Алгоритм подготовки к проверке НЦЗПД

Денис Гайкевич
специалист по защите персональных данных

29.03.2024

Одна из основных задач деятельности НЦЗПД согласно Указу от 28.10.2021 № 422 - это осуществление контроля за обработкой персональных данных (ПД). Контроль проводится в следующих формах:

✓ плановые проверки (план проверок заблаговременно публикуется на сайте ведомства);

✓ внеплановые проверки;

✓ камеральные проверки.

Помимо этих форм контроля НЦЗПД также рассматривает жалобы субъектов ПД, по итогам которых в случае выявления нарушений направляется требование об их устранении.

В рамках проведения плановой или внеплановой проверки НЦЗПД оценивает (п.21 Положения о Национальном центре защиты персональных данных, утв. Указом № 422):

• соответствие принятых оператором мер по обеспечению защиты ПД требованиям законодательства о ПД;

• достаточность этих мер для защиты ПД;

• наличие нарушений законодательства о ПД.

Обратите внимание! НЦЗПД не является органом, который ведет административный процесс. В связи с этим при выявлении в действиях (бездействии) операторов признаков административного правонарушения соответствующая информация направляется в органы внутренних дел, должностные лица которых наделены полномочиями по составлению протоколов об административных правонарушениях.

Таким образом, для подготовки к проверке НЦЗПД оператору необходимо провести внутренний аудит всех бизнес-процессов, в которых обрабатываются ПД. При проведении необходимо ответить на два ключевых вопроса:

1) соответствует ли обработка ПД требованиям законодательства и разъяснениям НЦЗПД?

Справочно НЦЗПД дает разъяснения по вопросам применения законодательства о ПД, проводит иную разъяснительную работу о законодательстве о ПД (п.7 Положения о НЦЗПД);

2) достаточны ли принятые меры для обеспечения максимальной защиты ПД?

Справочно Достаточность мер обусловлена риск-ориентированным подходом (п.2 ст.17 Закона от 07.05.2021 № 99-З «О защите персональных данных»), согласно которому оператор должен самостоятельно определить состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению такой защиты.

Законодательство о ПД не содержит исчерпывающего перечня мер, принятие которых свидетельствует о соблюдении обязанности по обеспечению защиты ПД (ранее упомянутый риск-ориентированный подход).

Вместе с тем в рамках аудита и для ответа на указанные выше вопросы оператору следует проверить, приняты ли им:

✓ обязательные меры по обеспечению защиты ПД (п.3 ст.17 Закона № 99-З );

✓ меры, предусмотренные п.3 Указа № 422;

✓ меры, вытекающие из обязанностей оператора (ст.16 Закона № 99-З);

✓ иные прямо не предусмотренные законодательством о ПД меры, но необходимые для обеспечения защиты ПД в условиях их обработки у оператора (критерий достаточности).

Для проведения внутреннего аудита можно использовать разработанный НЦЗПД алгоритм приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями Закона № 99-З.

Помимо этого алгоритма, целесообразно обратиться к:

• разработанному НЦЗПД постатейному практико-ориентированному комментарию к Закону № 99-З (в нем отражены различные выработанные Центром подходы применения Закона № 99-З);

• иным методологическим документам, разработанным НЦЗПД;

• примерным формам документов, которые следует принять оператору в целях реализации положений Закона № 99-З.

Алгоритм проведения внутреннего аудита условно можно разделить на 16 шагов.

Алгоритм внутреннего аудита

Шаг 1. Назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой ПД (DPO)

Назначение DPO (подразделения) и осуществление внутреннего контроля за обработкой ПД - два самостоятельных мероприятия в рамках одной меры (абз.2 п.3 ст.17 Закона № 99-З).

Однако реализация этой меры обязательна не для всех операторов. Применять ее не обязаны:

• индивидуальные предприниматели;

• иные физлица, осуществляющие деятельность, направленную на получение прибыли (ремесленник, адвокат, нотариус, лицо, осуществляющее деятельность по оказанию услуг в сфере агроэкотуризма или иные виды деятельности, которые не относятся к предпринимательской деятельности в соответствии с ч.4 п.1 ст.1 ГК).

