Материал помещен в архив. Актуальный материал по теме см. здесь

Разрабатываем формы документов по защите персональных данных: 10 рекомендаций

Ольга Марочкина
юрист

20.12.2021

15 ноября 2021 г. вступил в силу Закон от 07.05.2021 № 99-З «О защите персональных данных». В пособии даны рекомендации по оптимизации работы с персональными данными, приведены формы необходимых документов.

Материал включает разделы:

Справочно Начало разработки Закона № 99-З - 2016 год. Принят Палатой представителей в первом чтении 13.06.2019, во втором чтении - 02.04.2021. Вступил в силу 15.11.2021.

Вся работа с персональными данными в организации должна быть четко регламентирована.

Каждая организация или индивидуальный предприниматель могут быть проверены на предмет соответствия их деятельности требованиям законодательства.

Контроль за обработкой персональных данных операторами осуществляется Национальным центром защиты персональных данных (далее - Центр, НЦЗПД) (гл.4 Положения о Национальном центре защиты персональных данных, утв. Указом от 28.10.2021 № 422).

Дополнительно по теме • Создан Национальный центр защиты персональных данных. Комментарий к Указу от 28.10.2021 № 422. • Алгоритм принятия решения о способе организации контроля за обработкой персональных данных и введения в штат должности DPO ((data protection officer), менеджера (специалиста, инженера) по защите персональных данных), ответственного за осуществление внутреннего контроля за обработкой персональных данных.

Обратите внимание! Формы документов, приведенные в материале, не являются типовыми и разрабатываются в каждой организации с учетом специфики ее деятельности.

Внутренний контроль за обработкой персональных данных. Допуск к персональным данным с целью их обработки

Назначение лица или структурного подразделения, ответственного за осуществление внутреннего контроля за обработкой персональных данных, и установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), - это обязанность организации, которая обрабатывает персональные данные (абз.8 ст.1, абз.2, 4 п.3 ст.17 Закона № 99-З).

Кого назначить ответственным за осуществление внутреннего контроля за обработкой персональных данных?

При выборе ответственного рекомендуем исходить из штатной численности и структуры организации. Законодатель также допускает возможность создания отдельного структурного подразделения, задача которого - осуществлять внутренний контроль за обработкой персональных данных. В таком случае вопрос распределения ответственности между работниками можно урегулировать в положении о структурном подразделении.

Обратите внимание! Различают организационно-правовой контроль и контроль за эксплуатацией средств защиты информации. Технический контроль - это зона ответственности специалистов с техническим (инженерным) образованием.

Поэтому с учетом ст.17 Закона № 99-З целесообразно разделить функцию контроля за обработкой персональных данных между несколькими лицами и (или) структурными подразделениями.

1. По технической части:

- если назначено структурное подразделение - служба безопасности, служба информационной защиты и безопасности, отдел системного администрирования и т. д.;

- если назначен работник - системный администратор, инженер-программист, специалист по информационной безопасности и т. д.

Работы по технической и криптографической защите информации у собственника (владельца) информационной системы могут выполняться:

• подразделением защиты информации или иным подразделением (должностным лицом), ответственным за обеспечение защиты информации. Работники такого подразделения (должностное лицо) должны иметь высшее образование в области защиты информации либо высшее или профессионально-техническое образование и пройти переподготовку или повышение квалификации по вопросам технической и криптографической защиты информации в порядке, установленном законодательством;

• организациями, имеющими специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ.

Физические лица, в том числе ИП, являющиеся собственниками (владельцами) информационных систем, в которых обрабатываются персональные данные, вправе выполнять работы по технической и криптографической защите этих данных самостоятельно (без создания (назначения) подразделения защиты информации или иного подразделения (должностного лица), ответственного за обеспечение защиты информации) либо с привлечением специализированной организации (п.4 Положения о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утв. приказом ОАЦ от 20.02.2020 № 66, пп.9, 10 Положения о технической и криптографической защите информации, утв. Указом от 16.04.2013 № 196).

2. По правовой и организационной части:

- если назначено структурное подразделение - отдел правовой и кадровой работы, юридический отдел, отдел идеологической работы, экономической и информационной безопасности, отдел по защите персональных данных и т. д.;

- если назначен работник - заместитель директора по правовым и кадровым вопросам, заместитель директора по идеологической работе и экономической безопасности, начальник юридического отдела, юрисконсульт, менеджер (специалист) по защите персональных данных и т. д.

