Формируем перечень документов по защите персональных данных

Формируем перечень документов по защите персональных данных

Учреждение общего среднего образования, являясь самостоятельным оператором, осуществляющим обработку персональных данных, обязано выполнять предписания Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон). Рассмотрим более подробно, какая документация должна быть в учреждении общего среднего образования в соответствии с Законом.

Швед Надежда

заместитель начальника управления методологии защиты персональных данных Национального центра защиты персональных данных Республики Беларусь, кандидат юридических наук, доцент

1202 Shape 1 copy 6Created with Avocode.

Закон не содержит исчерпывающего перечня мер, принятие которых будет свидетельствовать о соблюдении оператором обязанности по обеспечению защиты персональных данных. В Законе реализован риск-ориентированный подход, поэтому в зависимости от сферы деятельности оператора, объема обрабатываемых персональных данных, способов обработки, категорий персональных данных, потенциальных рисков, связанных с обработкой персональных данных, иных обстоятельств оператор (уполномоченное лицо) самостоятельно определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных. При этом в ст. 17 Закона прописан комплекс мер по обеспечению защиты персональных данных, которые каждый оператор (уполномоченное лицо) обязан принимать в своей организации.

Документы, разрабатываемые в УО

Учреждение образования, являясь самостоятельным оператором, обязано выполнять предписания Закона. Остановимся более подробно на тех документах, касающихся защиты персональных данных, которые должны быть разработаны в учреждении образования.

1. Приказ о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных*.

Наряду с назначением ответственного лица необходимо разработать порядок осуществления внутреннего контроля за обработкой персональных данных, включающий периодичность и формат контрольных мероприятий, их оформление и порядок принятия решений по результатам таких мероприятий.

* С рекомендациями о назначении структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, можно ознакомиться на сайте НЦЗПД.

2. Политика учреждения образования в отношении обработки персональных данных.

Цель издания данного документа заключается в информировании субъектов персональных данных об обработке персональных данных в учреждении.

Следует отметить, что это может быть один общий документ, определяющий политику учреждения образования в отношении обработки персональных данных, или несколько документов, определяющих порядок обработки персональных данных в определенных сферах или в связи с определенными процессами (например, в рамках обработки персональных данных на сайте, обработки персональных данных работников в процессе трудовой (служебной) деятельности и т. п.). 

Политика должна содержать общие положения, разъясняющие субъекту персональных данных, как и для каких целей персональные данные собираются, используются или иным образом обрабатываются, а также какие права имеются у субъекта в контексте этой обработки и каков механизм их реализации.

Это важно
Как показали проверки, проводимые НЦЗПД, многие забывают отразить в политике все процессы, в ходе которых обрабатываются персональные данные (например, забывают о видеонаблюдении в здании), а также не обеспечивают соотношение целей обработки, правовых оснований, категорий субъектов персональных данных, чьи данные подвергаются обработке, и перечня обрабатываемых персональных данных.

При написании политики важно обеспечить соотносимость информации о целях, правовых основаниях обработки и круге обрабатываемых персональных данных, что позволит субъекту персональных данных уяснить, какие его персональные данные и для каких именно целей обрабатываются. В противном случае политика будет носить формальный характер и не иметь для субъекта практической пользы, поскольку не будет обеспечена реализация принципа прозрачности обработки персональных данных.

При подготовке политики многие операторы просто дублируют положения Закона, что также не отвечает принципу прозрачности обработки персональных данных, либо используют первую попавшуюся в Интернете политику без ее адаптации к собственным процессам, либо включают в политику положения, изложенные с учетом подходов российского законодательства.

Отмечается также несогласованность положений политики, а иногда даже прямое противоречие их друг другу. При формулировании целей обработки персональных данных в политике зачастую указывают слишком общие либо неконкретные цели обработки (например, «обеспечение соблюдения законодательства», «осуществление деятельности в соответствии с уставом»). При определении сроков обработки персональных данных сроки либо вовсе не указываются, либо указываются неконкретные сроки («не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен законодательством», «согласие действует до момента отзыва этого согласия либо до момента, установленного законодательством»).