Дополнительно по теме • Должностная инструкция специалисту по осуществлению внутреннего контроля за обработкой персональных данных (пример). • Положение о порядке осуществления внутреннего контроля за обработкой персональных данных (пример).

Шаг 2. Выявление, фиксация и анализ бизнес-процессов, в которых обрабатываются ПД

Следует обратить внимание, что эта мера не является обязательной для реализации операторами. Вместе с тем при ее реализации могут возникнуть сложности в соблюдении положений ст.4 Закона № 99-З, обеспечении эффективного внутреннего контроля за обработкой ПД, издании политик, отслеживании сроков хранения (подп.3.5 п.3 Указа № 422), последующем удалении (уничтожении) ПД и др.

Поэтому большинству операторов следует принять соответствующий ЛПА (положение о реестре обработки ПД), в котором определить:

✓ порядок взаимодействия структурных подразделений с DPO по вопросам ведения реестра;

✓ механизм актуализации реестра;

✓ место его размещения;

✓ порядок доступа работников к нему и т. п.

В реестре в отношении каждого самостоятельного процесса обработки ПД надо указать следующую информацию:

✓ цель обработки ПД;

✓ подразделение (лицо), ответственное за конкретную обработку ПД;

✓ категории лиц, чьи ПД обрабатываются (клиенты, работники, бывшие работники, соискатели, лица, подписывающие договоры, посетители интернет-сайта и др.);

✓ категории обрабатываемых ПД (указывается конкретный перечень);

✓ правовую основу обработки ПД;

✓ источник получения ПД;

✓ категории получателей ПД;

✓ срок хранения ПД.

Дополнительно по теме • Положение о реестре обработки персональных данных (пример). • Перечень информационных ресурсов (систем), содержащих персональные данные, и категории персональных данных, подлежащих включению в них (пример).

Шаг 3. Определение порядка удаления (блокирования) ПД

Для реализации этого шага рекомендуем изучить материал «Удаление персональных данных».

Шаг 4. Издание документов, определяющих политику оператора (уполномоченного лица) в отношении обработки ПД (политик)

В зависимости от основных целей обработки ПД по отдельным бизнес-процессам целесообразно издать самостоятельные политики в отношении:

✓ работников, бывших работников и при осуществлении административных процедур;

✓ cookie-файлов;

✓ видеонаблюдения;

✓ программы лояльности;

✓ посетителей сайта и др.

Для обеспечения большей доступности и наглядности политики следует обеспечить соотношение целей и правовых оснований обработки, категорий субъектов персональных данных, чьи данные подвергаются обработке, перечня обрабатываемых персональных данных и конкретных сроков обработки в форме, удобной для восприятия субъектами персональных данных (например, в табличной форме).

Таблица 1

Пример обеспечения соотношения в табличной форме

Дополнительно по теме • Рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных. • Положение о политике в отношении обработки персональных данных (пример). • Положение о политике в отношении обработки куки (пример). • Положение о политике в отношении обработки персональных данных в процессе трудовой деятельности и при осуществлении административных процедур (пример).

Шаг 5. Обеспечение неограниченного доступа к политике (политикам)

Помимо издания политики, на оператора возложена обязанность по обеспечению неограниченного доступа к ней, в том числе с использованием интернета.

Так, политику в отношении «внешнего контура» (клиентов, контрагентов, граждан, направляющих обращения, и т. п.) целесообразно разместить на интернет-сайте оператора. Надо учитывать, что такая информация должна быть опубликована на странице не ниже второго уровня.

Иной подход можно применить к политике оператора в отношении работников. Нет необходимости размещать такой документ в открытом доступе для неограниченного круга лиц. Допустимо опубликовать соответствующий документ на корпоративном портале (при его наличии), разместить на информационных стендах и обеспечить доступ иными способами.

Шаг 6. Ознакомление работников и иных лиц, непосредственно осуществляющих обработку ПД, с положениями законодательства о ПД, в том числе с требованиями по защите ПД, политиками, а также их обучение в установленном законодательством порядке

Эта мера направлена на уяснение работниками и иными лицами, непосредственно осуществляющими обработку ПД, сути возлагаемых на них обязанностей. Данная обязанность распространяется как на действующих, так и на вновь принятых работников.

Шаг 6 включает два самостоятельных мероприятия: ознакомление и обучение.

