С учетом требований законодательства о персональных данных и позиции Национального центра защиты персональных данных (далее — Центр) в отношении применения отдельных положений Закона в УОСО необходимо предпринять следующие меры.
1. Назначить лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, внести необходимые дополнения (изменения) в должностную инструкцию этого работника.
Конкретные квалификационные требования, предъявляемые к работникам, на которых возлагаются функции специалиста, осуществляющего внутренний контроль за обработкой персональных данных, установлены в Едином квалификационном справочнике должностей служащих «Должности служащих для всех видов деятельности» (выпуск 1) (утв. постановлением Министерства труда Республики Беларусь от 30.12.1999 № 159).
Основными функциями такого ответственного лица являются следующие:
- осуществление внутреннего контроля за обработкой персональных данных;
- консультирование руководителя и работников по вопросам применения законодательства о персональных данных;
- участие в разработке и поддержании в актуальном состоянии документов, определяющих политику оператора в отношении обработки персональных данных;
- ведение (координация ведения) реестра обработки персональных данных (или иного документа, систематизирующего обработку персональных данных);
- участие в обучении работников и иных лиц, непосредственно осуществляющих обработку персональных данных, по вопросам защиты персональных данных;
- взаимодействие с уполномоченным органом по защите прав субъектов персональных данных;
- участие в рассмотрении заявлений, жалоб субъектов персональных данных.
Это важно
Назначение лица, ответственного за осуществление внутреннего контроля (возложение соответствующих обязанностей на конкретного специалиста), не снимает ответственности с руководителя и других работников УОСО за несоблюдение требований законодательства о персональных данных.
Справочно: алгоритм приведения деятельности оператора в соответствие с Законом с необходимыми разъяснениями размещен на сайте Центра (clck.ru/35cDwD).
2. Составить и поддерживать в актуальном состоянии реестр обработки персональных данных.
Реестр ведется в целях осуществления надлежащего контроля за обработкой персональных данных, систематизации и учета видов их обработки. Без этого невозможно обеспечить реализацию общих требований к обработке персональных данных, установленных ст. 4 Закона. Реестр дает представление о том, какие персональные данные, для чего и как обрабатываются оператором. Составление реестра — задача довольно кропотливая. Однако ответственный подход к ее решению во многом облегчит работу по составлению политики в отношении обработки персональных данных в УОСО.
Важно не только создать реестр, но и поддерживать его в актуальном состоянии.
Реестр обработки персональных данных может состоять из разделов, указанных ниже. Как заполняется реестр, показано на примере такой цели обработки персональных данных, как осуществление административных процедур.
Справочно: перечень типовых документов, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей, с указанием сроков хранения (приложение 1 к постановлению Министерства юстиции Республики Беларусь от 24.05.2012 № 140).
3. Разработать и утвердить:
3.1. положение об организации внутреннего контроля за обработкой персональных данных;
3.2. документы, определяющие политику в отношении обработки персональных данных (далее — политика).
Справочно: рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных, размещены на сайте Центра.
Политика может быть одним документом или же можно разработать несколько таких документов, например политику в отношении обработки персональных данных:
- в трудовых отношениях;
- при осуществлении видеонаблюдения;
- на сайте и т. д.
Это важно
Политика должна быть размещена на сайте УОСО на странице не ниже второго уровня. При отсутствии сайта обеспечение неограниченного доступа к политике осуществляется посредством ее размещения на информационных стендах или иными способами.
Учитывая однотипность процессов обработки персональных данных в УОСО, оптимальным вариантом видится разработка типовых (примерных) политик (например, разработка на уровне комитетов (управлений) по образованию исполкомов соответствующего уровня). Вместе с тем следует понимать, что политика — это ключевой документ оператора, отражающий все осуществляемые им обработки. По этой причине такие типовые (примерные) политики могут использоваться в качестве основы и адаптироваться операторами с учетом специфики (потребностей) их деятельности.
