Владимир Самосейко
юрист

30.11.2021

ВОПРОС

С чего начать и что необходимо сделать в организации в связи с принятием Закона от 07.05.2021 № 99-З «О защите персональных данных»?

ОТВЕТ

Единого (унифицированного) алгоритма нет, но можно выделить следующие шаги с учетом Закона № 99-З, Указа от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» и иных НПА.

1. Назначить структурное подразделение или лицо ответственными за осуществление внутреннего контроля за обработкой персональных данных (п.3 ст.17 Закона № 99-З).

Документы:

1) штатное расписание, в котором предусмотрено структурное подразделение или должность лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (абз.8 ч.1 ст.1 ТК);

2) положение о структурном подразделении или должностная инструкция на должность лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (ч.9 п.10 Общих положений Единого квалификационного справочника должностей служащих, утв. постановлением Минтруда и соцзащиты от 02.01.2012 № 1);

3) обязательство о конфиденциальности (как выполнение условия о допуске к персональным данным и обеспечения режима защиты персональных данных) (п.5 ст.17 Закона № 99-З);

4) приказ о назначении структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (абз.2 п.3 ст.17 Закона № 99-З).

2. Составить реестр обработок персональных данных (провести аудит обработок персональных данных).

Определить, в каких случаях организация работает с персональными данными (потоки обработок); цель каждой обработки персональных данных, надлежащее правовое основание для такой обработки, срок и место хранения обрабатываемых персональных данных.

Документ:

реестр обработок персональных данных.

3. Разработать и утвердить ЛПА о защите персональных данных.

Закон № 99-З не содержит исчерпывающего перечня мер, которые должен предпринять оператор (уполномоченное лицо).

3.1. Минимальный перечень:

1) документы, определяющие политику оператора (уполномоченного лица) в отношении обработки персональных данных (абз.3 п.3 ст.17 Закона № 99-З).

В данном случае речь идет о документах во множественном числе, то есть это не только одна политика. Но в любом случае - это политика в отношении обработки персональных данных;

2) 4 перечня согласно подп.3.5 п.3 Указа № 422.

- перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются,

- категории персональных данных, подлежащих включению в такие ресурсы (системы):

общедоступные персональные данные;

специальные персональные данные (кроме биометрических и генетических персональных данных);

биометрические и генетические персональные данные;

персональные данные, не являющиеся общедоступными или специальными;

- перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами;

- срок хранения обрабатываемых персональных данных;

3) документы, определяющие порядок доступа к персональным данным (абз.3 п.3 ст.17 Закона № 99-З);

4) документы, регламентирующие порядок ознакомления работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном абз.3 п.3 ст.17 Закона № 99-З, Указа № 422:

- политика в отношении обработки персональных данных;

- перечень информационных ресурсов (систем), содержащих персональные данные;

- категории персональных данных, подлежащие включению в информационные ресурсы (системы), содержащие персональные данные;

- перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами;

- срок хранения обрабатываемых персональных данных;

- порядок доступа к персональным данным (положение, приказ и т. п.);

- приказ об определении лиц, имеющих допуск к персональным данным и лицам, непосредственно обрабатывающим персональные данные;

- обязательство о конфиденциальности (как выполнение условия о допуске к персональным данным и обеспечения режима защиты персональных данных) (ст.17 Закона № 99-З);

- положение о порядке обучения в области защиты персональных данных, в том числе перечень лиц, подлежащих обучению, и его периодичность;

- журнал проведения обучения и проверки знаний, иные документы, подтверждающие прохождение обучения.

3.2. Дополнительный перечень:

Локальные правовые акты и документы, регламентирующие вопросы реагирования на заявления субъектов персональных данных.

Основные права субъектов персональных данных закреплены в п.1 ст.10, п.1 ст.12, п.1 ст.13 и п.1 ст.15 Закона № 99-З.

Документы:

1) Положение о порядке реагирования на запросы субъектов персональных данных;

2) Типовые формы заявлений субъектов персональных данных о реализации их прав;

3) Типовые формы ответов на заявления субъектов о реализации их прав (или отказов в реализации);

4) Журнал учета заявлений субъектов персональных данных.

4. Провести обучение и ознакомление.

5. Принять меры по технической и криптографической защите информационных систем с учетом приказа Оперативно-аналитического центра при Президенте от 20.02.2020 № 66 и Указа № 422.

6. Реализовать технические вопросы реагирования на запросы субъектов персональных данных (обеспечить возможность отзыва согласия, удаления данных и т. д.).

Ответ подготовлен по результатам интернет-семинара «Персональные данные: практические советы для кадровиков»