Обратите внимание! Наниматель должен понимать, что, назначая работника, например юрисконсульта, ответственным за осуществление внутреннего контроля за обработкой персональных данных по правовой и организационной части, большая часть рабочего времени такого работника будет посвящена защите персональных данных, поэтому целесообразнее ввести отдельную штатную единицу, например менеджера по защите персональных данных, или дополнительную единицу юрисконсульта.

Исходя из совокупности норм Указа № 422 и Закона № 99-З лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, не должны принимать непосредственное активное участие в обработке самих персональных данных. Если в организации нет специалиста и (или) структурного подразделения, на которые можно возложить ответственность за осуществление внутреннего контроля за обработкой персональных данных, то такую обязанность может взять на себя руководитель организации, что, по мнению автора, более правильно.

Справочно Руководитель организации несет персональную ответственность за организацию работ по технической и криптографической защите информации в организации (п.15 Положения № 196).

Кроме того, необходимо предоставить в НЦЗПД информацию о лицах, ответственных за осуществление внутреннего контроля за обработкой персональных данных, что предусмотрено ч.2 подп.3.3 п.3 Указа № 422.

До 15.12.2021 операторам необходимо было предоставить в Центр информацию:

• о количестве лиц, ответственных за внутренний контроль за обработкой персональных данных;

• о количестве лиц, непосредственно осуществляющих обработку персональных данных.

Дополнительно по теме • До 15.12.2021 сведения об ответственных лицах по работе с персональными данными должны предоставить только те операторы, которым необходимо пройти обучение в НЦЗПД, или же все операторы? • На оператора (уполномоченное лицо) возложена обязанность определить структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных (абз.2 п.3 ст.17 Закона от 07.05.2021 № 99-З «О защите персональных данных»). Кого в организации можно назначить для выполнения этой функции? • На кого могут быть возложены обязанности оператора (уполномоченного лица) согласно ст.17 Закона от 07.05.2021 № 99-З «О защите персональных данных» в организации? Юрист, главный бухгалтер, кадровик, системный администратор? • Приказ о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (пример).

Кого допускать к обработке персональных данных?

Следует различать лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, и лиц, допущенных к обработке персональных данных.

Например, бухгалтер по заработной плате в силу своей трудовой функции участвует в обработке персональных данных работников, лиц, работающих по гражданско-правовым договорам, и должен быть допущен к обработке персональных данных после соответствующего подписания обязательства о неразглашении персональных данных и ознакомления с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику организации в отношении обработки персональных данных. При этом бухгалтер по заработной плате не будет в данном случае лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных.

К кругу лиц, имеющих право допуска к персональным данным, относятся как сами субъекты персональных данных (в отношении своих персональных данных), так и многочисленные государственные органы (статистические, правоохранительные и т. п.). Организация определяет персонал (работников), которому предоставлено право допуска к персональным данным в целях их обработки (выполнения своих должностных (трудовых) обязанностей).

Работникам кадровой службы такой допуск необходим для оформления трудовых отношений с физическими лицами. Данные работников, в объеме, который требуется законодательством, могут собираться без получения от работников на то отдельного согласия (ст.6 Закона № 99-З). Однако сведения, которые не требуются согласно законодательству о труде для заключения трудового договора, могут быть получены кадровиком только после получения письменного согласия лица (например, от нового работника может быть запрошена информация о его родственниках).

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований Закона № 99-З и иных актов законодательства (п.2 ст.17 Закона № 99-З).

Дополнительно по теме • Приказ о защите персональных данных работающих (пример). • Приказ об определении лиц, имеющих право доступа к персональным данным работников, обрабатываемым организацией (пример). • Алгоритм принятия решения о способе организации контроля за обработкой персональных данных и введения в штат должности DPO ((data protection officer), менеджера (специалиста, инженера) по защите персональных данных), ответственного за осуществление внутреннего контроля за обработкой персональных данных. • Должен ли председатель профсоюзного комитета входить в перечень лиц, осуществляющих операции с персональными данными? Какие именно операции с персональными данными он осуществляет?