В некоторых случаях в политике не указывается механизм реализации прав субъектов персональных данных, в т. ч. не указывается лицо, ответственное за осуществление внутреннего контроля, либо на субъектов персональных данных возлагаются обязанности, не предусмотренные Законом, что нарушает их права и законные интересы, создает для них сложности и непонимание механизма реализации своих прав.

Обращаем внимание, что рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных, размещены в открытом доступе.

Это важно
Рекомендуется писать политику простыми понятным языком, избегая сложных оборотов и специфической профессиональной лексики.

Необходимо помнить и о том, что учреждение образования обязано обеспечить неограниченный доступ к политике, в т. ч. с использованием Интернета, с учетом круга субъектов персональных данных, на которых она распространяется.

Это важно
Политика оператора в отношении «внешнего контура» (законных представителей несовершеннолетних, граждан, направляющих обращения, и т. п.) размещается на сайте оператора. При отсутствии у учреждения образования сайта обеспечение неограниченного доступа к политике осуществляется посредством ее размещения на информационных стендах или иными способами.

Политику учреждения образования в отношении обработки персональных данных работников (при ее наличии) нет необходимости размещать в открытом доступе для неограниченного круга лиц. В этом случае допустимо опубликовать соответствующий документ на корпоративном портале (при его наличии), а также разместить на информационных стендах.

3. Документ, определяющий порядок доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе).

В законодательстве нет требований относительно того, что должен включать данный порядок. Полагаем, это зависит от самого учреждения образования, целей сбора персональных данный и от того, какие персональные данные будут обрабатываться.

Порядок доступа к персональным данным целесообразно закрепить в одном документе, но отдельные его положения могут быть детализированы в иных документах, в т. ч. положениях об информационных ресурсах (системах), о видеонаблюдении и др.

При разработке порядка доступа к персональным данным в нем следует отразить различия в предоставлении такого доступа к документам в информационных ресурсах и к документам в бумажном виде. Например, доступ к персональным данным, обрабатываемым в информационном ресурсе (системе), может быть ограничен посредством настроек программного обеспечения (установление разграничения доступа, паролей). А доступ к персональным данным, содержащимся в документах в бумажном виде, можно ограничить посредством организации мест для их хранения.

Отсутствие такого порядка может привести к тому, что доступ к персональным данным будут иметь работники, должностные обязанности которых не связаны с обработкой персональных данных (например, обслуживающий персонал), или иные лица (обучающиеся, родители, посетители учреждения образования).

В любом случае данный документ может включать следующую информацию:

  • перечень работников, непосредственно осуществляющих обработку персональных данных, в соответствии с целями их обработки и категориями персональных данных;
  • порядок доступа в помещения, где обрабатываются персональные данные, к электронным базам персональных данных, порядок выдачи логинов и паролей, перечень должностей учреждения образования, которым может быть дан доступ, а также цели выдачи такого доступа (например, при организации оплаты питания);
  • порядок прекращения доступа работников к обработке персональных данных и т. п.

4. Перечень информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых является учреждение образования, а также категорий персональных данных, подлежащих включению в данные ресурсы (системы).

Операторы обязаны устанавливать и поддерживать в актуальном состоянии перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются (подп. 3.5 п. 3 Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»).

К данным ресурсам (системам) следует относить, например, такие распространенные в учреждениях образования ресурсы (системы), как корпоративная электронная почта, программное обеспечение для ведения бухгалтерского учета и отчетности, кадрового учета, сайты учреждений, автоматизированные системы контроля и управления доступом, системы видеонаблюдения, системы электронного документооборота и т. п.

5. Перечень уполномоченных лиц (если для обработки персональных данных в учреждении образования привлекаются такие лица).

Данный перечень может быть установлен как в виде отдельного документа, так и в документах, определяющих политику оператора в отношении обработки персональных данных, реестре обработки персональных данных.

При этом учреждение образования при заключении договора с уполномоченным лицом должно руководствоваться ст. 7 Закона.

6. Формы согласия субъекта персональных данных.

