе по ограничению доступа отдельных работников к определенным категориям персональных данных (если по его мнению такой доступ носит избыточный характер и может создавать риски для защиты прав субъектов персональных данных).

Приложение 1
ПЕРЕЧЕНЬ
работников, имеющих доступ к персональным данным, в соответствии с категориями персональных данных и целями их обработки

Права доступа, предоставленные работникам и иным лицам в информационных ресурсах (системах), содержащих персональные данные

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1. Специалист по внутреннему контролю за обработкой персональных данных относится к категории специалистов и подчиняется руководителю Организации (лицу, исполняющему его обязанности).
2. На должность специалиста по внутреннему контролю за обработкой персональных данных назначается лицо, имеющее высшее образование.

Справочно.

Для присвоения II квалификационной категории: высшее образование и стаж работы в должности служащего ”Специалист по внутреннему контролю за обработкой персональных данных“ не менее 2 лет.

Для присвоения I квалификационной категории: высшее образование и стаж работы в должности служащего ”Специалист по внутреннему контролю за обработкой персональных данных“ с II квалификационной категорией не менее 3 лет.

3. Назначение на должность специалиста по внутреннему контролю за обработкой персональных данных и освобождение от нее осуществляется приказом руководителю Организации (лица, исполняющего его обязанности).
4. В своей деятельности специалист по внутреннему контролю за обработкой персональных данных руководствуется:

Конституцией Республики Беларусь, Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“ (далее – Закон), иными нормативными правовыми актами о персональных данных;

правилами внутреннего трудового распорядка и иными локальными правовыми актами Организации;

настоящей должностной инструкцией.

5. Специалист по внутреннему контролю за обработкой персональных данных должен знать:

нормативные правовые акты, методические материалы по вопросам, связанным с обработкой персональных данных;

общие требования к обработке персональных данных, правовые основания обработки персональных данных;

порядок работы с заявлениями и жалобами субъектов персональных данных;

правовые и организационные меры по обеспечению защиты персональных данных, основы технической и криптографической защиты информации в информационных системах;

современные средства коммуникации и связи, компьютерное оборудование, правила их эксплуатации;

основы законодательства о труде;

правила и нормы охраны труда и пожарной безопасности.

нормативные правовые акты и локальные правовые акты, регламентирующие деятельность Организации по вопросам, связанным
с исполнением должностных обязанностей;

структуру, цели деятельности, основные задачи и направления развития организации.

ГЛАВА 2

ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ

6. Специалист по внутреннему контролю за обработкой персональных данных:

6.1. изучает и анализирует процессы обработки персональных данных в Организации, определяет риски, связанные с процессами обработки персональных данных, и предлагает меры по их минимизации;

6.2. вырабатывает и предлагает к реализации в Организации правовые и организационные меры по обеспечению защиты персональных данных с учетом требований Закона и иных актов законодательства, в том числе разрабатывает и поддерживает в актуальном состоянии:

документы, определяющие политику Организации в отношении обработки персональных данных;

локальные правовые акты, определяющие порядок доступа к персональным данным, включая обрабатываемые посредством автоматизированных систем;

иные документы (формы) по вопросам обработки персональных данных;

форму реестра обработки персональных данных, координирует его ведение и поддержание в актуальном состоянии, оценивает полноту и корректность внесения в него информации;

6.3. принимает участие в определении мер технической и криптографической защиты персональных данных и взаимодействует с администратором системным по вопросам их осуществления;

6.4. осуществляет контроль за соблюдением в Организации требований законодательства и локальных правовых актов о персональных данных, в том числе:

за своевременным внесением работниками Организации изменений в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные не установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;

за своевременным прекращением обработки персональных данных, а также осуществлением их удаления или блокирования при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами;

проводит проверки по соблюдению требований законодательства о персональных данных в структурных подразделениях Организации для выявления нарушений и предупреждения их возникновения;

изучает нарушения работниками Организации требований к обработке персональных данных, вносит руководителю Организации предложения по привлечению виновных к ответственности;

уведомляет руководителя Организации (лицо, исполняющее его обязанности) о нарушениях защиты персональных данных, требующих оперативного принятия мер;

6.5. консультирует руководителей, иных работников Организации и уполномоченных лиц по вопросам обработки и защиты персональных данных в Организации;

6.6. согласовывает локальные правовые акты, договоры Организации на предмет их соответствия законодательству о персональных данных;

6.7. ознакамливает работников Организации (при необходимости – иных лиц, непосредственно осуществляющих обработку персональных данных), с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику Организации в отношении обработки персональных данных;

6.8. организует прохождение обучения работников Организации по вопросам обработки и защиты персональных данных в порядке, установленном законодательством, предлагает оптимальные формы обучения, исходя из функций работников, осуществляющих обработку персональные данных;

6.9. рассматривает (участвует в рассмотрении) заявления субъектов персональных данных по вопросам обработки персональных данных в Организации, предоставляет по их заявлению информацию об их персональных данных, а также о предоставлении их персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;

6.10. рассматривает (участвует в рассмотрении) жалобы субъектов персональных данных по вопросам обработки персональных данных в Организации, принимает в соответствии с законодательством необходимые меры по восстановлению нарушенных прав субъектов персональных данных;

6.11. обеспечивает взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, в том числе:

уведомляет уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;

осуществляет изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления
не установлен законодательными актами;

исполняет иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.

