Защита персональных данных в УОСО: чек-лист для директора

С учетом требований законодательства о персональных данных и позиции Нацио­нального центра защиты персональных данных (далее — Центр) в отношении применения отдельных положений Закона в УОСО необходимо предпринять следующие меры.

1. Назначить лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, внести необходимые дополнения (изменения) в должностную инструкцию этого работника.

Конкретные квалификационные требования, предъявляемые к работникам, на которых возлагаются функции специалиста, осуществляющего внутренний контроль за обработкой персональных данных, установлены в Едином квалификационном справочнике должностей служащих «Должности служащих для всех видов деятельности» (выпуск 1) (утв. постановлением Министерства труда Республики Беларусь от 30.12.1999 № 159).

Основными функциями такого ответственного лица являются следующие:

• осуществление внутреннего контроля за обработкой персональных данных;
• консультирование руководителя и работников по вопросам применения законодательства о персональных данных;
• участие в разработке и поддержании в актуальном состоянии документов, определяющих политику оператора в отношении обработки персональных данных;
• ведение (координация ведения) реестра обработки персональных данных (или иного документа, систематизирующего обработку персональных данных);
• участие в обучении работников и иных лиц, непосредственно осуществляющих обработку персональных данных, по вопросам защиты персональных данных;
• взаимодействие с уполномоченным органом по защите прав субъектов персональных данных;
• участие в рассмотрении заявлений, жалоб субъектов персональных данных.

Это важно
Назначение лица, ответственного за осуществление внутреннего контроля (возложение соответствующих обязанностей на конкретного специалиста), не снимает ответственности с руководителя и других работников УОСО за несоблюдение требований законодательства о персональных данных.

Справочно: алгоритм приведения деятельности оператора в соответствие с Законом с необходимыми разъяснениями размещен на сайте Центра (clck.ru/35cDwD).

2. Составить и поддерживать в актуальном состоянии реестр обработки персональных данных.

Реестр ведется в целях осуществления надлежащего контроля за обработкой персональных данных, систематизации и учета видов их обработки. Без этого невозможно обеспечить реализацию общих требований к обработке персональных данных, установленных ст. 4 Закона. Реестр дает представление о том, какие персональные данные, для чего и как обрабатываются оператором. Составление реестра — задача довольно кропотливая. Однако ответственный подход к ее решению во многом облегчит работу по составлению политики в отношении обработки персональных данных в УОСО.

Важно не только создать реестр, но и поддерживать его в актуальном состоянии.

Реестр обработки персональных данных может состоять из разделов, указанных ниже. Как заполняется реестр, показано на примере такой цели обработки персональных данных, как осуществление административных процедур.

Справочно: перечень типовых документов, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей, с указанием сроков хранения (приложение 1 к постановлению Министерства юстиции Респуб­лики Беларусь от 24.05.2012 № 140).

3. Разработать и утвердить:

3.1. положение об организации внутреннего контроля за обработкой персональных данных;

3.2. документы, определяющие политику в отношении обработки персональных данных (далее — политика).

Справочно: рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных, размещены на сайте Центра.

Политика может быть одним документом или же можно разработать несколько таких документов, например политику в отношении обработки персональных данных:

• в трудовых отношениях;
• при осуществлении видеонаблюдения;
• на сайте и т. д.

Это важно
Политика должна быть размещена на сайте УОСО на странице не ниже второго уровня. При отсутствии сайта обеспечение неограниченного доступа к политике осуществляется посредством ее размещения на информационных стендах или иными способами.

Учитывая однотипность процессов обработки персональных данных в УОСО, оптимальным вариантом видится разработка типовых (примерных) политик (например, разработка на уровне комитетов (управлений) по образованию исполкомов соответствующего уровня). Вместе с тем следует понимать, что политика — это ключевой документ оператора, отражающий все осуществляемые им обработки. По этой причине такие типовые (примерные) политики могут использоваться в качестве основы и адаптироваться операторами с учетом специфики (потребностей) их деятельности.