Для реализации требований Закона № 99-З также рекомендуем:

1. Внести дополнения в трудовые договоры, штатное расписание, положение о структурном подразделении или должностные инструкции лиц, допущенных к обработке персональных данных в соответствии с абз.8 ч.1 ст.1, ст.19 ТК, ч.9 п.10 Общих положений Единого квалификационного справочника должностей служащих, утв. постановлением Минтруда и соцзащиты от 02.01.2012 № 1.

Приведем примеры некоторых документов, необходимых в целях исполнения Закона № 99-З.

Аналогичные изменения необходимо внести в должностные инструкции работников, а в случае введения в штатное расписание новой единицы, например менеджера по защите персональных данных, также разработать соответствующую должностную инструкцию.

Дополнительно по теме • Какие дополнения и изменения необходимо вносить в должностную инструкцию с принятием Закона от 07.05.2021 № 99-З «О защите персональных данных»? • Персональные данные: изменение должностных инструкций работников.

Справочно Правила внутреннего трудового распорядка устанавливаются нанимателем с участием профсоюзов (ст.195 ТК). Проект изменений и (или) дополнений в ПВТР нужно согласовать с профсоюзом при его наличии в организации. Порядок внесения изменений в ПВТР законодательством о труде четко не урегулирован. Поэтому в случае необходимости внесения изменений нужно руководствоваться аналогичным порядком, содержащимся в законодательстве. По мнению автора, порядок внесения изменений в ПВТР должен повторять порядок принятия этого документа.

В то же время на практике ПВТР не всегда самостоятельный локальный правовой акт организации. Иногда они прилагаются к коллективному договору. В таком случае изменения необходимо вносить аналогичным внесению изменений в коллективный договор способом.

Если ПВТР оформлены как самостоятельный документ, то можно подготовить отдельное приложение к ПВТР. Документ можно так и назвать: «Дополнения в правила внутреннего трудового распорядка».

В такой ситуации порядок действий будет следующим.

В профсоюз нанимателя необходимо направить проект дополнений и его обоснование. После их изучения профсоюз представит нанимателю мотивированное мнение по проекту дополнений в ПВТР в письменной форме.

В случае согласия профсоюза с проектом дополнений, вносимых в ПВТР, наниматель утверждает его. При несогласии он может принять вариант дополнений, предложенный профсоюзом, либо провести дополнительные переговоры с ним в целях достижения взаимоприемлемого решения.

2. Оформить обязательства о соблюдении конфиденциальности, разработав положение об ответственности за разглашение персональных данных и нарушение запрета доступа к ним. Данная рекомендация - на усмотрение оператора (уполномоченного лица).

18.01.2022 НЦЗПД даны разъяснения (рекомендации) об обработке персональных данных в связи с трудовой (служебной) деятельностью.

По мнению НЦЗПД, в соответствии с Законом № 99-З получение от работников обязательства о неразглашении персональных данных не требуется и приведет к появлению дополнительного, не основанного на законодательстве документа, содержащего персональные данные работника (п.2.8 Рекомендаций).

От редакции «Бизнес-Инфо» С 9 июня 2022 г. следует руководствоваться п.2.8 Рекомендаций с изменениями, внесенными рекомендациями НЦЗПД от 09.06.2022.

Однако автор полагает, что Рекомендации не запрещают с работниками, имеющими доступ к персональным данным, оформлять обязательства о неразглашении конфиденциальной информации при обработке персональных данных. Аналогичные выводы можно сделать из пп.1, 2 ст.17 Закона № 99-З.

Так, оператор (уполномоченное лицо) обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных (п.1 ст.17 Закона № 99-З).

Оператор (уполномоченное лицо) определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований Закона № 99-З и иных актов законодательства (п.2 ст.17 Закона № 99-З). Таким образом, законодательство не ограничивает оператора (уполномоченного лица) в определении состава и перечня мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных.

Лицо, получившее доступ к персональным данным, обязано не допускать распространения, разглашения и использования без согласия субъекта персональных данных этой информации, иного законного основания.