6.12. готовит отчеты в пределах компетенции;

6.13. непрерывно повышает свой профессионально-квалификационный уровень;

6.14. обеспечивает сохранность документов, образующихся в деятельности специалиста по внутреннему контролю за обработкой персональных данных, оформление и передачу их в архив;

6.15. сотрудничает с нанимателем в деле обеспечения здоровых и безопасных условий труда;

6.16. принимает необходимые меры по ограничению развития аварийной ситуации и ее ликвидации, оказывает первую помощь пострадавшему, принимает меры по вызову скорой помощи, аварийных служб, пожарной охраны;

6.17. выполняет требования по охране труда и пожарной безопасности, соблюдает правила внутреннего трудового распорядка;

6.18. принимает участие в заключении коллективного договора, разработке и осуществлении мероприятий по укреплению трудовой дисциплины;

6.19. соблюдает правила организации делопроизводства;

6.20. выполняет иные обязанности в соответствии с локальными правовыми актами, поручениями (указаниями) руководителю Организации (лица, исполняющего его обязанности).

ГЛАВА 3

ПРАВА

7. Специалист по внутреннему контролю за обработкой персональных данных имеет право:

7.1. принимать в пределах компетенции решения по вопросам, относящимся к исполнению должностных обязанностей;

7.2. знакомиться с проектами решений руководителя Организации (лица, исполняющего его обязанности), касающихся его деятельности;

7.3. вносить на рассмотрение руководителя Организации (лица, исполняющего его обязанности) предложения по совершенствованию деятельности, связанной с исполнением его должностных обязанностей;

7.4. запрашивать и получать от иных работников Организации информацию и документы, необходимые для исполнения своих должностных обязанностей;

7.5. получать от руководителя Организации (лица, исполняющего его обязанности) содействие в исполнении своих должностных обязанностей и реализации прав;

7.6. в пределах своей компетенции сообщать руководителю Организации (лицу, исполняющему его обязанности) о недостатках
в деятельности Организации (отдельных работников), выявленных в процессе исполнения своих должностных обязанностей, и вносить предложения по их устранению;

7.7. повышать свою квалификацию, в том числе, посредством направления в учреждения образования для освоения содержания образовательной программы повышения квалификации руководящих работников и специалистов, образовательной программы переподготовки руководящих работников и специалистов, имеющих высшее образование;

7.8. принимать участие в обсуждении вопросов охраны труда, а также выносимых на рассмотрение собраний трудового коллектива (профсоюзной организации).

ГЛАВА 4

ВЗАИМООТНОШЕНИЯ (СВЯЗИ ПО ДОЛЖНОСТИ)

8. Специалист по внутреннему контролю за обработкой персональных данных в пределах своей компетенции взаимодействует со всеми структурными подразделениями и работниками Организации.
9. Требования по внутреннему контролю за обработкой персональных данных в пределах его компетенции обязательны для работников Организации.
10. При возникновении между специалистом по внутреннему контролю за обработкой персональных данных и руководителем Организации (лицом, исполняющим его обязанности) разногласий по вопросам, относящимся к исполнению его должностных обязанностей, специалистом по внутреннему контролю за обработкой персональных данных действует по письменному указанию руководителя Организации (лица, исполняющего его обязанности), который несет всю полноту ответственности за последствия принимаемых решений.

ГЛАВА 5

ОТВЕТСТВЕННОСТЬ

11. Специалист по внутреннему контролю за обработкой персональных данных несет ответственность:

за неисполнение (ненадлежащее исполнение) должностных обязанностей, предусмотренных настоящей должностной инструкцией, – в пределах, определенных законодательством о труде;

за совершенные в процессе осуществления своей деятельности правонарушения – в пределах, определенных административным, уголовным и гражданским законодательством;

за причинение материального ущерба – в пределах, определенных трудовым, уголовным и гражданским законодательством;

за нарушение требований по охране труда или законодательства о пожарной безопасности.

12. Специалист по внутреннему контролю за обработкой персональных данных не несет ответственности в случае, предусмотренном в пункте 10 настоящей должностной инструкции, а также за последствия действий, совершенных без его подписи (визы).