Результаты выборочного мониторинга сайтов УОСО показывают, что наиболее распространенными ошибками операторов при реализации положений ст. 17 Закона являются:

• отсутствие документов, определяющих политику в отношении персональных данных;
• неотражение в документах, определяющих политику оператора в отношении защиты персональных данных, всех бизнес- и иных процессов, в которых осуществляется обработка персональных данных;
• необеспечение соотношения целей обработки персональных данных, правовых оснований, категорий субъектов, чьи данные подвергаются обработке, и перечня обрабатываемых персональных данных;
• отсутствие ссылок на правовые основания обработки и др.

3.3. порядок доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе).

В УОСО разрабатывается порядок доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе), которым среди прочего определяется перечень работников, имеющих доступ к персональным данным, в соответствии с категориями персональных данных и целями их обработки.

Типичными нарушениями при установлении порядка доступа к персональным данным являются:

• отсутствие такого порядка;
• предоставление одинакового доступа всем работникам без учета их функций;
• закрепление перечня лиц, которые имеют доступ к персональным данным, без конкретизации категорий и случаев, когда им предоставляется такой доступ (постоянно, временно, для каких целей).

4. Внести изменения в должностные обязанности лиц, обрабатывающих персональные данные.

В должностных инструкциях работников, осуществляющих обработку персональных данных (классных руководителей младших классов, учителей-­предметников и др.), следует предусмотреть обязанность «соблюдать установленный законодательством о персональных данных и локальными правовыми актами порядок обработки персональных данных».

При необходимости должностные обязанности конкретных работников (например, ответственных за функционирование информационного ресурса (системы)) в части реализации законодательства о персональных данных могут быть детализированы, в т. ч. исходя из способов организации оператором выполнения обязанностей, предусмотренных ст. 16 Закона.

Справочно: в зависимости от трудовой функции работника в его должностную инструкцию могут быть включены обязанности:
• получать в необходимых случаях согласие субъекта персональных данных на обработку его персональных данных;
• осуществлять контроль за соответствием срока обработки персональных данных заявленным целям, прекращать обработку персональных данных, а также обеспечивать их удаление или блокирование при отсутствии правовых оснований для обработки персональных данных;
• обеспечивать предоставление субъектам персональных данных информации об их персональных данных, а также о предоставлении их персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;
• обеспечивать доступ к персональным данным в установленном порядке, вести учет такого доступа и случаев предоставления, распространения персональных данных третьим лицам и т. п.

5. Ознакомить работников и иных лиц, непосредственно осуществляющих обработку персональных данных в УОСО, с положениями законодательства о персональных данных.

Главное при ознакомлении работников — избежать формализма. Допускается избрать любой механизм подтверждения ознакомления (например, под роспись в журнале).

6. Запланировать и организовать обу­чение лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, и лиц, непосредственно осуществляющих их обработку.

Требования к организации обучения по вопросам защиты персональных данных лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, установлены подп. 3.3 п. 3 Указа Президента Республики Беларусь от 28.10.2021 № 422 «О совершенствовании мер по защите персональных данных».

Кроме того, УОСО как операторам необходимо обеспечить реализацию иных организационных и технических мер, предусмотренных законодательством о персональных данных (например, разработать форму согласия для использования в тех случаях, когда правовым основанием обработки выступает согласие, организовать фиксацию и хранение информации о предоставлении персональных данных третьим лицам (это могут быть журналы, если информация предоставлялась в письменном виде), установить и поддерживать в актуальном состоянии перечень уполномоченных лиц в тех случаях, когда обработка персональных данных поручается уполномоченным лицам (например, schools.by для ведения электронных журналов и дневников) и др.).

***

Подробному разъяснению вопросов применения законодательства о персональных данных в сфере образования был посвящен цикл семинаров, проведенных Центром в онлайн-­формате в мае ‒ июне 2023 г.

На сайте Центра размещены:

• образцы необходимых документов;
• разъяснения вопросов применения Закона;
• подробные разъяснения о применении Закона в сфере образования.

Ответы на актуальные вопросы в сфере защиты персональных данных оперативно размещаются Центром в Telegram-­канале «Центр персональных данных».