Памятка: проверьте, правильно ли за год организована работа с персональными данными

Главное в статье:

• порядок работы с персональными данными определен Законом № 99-З и рядом разъяснений Национального центра защиты персональных данных в различных сферах применения норм Закона № 99-З.

Организации – операторы персональных данных

Практически каждая организация имеет как минимум данные клиентов, контрагентов по договорам, собственных работников, их родственников со всеми их реквизитами, дополнительными документами, подтверждающими те или иные обстоятельства их личности или жизни, иными данными, большинство из которых подпадает под определение персональных данных. Все эти сведения обычно систематизируются работниками организации и хранятся в виде таблиц, списков, картотек и т.д. как в электронном виде, так и в бумажном. Следовательно, организации в этом случае занимаются обработкой персональных данных, т.е. являются операторами персональных данных.

Справочно:

методологические документы, рекомендации, образцы документов Национального центра защиты персональных данных о применении Закона № 99-З размещены по адресу:

https://cpd.by/pravovaya-osnova/metodologicheskiye-dokumenty-rekomendatsii/

Обратите внимание!

Индивидуальные предприниматели и физические лица (работники), осуществляющие обработку персональных данных на основании договора с оператором, не являются операторами, поскольку осуществляют ее от имени оператора или в его интересах.

Действия, необходимые в организации для правильной обработки персональных данных

Для работника соответствующие должностные обязанности следует определить должностной инструкцией либо дополнительным соглашением к трудовому договору (контракту).

Для структурного подразделения должно быть утверждено положение об организации внутреннего контроля за обработкой персональных данных.

В нем должны быть перечислены виды, цели и способы обработки персональных данных в организации: документирование, хранение, использование в определенных целях, распространение в определенных целях и т.д. (ст. 4 Закона № 99-З).

Образец реестра размещен на официальном сайте Национального центра защиты персональных данных по адресу: https://cpd.by/storage/2022/06/Reestr_obrabotki_primery_.pdf

Как минимум в организации должен быть единый документ, определяющий, кем, как и для каких целей персональные данные собираются, используются или иным образом обрабатываются.

Могут быть разработаны и иные документы, определяющие специфику обработки персональных в отдельных сферах деятельности (например, политика обработки персональных данных работников и др.).

Образец политики в отношении обработки персональных данных размещен на официальном сайте Национального центра защиты персональных данных по адресу: https://cpd.by/politika-v-otnoshenii-obrabotki-personalnyh-dannyh/

‒ документ, содержащий информацию о способах, целях и сроках обработки персональных данных, с которой субъекта необходимо ознакомить до получения согласия (в письменной или электронной форме);

‒ разъяснение субъекту прав, связанных с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия или отказа в даче такого согласия (в письменной или электронной форме);

‒ форму согласия субъекта персональных данных (в письменной или электронной форме).

В должностных инструкциях работников, трудовая функция которых в основном связана с обработкой персональных данных (включая работников кадровых, бухгалтерских служб, работников, ответственных за функционирование информационного ресурса (системы)), должны быть предусмотрены обязанности по соблюдению установленного законодательством о персональных данных и локальными правовыми актами порядка обработки персональных данных.

Работников, осуществляющих обработку персональных данных, следует ознакомить с основными положениями законодательства о персональных данных, желательно под подпись (в журнале, на отдельном листе ознакомления, другим способом).

Обучение по вопросам защиты персональных данных организуется:

‒ не реже 1 раза в 3 года – для работников информационных систем и критически важных объектов информатизации, а также работников и иных лиц, в обязанности которых входит обеспечение информационной безопасности;

‒ не реже 1 раза в 5 лет – для работников и лиц, ответственных за осуще­ствление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных.

Документ:

Закон Республики Бела­русь от 07.05.2021 № 99-З «О защите персональных данных» (Закон № 99-З).