Дополнительно по теме • Нужно ли с работниками, имеющими доступ к персональным данным, оформлять обязательства о неразглашении конфиденциальной информации при обработке персональных данных? • Обязательство о неразглашении конфиденциальной информации при обработке персональных данных (пример). • Защита персональных данных с 15 ноября 2021 года.

Составление реестра обработки персональных данных в организации

В настоящее время трудно представить себе, что в организации для какого-либо процесса не требуется информация о физических лицах. Наличие работников в организации, поиск кандидатов на вакантные места, информация о пользователях сайта - все это, предполагает обработку персональных данных.

Какая информация относится к персональным данным?

Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (абз.9 ст.1 Закона № 99-З).

Таким образом,

1) персональные данные могут быть только у граждан (физических лиц). Реквизиты и иная информация об организации персональными данными не является;

2) в законодательстве отсутствует исчерпывающий перечень, перечисляющий все персональные данные;

3) по своей сути персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

С понятием «обработка персональных данных» проще - это любые действия (операции) или совокупность действий с персональными данными.

К таким действиям относят: сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных (абз.6 ст.1 Закона № 99-З).

Оператором признается любое лицо, организующее и (или) осуществляющее обработку персональных данных. При этом таким лицом могут выступать не только юридические, но и государственные органы и физические лица (абз.8 ст.1 Закона № 99-З).

Операторы самостоятельно определяют вопросы обработки персональных данных:

• с какой целью (самое главное);

• какие персональные данные обрабатывать;

• каким способом (передавать третьим лицам, обезличивать и т. п.).

Рекомендуем составить реестр обработок персональных данных, а также провести внутренний аудит всех процессов, которые включают в себя обработку персональных данных.

Обратите внимание! 1. Цели и правовые основания обработки персональных данных должны быть конкретными, законными и формулироваться до начала обработки персональных данных. Цели обработки персональных данных могут основываться на требованиях законодательства, положениях договоров, вытекать из осуществляемой оператором (уполномоченным лицом) деятельности, требоваться для совершенствования бизнес-процессов и т. п. Не допускается указание абстрактных или общих целей, которые не определяют пределов обработки и не позволяют субъекту персональных данных понять, для чего будут обрабатываться его персональные данные. В частности, не соответствуют критерию конкретности следующие формулировки: • «для совершенствования деятельности организации»; • «для разработки новых услуг»; • «в исследовательских целях» (за исключением случаев, когда речь идет об обработке обезличенных персональных данных); • «для обеспечения реализации Устава»; • «для обеспечения соблюдения законодательства» (в отношении обработки персональных данных, связанных с реализацией задач и функций оператора); • «для формирования справочных материалов для внутреннего информационного обеспечения деятельности»; • «для достижения общественно значимых целей». Примеры целей обработки, соответствующих критерию конкретности: • обработка информации (резюме) кандидата на трудоустройство; • обработка персональных данных в процессе трудовой деятельности; • обеспечение пропускного режима; • заключение, исполнение, изменение и расторжение определенного договора; • идентификация зарегистрированного пользователя (на конкретном ресурсе); • направление субъекту персональных данных уведомлений, коммерческих предложений, рассылок информационного, новостного и рекламного характера, связанных с продукцией (работами, услугами); • осуществление административных процедур; • рассмотрение обращений; • ведение бухгалтерского и налогового учета; • реализация действующих систем единовременных и накопительных скидок и бонусов на оказываемые услуги, акций и программ лояльности и т. п. (п.8 Рекомендаций по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных). 2. Категории субъектов персональных данных, чьи данные подвергаются обработке, а также перечень обрабатываемых персональных данных подлежат указанию применительно к каждой цели обработки персональных данных. В качестве категорий субъектов персональных данных в Политике могут быть, в частности, указаны: • работники, в том числе уволенные, а также их родственники; • посетители; • кандидаты на трудоустройство; • покупатели (заказчики); • пациенты; • абитуриенты; • студенты; • граждане, подавшие (подающие) обращения; • граждане, обратившиеся (обращающиеся) за осуществлением административной процедуры; • пользователи интернет-сайта (мобильного приложения) оператора; • иные конкретные категории субъектов персональных данных. Перечень обрабатываемых персональных данных может отражаться в Политике путем их перечисления, отсылки к акту законодательства, перечисляющему персональные данные или устанавливающему соответствующую форму, а также посредством закрепления критериев, очерчивающих объем обрабатываемых данных, и т. п. (п.9 Рекомендаций). 3. На этом же этапе нужно определить категории персональных данных, которые могут обрабатываться без получения согласия субъекта персональных данных в соответствии со ст.6, 8 Закона № 99-З.

