Шаг 1. Назначьте ответственных лиц
- Назначить структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.
- Определить его должностные обязанности, утвердить положение об организации внутреннего контроля за обработкой персональных данных.
Варианты назначения ответственного лица:
- освобожденный работник (отдельное структурное подразделение);
- возложение дополнительных функций на одного работника организации;
- возложение дополнительных функций на нескольких работников.
Итоговые документы
- приказ о внесении изменений в штатное расписание;
- должностная инструкция;
- приказ о назначении лица (лиц), ответственного за осуществление внутреннего контроля за обработкой персональных данных;
- положение об организации внутреннего контроля за обработкой персональных данных
Шаг 2. Проанализируйте бизнес-процессы
- Выявить и зафиксировать бизнес-процессы, в которых используются персональные данные.
- Проанализировать бизнес-процессы, в которых используются персональные данные, на предмет соответствия требованиям законодательства о персональных данных.
Каждый бизнес-процесс в отношении использования персональных данных необходимо проанализировать по следующим позициям:
- цель обработки;
- подразделение (лицо), ответственное за обработку;
- категории лиц, чьи персональные данные обрабатываются;
- категории обрабатываемых персональных данных;
- правовая основа обработки;
- источник получения персональных данных;
- категории получателей персональных данных;
- срок хранения персональных данных.
Итоговые документы
- реестр обработок персональных данных
Шаг 3. Разработайте локальные правовые акты
- Издать документы, определяющие политику в отношении обработки персональных данных.
- Обеспечить неограниченный доступ, в т. ч. с использованием сети Интернет, к данной политике.
- Разработать иные (кроме определяющих политику в отношении персональных данных) документы.
Политик в организации может быть несколько. Например, одна политика для посетителей сайта, вторая — для соискателей при отборе персонала, третья — в части обработки персональных данных при видеонаблюдении и т. п.
Итоговые документы
- положение о политике организации в отношении обработки персональных данных;
- положение о порядке допуска работников и иных лиц к обработке персональных данных;
- перечень информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых является оператор, а также категорий персональных данных, подлежащих включению в данные ресурсы (системы);
- формы согласия субъектов персональных данных применительно к обработке персональных данных на основании согласия;
- договор между оператором и уполномоченным лицом;
- документы, устанавливающие сроки хранения персональных данных;
- приказ об установлении перечня лиц, имеющих доступ к персональным данным, обрабатываемым учреждением;
- положение об уничтожении (удалении) персональных данных
Шаг 4. Оформите кадровые документы
- Внести изменения в должностные обязанности лиц, обрабатывающих персональные данные.
- Издать приказ о внесении изменений в должностную инструкцию лиц, обрабатывающих персональные данные.
- Ознакомить работников с дополнением в должностную инструкцию и приказом о внесении дополнений в должностную инструкцию.
Итоговые документы
- дополнение должностной инструкции;
- приказ о внесении изменений в должностную инструкцию
Шаг 5. Проинформируйте работников
- Ознакомить работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных.
Варианты ознакомления работников с документами:
- ознакомление с НПА и ЛПА по вопросам обработки персональных данных под роспись;
- размещение рассматриваемых документов на стенде, в общедоступном корпоративном ресурсе и т.п.;
- выдача копий таких документов и т.п.
Итоговые документы
- лист ознакомления с НПА и ЛПА по вопросам обработки персональных данных (в случае ознакомления под роспись)
Шаг 6. Проведите обучение работников
- Обучить лиц, непосредственно осуществляющих обработку персональных данных, и лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных.
Лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, а также лица, непосредственно осуществляющие обработку персональных данных, которые обязаны проходить обучение в НЦЗПД, определены в приказе ОАЦ при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных».
Иные лица проходят обучение:
- в учреждениях образования, а также иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов;
- в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);
- у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).
Итоговые документы
- положение о порядке обучения по вопросам персональных данных;
- приказ о направлении на обучение (об организации обучения в учреждении);
- журнал учета лиц, прошедших обучение по вопросам персональных данных
Шаг 7. Разработайте организационные и технические документы
- Разработать документы, позволяющие реализовать организационные и технические меры.
Следует обеспечить:
- возможность отзыва согласия субъекта персональных данных в электронной форме, если согласие субъекта было получено в такой форме;
- подтверждение информации о способе получения согласия и условиях, при которых оно было дано;
- фиксацию и хранение информации о предоставлении персональных данных третьим лицам.
Итоговые документы
- положение о порядке рассмотрения запросов субъектов персональных данных или их представителей;
- унифицированные формы заявлений и ответов на них;
- журнал учета обращений субъектов персональных данных по вопросам обработких их персональных данных
Шаг 8. Обеспечьте техническую и криптографическую защиту персональных данных
- Осуществить техническую и криптографическую защиту персональных данных в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
Оператору необходимо:
- правильно классифицировать содержащиеся в информационном ресурсе (системе) персональные данные;
- провести государственную экспертизу средств технической и криптографической защиты информации.
Итоговые документы
Также Вы можете ознакомиться со следующими образцами документов в сфере защиты персональных данных, которые можно скачать:
– Приказ о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных
– Приказ об установлении перечня лиц, имеющих доступ к персональным данным, обрабатываемым учреждением
– Приказ о направлении на обучение по вопросам персональных данных
– Положение об обработке персональных данных
– Положение о политике в отношении обработки персональных данных
– Положение о порядке допуска работников и иных лиц к обработке персональных данных
– Положение о порядке обучения по вопросам персональных данных
– Положение о порядке рассмотрения запросов субъектов персональных данных или их представителей
– Журнал по ознакомлению работников с локальными правовыми актами в области защиты персональных данных
– Журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных
– Журнал учета согласий субъектов персональных данных
– Журнал учета прохождения первичного инструктажа по вопросам персональных данных работниками, допущенными к работе с персональными данными
– Заявление на отзыв согласия на обработку персональных данных
– Уведомление о прекращении обработки персональных данных и их удалении
– Формулировка дополнения ПВТР и должностных инструкций работников
– Реестр обработок персональных данных
– Согласие на обработку персональных данных