Работников необходимо ознакомить с:

✓ положениями законодательства о ПД (Закон № 99-З, иные акты, имеющие значение для выполнения функций конкретным работником, например, Закон от 10.05.2007 № 225-З «О рекламе», целесообразно доводить также информацию о мерах ответственности, предусмотренных ТК, КоАП и УК);

✓ требованиями по защите ПД (запрет на обработку ПД без правовых оснований, предоставление ПД лицам, у которых не предоставлен такой доступ, и др.);

✓ политиками.

Порядок обучения, в том числе его периодичность, установлен в подп.3.3 п.3 Указа № 422, а категории лиц, обучаемых непосредственно в НЦЗПД, определены приказом ОАЦ от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных».

Помимо организации обучения, операторы до 15 ноября обязаны обеспечить представление НЦЗПД информации о количестве DPO, а также лиц, непосредственно осуществляющих обработку ПД, которым необходимо пройти обучение в НЦЗПД.

Собственники (владельцы) информационных систем (указанные в ч.1 п.3 Положения о технической и криптографической защите информации, утв. Указом от 16.04.2013 № 196) и владельцы критически важных объектов информатизации, а также организации, осуществляющие лицензируемую деятельность по технической и (или) криптографической защите информации, обеспечивают обучение в НЦЗПД не реже одного раза в 3 года своих работников и (или) иных лиц, в обязанности которых входит обеспечение информационной безопасности. Обучение проводят по образовательной программе повышения квалификации руководящих работников и специалистов по вопросам технической и (или) криптографической защиты информации (подп.3.3 п.3 Указа № 422).

Кроме этого, операторы ежегодно до 15 ноября обязаны обеспечить представление НЦЗПД информации о количестве работников и (или) иных лиц, в обязанности которых входит обеспечение информационной безопасности, для повышения их квалификации.

Шаг 7. Внесение изменений в должностные обязанности лиц, обрабатывающих ПД

Для надлежащего обеспечения защиты ПД целесообразно предусмотреть в должностных инструкциях работников, осуществляющих обработку ПД, обязанность «соблюдать установленный законодательством о персональных данных и локальными правовыми актами порядок обработки персональных данных».

При необходимости должностные обязанности конкретных работников в части реализации законодательства о ПД могут быть детализированы, в том числе исходя из способов организации оператором выполнения обязанностей, предусмотренных ст.16 Закона № 99-З. Например, можно уточнить обязанности работников, трудовая функция которых в основном связана с обработкой ПД в информационном ресурсе (системе) - это работники кадровых, бухгалтерских служб, работники, ответственные за функционирование информационного ресурса (системы).

Шаг 8. Установление порядка доступа к ПД, в том числе обрабатываемым в информационном ресурсе (системе)

Порядок доступа к ПД целесообразно закрепить в одном документе. Но отдельные его положения могут быть детализированы в иных документах. Например, в положениях об информационных ресурсах (системах), о видеонаблюдении, о контроле управления доступом в помещения организации.

Дополнительно по теме • Положение о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе) (пример).

Шаг 9. Осуществление технической и криптографической защиты ПД в установленном ОАЦ порядке, в соответствии с классификацией информационных ресурсов (систем), содержащих ПД

Конкретные технические требования к защите информации, в том числе и ПД, определены в приказе ОАЦ от 20.02.2020 № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449».

Шаг 10. Установление и поддержание в актуальном состоянии перечня информационных ресурсов (систем), содержащих ПД, собственниками (владельцами) которых является оператор, а также категорий ПД, подлежащих включению в данные ресурсы (системы)

На практике чаще всего используется следующая модель ведения перечня информационных ресурсов (систем), содержащих ПД, собственником (владельцем) которых является оператор:

Таблица 2

Пример перечня информационных ресурсов (систем), содержащих ПД, и категории ПД, подлежащих включению в них

Дополнительно по теме • Перечень информационных ресурсов (систем), содержащих персональные данные, и категории персональных данных, подлежащих включению в них (пример).

Шаг 11. Установление и поддержание в актуальном состоянии перечня уполномоченных лиц, если обработка персональных данных осуществляется такими лицами

Перечень уполномоченных лиц целесообразно вести в виде таблицы, электронной форме и др.