Что такое реестр обработок персональных данных?

Реестр обработки (реестр деятельности по обработке персональных данных) - это документ, в котором содержится информация о том, как в организации обрабатываются персональные данные, правовое основание для каждой обработки.

Обязательно ли вести реестр обработки?

Вести реестр обработок целесообразнее, чтобы не запутаться по аналогии с общим регламентом Европейского союза по работе с персональными данными (англ. General Data Protection Regulation - GDPR) (далее - Регламент).

Дополнительно по теме General Data Protection Regulation (EU Регламент), the latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p.2 ((EU) 2016/679) / Общий регламент защиты персональных данных (Регламент) Европейского союза. Перевод на русский язык.

Справочно Реестр обработок рекомендовано вести согласно разъяснениям, данным в ходе вебинара «Новое законодательство о персональных данных» (запись трансляции вебинара от 30.11.2021 на YouTube-канале НЦПИ). Спикеры: Сергей Задиран - заместитель директора НЦЗПД, Николай Саванович - заместитель начальника управления - начальник отдела конституционного права НЦЗПИ. Аналогичные рекомендации, а также форму реестра автор получил 13 декабря 2021 г. на обучающем семинаре по защите персональных данных в УО «Государственный институт повышения квалификации и переподготовки кадров в области газоснабжения "ГАЗ-ИНСТИТУТ"» (лекторы - разработчики Закона № 99-З из НЦЗПД).

Какие персональные данные нужно включить в реестр обработки?

Реестр обработки персональных данных (пример)

В реестр обработки также можно включить: указание на то, какое именно подразделение организации контролирует соответствующую обработку. Эта информация полезна, так как при обновлении и (или) проверке актуальности реестра ответственное лицо, например менеджер по защите персональных данных, всегда знает, кто может предоставить ему актуальные сведения об обработке.

В какой форме составлять реестр обработки?

Реестр составляется в письменной форме, может вестись в электронном виде (Exel, Word и т. д.). Целесообразно такой документ оформить таблицей, в которой каждая строка соответствует определенной обработке, а столбец - категории сведений, которые необходимо указывать в реестре.

Разработка и утверждение ЛПА, связанных с реализацией требований законодательства в отношении обработки персональных данных

Обратите внимание! Закон № 99-З не содержит исчерпывающего перечня мер, которые должен предпринять оператор (уполномоченное лицо).

Еще одна обязательная мера по обеспечению защиты персональных данных - издание оператором (уполномоченным лицом) документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных (абз.3 п.3 ст.17 Закона № 99-З).

Можно разработать единую политику. По мнению автора, такой вариант более простой, кроме того, в белорусском законодательстве не содержится обязательного требования о разделении политики на внутреннюю и внешнюю.

Некоторые специалисты, основываясь на европейском опыте, рекомендуют иметь отдельные документы (внутреннюю и внешнюю политику), например политику в отношении обработки персональных данных для пользователей сайта, клиентов и т. д. и внутреннее положение об обработке персональных данных работников организации. Такой вариант возможен, так как оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, в том числе в отношении политики (п.2 ст.17 Закона № 99-З).

Аналогичные рекомендации приведены НЦЗПД (ч.3 п.3 Рекомендаций).

Главный критерий при разработке политики оператором (уполномоченным лицом) - политика должна быть написана простым и ясным (доступным) языком.

Следует избегать абстрактных или неоднозначных формулировок, не позволяющих субъекту персональных данных понять суть и параметры обработки персональных данных, в частности, таких слов, как «может», «вероятно», «некоторый», «часто», «возможно», «в зависимости от ситуации».

В целях обеспечения максимальной доступности для восприятия в политике следует избегать излишнего цитирования актов законодательства, использования большого числа специальных терминов, подробного описания технических аспектов обработки персональных данных (ч.4 Рекомендаций).

Если политика сообщает информацию о том, как оператор будет обрабатывать персональные данные, то она обеспечивает прозрачность процессов обработки данных (п.6 ст.4 Закона № 99-З).