Результаты выборочного мониторинга сайтов УОСО показывают, что наиболее распространенными ошибками операторов при реализации положений ст. 17 Закона являются:
- отсутствие документов, определяющих политику в отношении персональных данных;
- неотражение в документах, определяющих политику оператора в отношении защиты персональных данных, всех бизнес- и иных процессов, в которых осуществляется обработка персональных данных;
- необеспечение соотношения целей обработки персональных данных, правовых оснований, категорий субъектов, чьи данные подвергаются обработке, и перечня обрабатываемых персональных данных;
- отсутствие ссылок на правовые основания обработки и др.
3.3. порядок доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе).
В УОСО разрабатывается порядок доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе), которым среди прочего определяется перечень работников, имеющих доступ к персональным данным, в соответствии с категориями персональных данных и целями их обработки.
Типичными нарушениями при установлении порядка доступа к персональным данным являются:
- отсутствие такого порядка;
- предоставление одинакового доступа всем работникам без учета их функций;
- закрепление перечня лиц, которые имеют доступ к персональным данным, без конкретизации категорий и случаев, когда им предоставляется такой доступ (постоянно, временно, для каких целей).
4. Внести изменения в должностные обязанности лиц, обрабатывающих персональные данные.
В должностных инструкциях работников, осуществляющих обработку персональных данных (классных руководителей младших классов, учителей-предметников и др.), следует предусмотреть обязанность «соблюдать установленный законодательством о персональных данных и локальными правовыми актами порядок обработки персональных данных».
При необходимости должностные обязанности конкретных работников (например, ответственных за функционирование информационного ресурса (системы)) в части реализации законодательства о персональных данных могут быть детализированы, в т. ч. исходя из способов организации оператором выполнения обязанностей, предусмотренных ст. 16 Закона.
Справочно: в зависимости от трудовой функции работника в его должностную инструкцию могут быть включены обязанности:
• получать в необходимых случаях согласие субъекта персональных данных на обработку его персональных данных;
• осуществлять контроль за соответствием срока обработки персональных данных заявленным целям, прекращать обработку персональных данных, а также обеспечивать их удаление или блокирование при отсутствии правовых оснований для обработки персональных данных;
• обеспечивать предоставление субъектам персональных данных информации об их персональных данных, а также о предоставлении их персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;
• обеспечивать доступ к персональным данным в установленном порядке, вести учет такого доступа и случаев предоставления, распространения персональных данных третьим лицам и т. п.
5. Ознакомить работников и иных лиц, непосредственно осуществляющих обработку персональных данных в УОСО, с положениями законодательства о персональных данных.
Главное при ознакомлении работников — избежать формализма. Допускается избрать любой механизм подтверждения ознакомления (например, под роспись в журнале).
6. Запланировать и организовать обучение лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, и лиц, непосредственно осуществляющих их обработку.
Требования к организации обучения по вопросам защиты персональных данных лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, установлены подп. 3.3 п. 3 Указа Президента Республики Беларусь от 28.10.2021 № 422 «О совершенствовании мер по защите персональных данных».
Кроме того, УОСО как операторам необходимо обеспечить реализацию иных организационных и технических мер, предусмотренных законодательством о персональных данных (например, разработать форму согласия для использования в тех случаях, когда правовым основанием обработки выступает согласие, организовать фиксацию и хранение информации о предоставлении персональных данных третьим лицам (это могут быть журналы, если информация предоставлялась в письменном виде), установить и поддерживать в актуальном состоянии перечень уполномоченных лиц в тех случаях, когда обработка персональных данных поручается уполномоченным лицам (например, schools.by для ведения электронных журналов и дневников) и др.).
***
Подробному разъяснению вопросов применения законодательства о персональных данных в сфере образования был посвящен цикл семинаров, проведенных Центром в онлайн-формате в мае ‒ июне 2023 г.
На сайте Центра размещены:
Ответы на актуальные вопросы в сфере защиты персональных данных оперативно размещаются Центром в Telegram-канале «Центр персональных данных».