Учреждение образования должно разработать и утвердить формы согласия субъекта персональных данных для обработки персональных данных, осуществляемой на основании согласия. Важно учитывать, что для разных целей обработки формы согласия могут различаться (по кругу обрабатываемых персональных данных, сроку хранения, кругу уполномоченных лиц и т. п.).

С примерной формой согласия можно 

ознакомиться на сайте НЦЗПД.

7. Документ, устанавливающий порядок удаления (уничтожения) персональных данных.

Данный документ может быть оформлен как отдельный локальный правовой акт либо включен в локальный акт, определяющий порядок функционирования информационной системы (ресурса), политику информационной безопасности.

8. Документ, определяющий порядок учета предоставления персональных данных третьим лицам.

Целесообразно вести учет предоставления персональных данных третьим лицам (например, в журнале). При отсутствии такого учета будет затруднительно в полной мере выполнять обязанности оператора (например, реализовывать право субъекта персональных данных, предусмотренное ст. 12 Закона, на получение информации о предоставлении персональных данных третьим лицам).

Внесение изменений в ЛПА

В должностные инструкции работников, трудовая функция которых связана с обработкой персональных данных (включая работников кадровых, бухгалтерских служб, работников, ответственных за функционирование информационного ресурса (системы)), педагогических работников необходимо внести положения, касающиеся соблюдения установленного законодательством о персональных данных и локальными правовыми актами порядка обработки персональных данных.

Конкретный перечень таких обязанностей определяется в каждом конкретном случае исходя из специфики деятельности работника. Примерный перечень таких обязанностей можно найти на сайте НЦЗПД.

В должностных инструкциях остальных работников, обрабатывающих персональные данные, может быть предусмотрена их обязанность «соблюдать установленный законодательством о защите персональных данных и локальными правовыми актами порядок обработки персональных данных».

Ознакомление работников с документами

Важно помнить и о том, что к числу обязательных мер по обеспечению защиты персональных данных относится не только подготовка вышеуказанных документов, но и ознакомление работников учреждения образования и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в т. ч. с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, иными документами, а также обучение указанных работников и иных лиц в порядке, установленном законодательством (абз. 4 п. 3 ст. 17 Закона).

Порядок ознакомления (ознакомление под роспись и др.) определяет само учреждение образования. Важно, чтобы это ознакомление не носило формального характера, а работники детально ознакомились с тем объемом информации, который им необходим для успешного выполнения трудовых функций.


От редакции

Дополнительно по теме вы можете: 

1) прочитать в следующих материалах:

Швед Н.Когда согласие на обработку персональных данных не требуется;
Швед Н.Организация работы по обработке персональных данных;
Швед Н.Обработка персональных данных в учреждениях образования: правовые основания;
Самосейко В.Обработка персональных данных работников учреждения;

2) посмотреть видеозапись онлайн-семинара «Защита персональных данных в учреждениях образования: рекомендации уполномоченного органа»;

3) скачать и использовать в работе:
согласие на обработку персональных данных;
реестр обработок персональных данных;
формулировку дополнения ПВТР и должностных инструкций работников;
уведомление о прекращении обработки персональных данных и их удалении;
заявление на отзыв согласия на обработку персональных данных;
журнал учета прохождения первичного инструктажа по вопросам персональных данных работниками, допущенными к работе с персональными данными;
журнал учета согласий субъектов персональных данных;
журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных;
журнал по ознакомлению работников с локальными правовыми актами в области защиты персональных данных;
положение о порядке рассмотрения запросов субъектов персональных данных или их представителей;
положение о порядке обучения по вопросам персональных данных;
положение о порядке допуска работников и иных лиц к обработке персональных данных;
положение о политике в отношении обработки персональных данных;
положение об обработке персональных данных;
приказ о направлении на обучение по вопросам персональных данных;
приказ об установлении перечня лиц, имеющих доступ к персональным данным, обрабатываемым учреждением;
приказ о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных.

1202 Shape 1 copy 6Created with Avocode.
Задать вопрос в редакцию
Заказать звонок