Политика должна:

1) отражать индивидуальные особенности обработки персональных данных оператора. Это означает, что размещенная на сайте «скачанная у конкурентов» политика - простое, но бесполезное решение;

2) быть написана по структуре.

В политику рекомендуется включать следующую информацию:

• общие положения;

• цели и правовые основания обработки персональных данных;

• категории субъектов персональных данных, чьи данные подвергаются обработке, а также перечень обрабатываемых персональных данных;

• порядок и условия обработки персональных данных, в том числе срок хранения персональных данных;

• права субъектов персональных данных;

• положения о трансграничной передаче персональных данных.

В общих положениях рекомендуется указать наименование оператора (уполномоченного лица), основные понятия, отражающие специфику обработки у него персональных данных (при их наличии), сферы (бизнес-процессы), на которые распространяется действие политики (например, обработка персональных данных пользователей сайта, приложения, обработка персональных данных лиц, претендующих на трудоустройство) (пп.6, 7 Рекомендаций);

3) быть доступной неограниченному кругу лиц. При наличии у оператора (уполномоченного лица) сайта политика должна размещаться на таком сайте, как правило, на странице не ниже второго уровня, а также дополнительно на иных интернет-ресурсах или распространяться другими способами. При отсутствии у оператора (уполномоченного лица) сайта обеспечение неограниченного доступа к политике осуществляется посредством ее размещения на информационных стендах или иными способами.

Политика должна поддерживаться в актуальном состоянии. Если в содержание политики вносятся существенные изменения, включая изменение оператора, целей обработки, сроков хранения, порядка реализации прав субъектов данных, условий трансграничной передачи, они должны доводиться до сведения субъектов персональных данных заблаговременно, до вступления в силу таких изменений (п.5 Рекомендаций).

Дополнительно по теме • Рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных.

Желательно, чтобы доступ к документу был возможен по ссылке, размещенной под всеми формами сбора персональных данных. Политику также целесообразно разместить на информационном стенде в организации.

Помимо политики операторы должны утвердить и поддерживать в актуальном состоянии:

перечень информационных ресурсов (систем, веб-сайтов, приложений, онлайн-сервисов и т. д.), содержащих персональные данные, собственниками или владельцами которых они являются;

категории персональных данных:

• общедоступные персональные данные;

• специальные персональные данные (кроме биометрических и генетических персональных данных);

• биометрические и генетические персональные данные;

• персональные данные, не являющиеся общедоступными или специальными;

перечень уполномоченных лиц (если обработка персональных данных осуществляется такими лицами);

срок хранения персональных данных (подп.3.5 п.3 Указа № 422).

Формы разрабатываются организациями самостоятельно с учетом специфики работы и требований законодательства.

Приведем примерный перечень документов.

Форма заявления для реализации прав субъектов персональных данных:

Заявление на изменение персональных данных с комментарием (пример).

Формы ответов для реализации прав субъектов персональных данных (или отказов в реализации):

Ответ на заявление о предоставлении информации об обработке персональных данных (с комментарием).

Уведомление об отказе во внесении изменений в персональные данные (с комментарием).

Ответ на заявление о получении информации в отношении персональных данных, предоставленных третьим лицам (с комментарием).

Уведомление о внесении изменений в персональные данные.

Формы согласия на обработку персональных данных:

Согласие пользователя сайта на обработку персональных данных (с комментариями).

Дополнительно по теме • Есть ли форма согласия на обработку персональных данных?

Формы запроса и согласия на трансграничную передачу, если согласие получается в соответствии со ст.9 Закона № 99-З:

Согласие на трансграничную передачу персональных данных.

Запрос согласия субъекта персональных данных на трансграничную передачу персональных данных (с комментариями).

Форма заявления об отзыве согласия субъекта персональных данных:

Заявление об отзыве согласия на обработку персональных данных (с комментариями) (пример).

Журнал учета обращений субъектов персональных данных.

Положение о порядке реагирования на заявления субъектов персональных данных.

Инструкция по проведению инструктажа лиц, допущенных к работе с персональными данными.

Журнал ознакомления работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными правовыми актами по вопросам обработки персональных данных (разрабатывается с учетом ЛПА организации).