Таблица 3

Вариант установления перечня уполномоченных лиц в виде таблицы

Дополнительно по теме • Рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных.

Шаг 12. Внесение сведений об информационных ресурсах (системах), содержащих ПД, в государственный информационный ресурс «Реестр операторов персональных данных», а также обеспечение актуализации соответствующих сведений

В Реестр операторов включают информацию только об информационных ресурсах (системах), посредством которых осуществляется:

✓ трансграничная передача специальных ПД, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов ПД, за исключением случаев, предусмотренных абз.5-7 п.1 ст.9 Закона № 99-З;

✓ обработка биометрических и (или) генетических ПД;

✓ обработка ПД более 100 тыс. физических лиц;

✓ обработка ПД более 10 тыс. физических лиц, не достигших возраста 16 лет (подп.1.1 п.1 приказа ОАЦ от 01.06.2022 № 94 «О государственном информационном ресурсе «Реестр операторов персональных данных»).

Шаг 13. Обеспечение установления порядка фиксации и хранения информации о предоставлении ПД третьим лицам

Установление порядка фиксации и хранения информации о предоставлении ПД третьим лицам упрощает исполнение обязанности по предоставлению субъекту ПД информации, связанной с обработкой его ПД (абз.5 п.1 ст.16 Закона № 99-З).

На практике целесообразно вести журналы, если информация предоставлялась в письменном виде, системы логирования в информационном ресурсе (системе) и т. п.

Таблица 4

Вариант установления порядка фиксации и хранения информации о предоставлении ПД третьим лицам

Дополнительно по теме • Письмо НЦЗПД от 02.03.2023 № 5-5/228 «О разъяснении законодательства о персональных данных (о праве субъекта персональных данных получать от оператора информацию о предоставлении своих персональных данных третьим лицам)».

Шаг 14. Установление порядка реагирования на нарушения системы защиты ПД и уведомления об инциденте НЦЗПД

Оператор обязан уведомить НЦЗПД о нарушениях систем защиты ПД незамедлительно, но не позднее 3 рабочих дней после того, как ему стало известно о таких нарушениях, за исключением случаев, предусмотренных НЦЗПД.

Порядок направления уведомления определен приказом НЦЗПД от 15.11.2021 № 13.

Уведомление о нарушениях систем защиты ПД не направляется, если такое нарушение не привело к:

✓ незаконному распространению, предоставлению ПД;

✓ изменению, блокированию либо удалению ПД без возможности восстановления доступа к ним (п.1 приказа № 13).

Шаг 15. Разработка иных документов (кроме предусмотренных п.3 ст.17 Закона № 99-З)

Для разработки формы согласия субъектов ПД, дополнительных положений, подлежащих включению в договоры между оператором и уполномоченным лицом (ст.7 Закона № 99-З), и других документов можно использовать:

• Рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных.

• Согласие на обработку персональных данных (с пояснением).

• Нужно ли получать согласие на обработку персональных данных у работника, если на информационном стенде вывешивают поздравление с днем рождения, в котором указаны его Ф.И.О. и дата рождения? Если нужно, то в каком виде?

• Разъяснение субъекту персональных данных прав, связанных с обработкой его персональных данных, механизма их реализации, а также последствий дачи им согласия или отказа в даче такого согласия (пример).

• Согласие на обработку персональных данных (пример).

• Согласие на обработку персональных данных.

Шаг 16. Оценка состава и перечня принятых мер на предмет достаточности для выполнения обязанностей по обеспечению защиты ПД, а также соответствия требованиям Закона № 99-З

Для оценки принятых мер на предмет их достаточности и соответствия требованиям законодательства о ПД, включая ст.4 Закона № 99-З (общие требования к обработке ПД), целесообразно использовать следующие разъяснения НЦЗПД:

• Рекомендации об обработке персональных данных в связи с трудовой (служебной) деятельностью.

• Письмо НЦЗПД от 17.02.2023 № 5-5/194 «О разъяснении законодательства о персональных данных (о копиях документов, удостоверяющих личность)».

• Письмо НЦЗПД от 17.02.2023 № 5-5/193 «О разъяснении законодательства о персональных данных (об объеме сведений, необходимом для оформления доверенности».