План внутренних проверок состояния защиты персональных данных.

Положение о порядке доступа к персональным данным.

Положение об обработке и защите персональных данных. Возможные разделы положения:

Общие положения

Основные понятия и состав персональных данных

Общие принципы обработки персональных данных

Порядок сбора и хранения персональных данных

Процедура получения персональных данных

Передача персональных данных третьим лицам

Трансграничная передача персональных данных

Порядок уничтожения и блокирования персональных данных

Защита персональных данных

Согласие на обработку персональных данных

Организация доступа работников к персональным данным субъектов

Организация доступа субъекту персональных данных к его персональным данным

Права и обязанности оператора персональных данных

Права и обязанности работников, допущенных к обработке персональных данных

Права субъекта персональных данных

Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.

Политика оператора (уполномоченного лица) в отношении обработки персональных данных (вместе с положениями об обработке и защите персональных данных и о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные) (пример).

Положение об осуществлении внутреннего контроля за обработкой персональных данных (такой документ определит регламент проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленным законодательством о персональных данных и принятых в соответствии с ним локальных актов оператора).

Приказ об утверждении перечня лиц, допущенных к обработке персональных данных.

Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные.

Акт уничтожения персональных данных.

Иные документы в соответствии со спецификой организации и требованиями законодательства.

Локальные правовые акты в данном случае - это документальное отражение происходящих в организации процессов обработки персональных данных. Их наличие подтверждает выполнение оператором большинства предусмотренных законодательством обязанностей.

Конкретного перечня ЛПА законодательством не предусмотрено, полагаем, это связано с тем, что законодательством устанавливается специфическая обязанность по самостоятельному определению перечня мер, необходимых и достаточных для выполнения обязанностей (п.2 ст.17 Закона № 99-З).

Ознакомление работников и иных лиц с законодательством и ЛПА по обработке персональных данных

Дополнительно оператор может разработать инструкцию по проведению инструктажа лиц, допущенных к работе с персональными данными.

Получение согласия на обработку персональных данных

Справочно Согласие на обработку персональных данных - это разрешение субъекта персональных данных совершать с персональными данными любые действия (абз.6 ст.1, п.1 ст.5 Закона № 99-З). Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных (п.1 ст.5 Закона № 99-З).

Согласие должно быть изложено четко и ясно, чтобы пользователь понял, кому и в каких случаях могут передаваться его данные.

До получения согласия на обработку его персональных данных организация обязана (п.5 ст.5 Закона № 99-З):

1) предоставить физическому лицу в письменной или электронной форме следующую информацию:

- наименование и местонахождение организации, которая получает согласие;

- цели обработки персональных данных;

- перечень персональных данных, на обработку которых дает согласие физическое лицо;

- срок, на который физическое лицо дает согласие;

- информацию об уполномоченных лицах, если такие лица будут обрабатывать полученные данные;

- перечень действий с персональными данными, на совершение которых физлицо дает согласие, общее описание обработки персональных данных, которые использует организация;

- другую информацию, которая нужна для обеспечения прозрачности процесса обработки персональных данных.

Обратите внимание! Указанную информацию целесообразно включить в единый документ, который можно оперативно предоставить любому физическому лицу;

2) разъяснить физическому лицу простым и ясным языком:

- механизм реализации этих прав;

- последствия дачи согласия на обработку его данных или отказа в даче согласия.

Дополнительно по теме • Можно ли запросить у субъекта персональных данных бессрочное согласие на любые будущие цели обработки персональных данных? • Необходимо ли получать согласие работников на обработку персональных данных и знакомить их с положением, если они приняты до 15 ноября?

Обратите внимание! Информация о его правах должна быть предоставлена физическому лицу в письменной или электронной форме отдельно от другой информации (ч.2 п.5 ст.5 Закона № 99-З).

Рекомендуем разработать и предоставлять физическому лицу отдельный документ, в котором разъяснены его права. Указанную информацию необходимо предоставить в той же форме, в которой будет дано согласие на обработку персональных данных (абз.1 ч.1, ч.2 п.5 ст.5 Закона № 99-З). Например, если согласие будет дано путем проставления отметки на сайте, то информация или ссылка на нее должна быть размещена на этом же сайте.

Обучение работников, осуществляющих контроль и обработку персональных данных

Прохождение обучения в Центре обязательно для лиц, ответственных за внутренний контроль в таких организациях, как банки, страховые и риэлтерские организации, а также в организациях, которые обрабатывают персональные данные не менее 10 тыс. физических лиц (за исключением персональных данных работников, которые обрабатываются в процессе осуществления трудовой деятельности) (подп.1.1 п.1 приказа ОАЦ от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных»).

Ответственные за контроль лица и работники, непосредственно занимающиеся обработкой персональных данных, иных организаций также смогут пройти обучение в Центре или в иных учреждениях образования, на обучающих курсах в виде тематических семинаров, практикумов, тренингов.

Кроме того, каждые 3 года должны проходить обязательное обучение в Центре работники и (или) иные лица, в обязанности которых входит обеспечение информационной безопасности (подп.3.2 п.3 Указа № 422).

Приведем форму журнала проведения обучения лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, и иных лиц (форму целесообразно разработать в целях отслеживания информации о периодичности обучения и ответственных лицах, прошедших обучение).

Рекомендуем также разработать положение о порядке обучения лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, и иных лиц, в том числе определить перечень лиц, подлежащих обучению, и его периодичность.

Дополнительно по теме • До 15.12.2021 сведения об ответственных лицах по работе с персональными данными должны предоставить только те операторы, которым необходимо пройти обучение в НЦЗПД, или же все операторы? • Информация о работниках, в обязанности которых входит обеспечение информационной безопасности, осуществление внутреннего контроля за обработкой персональных данных и непосредственно обработка персональных данных.

Поручение обработки персональных данных по договору

Организация вправе поручить обработку персональных данных от ее имени или в ее интересах уполномоченному лицу на основании договора. Уполномоченным лицом может выступать госорган, другая организация, физическое лицо (абз.16 ст.1 Закона № 99-З). В договоре с уполномоченным лицом нужно указать (п.1 ст.7 Закона № 99-З):

• цели обработки персональных данных;

• перечень действий, которые уполномоченное лицо будет совершать с персональными данными;

• обязанности по соблюдению конфиденциальности персональных данных;

• меры по обеспечению защиты персональных данных.

Это актуально, например, для аутсорсинговых организаций, которые являются «третьими лицами» при обработке персональных данных. Такое поручение можно оформить в виде отдельного договора или дополнительного соглашения к действующему договору.

Техническая и криптографическая защита персональных данных

Меры по защите информации зависят от класса системы, в которой она обрабатывается. Класс системы определяется СТБ 34.101.30-2017 «Информационные технологии. Методы и средства безопасности. Информационные системы. Классификация».

Дополнительно по теме • Техническая и криптографическая защита персональных данных.

Ответственность и риски

Надлежащая обработка персональных данных стоит в одном ряду с выполнением таких обязанностей, как своевременная уплата налогов или выплата заработной платы.

Во избежание уплаты штрафов и компенсации морального вреда гражданам или приостановки бизнеса по причинам блокировки сайта и проверок организации должны с самого начала обеспечить обработку персональных данных в соответствии с требованиями законодательства.

Нарушение законодательства о защите персональных данных - административное правонарушение, которое в зависимости от состава нарушения влечет наложение штрафа от 4 до 200 базовых величин (ст.23.7 КоАП).

Кроме того, ответственность предусмотрена УК:

203¹ «Незаконные действия в отношении информации о частной жизни и персональных данных»;

203² «Несоблюдение мер обеспечения защиты персональных данных».

Риски, связанные с обработкой персональных данных:

• утечка персональных данных;

• иски;

• жалобы в уполномоченный орган по защите персональных данных - Центр;

• отрицательные результаты проверок уполномоченного органа;

• приостановление (прекращение) обработки персональных данных в информационном ресурсе (системе);

• привлечение к ответственности за нарушение порядка обработки персональных данных;

• имидж и репутация.

Дополнительно по теме • Какая предусмотрена ответственность за нарушение требований законодательства в области защиты персональных данных? • Защита персональных данных с 15 ноября 2021 года. • Персональные данные: практические советы для кадровиков. • Тест «Защита персональных данных». • Положение о правилах обработки персональных данных (пример).