Рубрики
Инструменты поиска
Сообщество
Избранное
Мой профиль
Войти
11.10.2022
СОГЛАШЕНИЕ
о порядке обработки персональных данных № __
| г. __________ |
Дата |
Оператор ________________________________________________________
_____________________________________________________________________
(полное наименование юридического лица)
в лице _______________________________________________________________,
(наименование должности служащего, Ф.И.О.)
действующ__ на основании _____________________________________________,
(устав, доверенность или иное правовое основание)
и уполномоченное лицо _________________________________________________
_____________________________________________________________________
(полное наименование юридического лица)
в лице _______________________________________________________________,
(наименование должности служащего, Ф.И.О.)
действующ__ на основании _____________________________________________,
(устав, доверенность или иное правовое основание)
каждый из них отдельно именуется Стороной и вместе - Сторонами, в соответствии с Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» договорились о нижеследующем:
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1. В целях реализации ст.7 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»
2. При предоставлении услуг (выполнении работ) _____________________________________________________________________
_____________________________________________________________________
(название услуги (работы), где применимо, детали заключения договора о предоставлении этих услуг (выполнении работ) - дата, номер и др.)
уполномоченное лицо будет обрабатывать персональные данные от имени оператора в соответствии с настоящим Соглашением. Условия обработки персональных данных изложены в приложении 1 к Соглашению.
ГЛАВА 2
ОБЯЗАТЕЛЬСТВА СТОРОН
3. Оператор:
3.1. обязан обеспечить обработку персональных данных в соответствии с Законом № 99-З (приложение 1 к настоящему Соглашению), иными требованиями законодательства, регулирующими защиту и (или) обработку персональных данных, и настоящим Соглашением;
3.2. обязан принимать решения о целях и средствах обработки персональных данных;
3.3. несет ответственность, включая, но не ограничиваясь, то, что обработка персональных данных, доверенных уполномоченному лицу, имеет правовую основу.
4. Уполномоченное лицо обязуется:
4.1. обрабатывать персональные данные только в соответствии с документально подтвержденными инструкциями, предоставленными оператором, за исключением случаев, когда это требуется законодательством, которое применимо к уполномоченному лицу (в таких случаях уполномоченное лицо информирует оператора об этих требованиях). Такие указания приведены в приложениях 1 и 3 к Соглашению.
Оператор также может предоставлять дальнейшие инструкции на протяжении всей обработки персональных данных, но такие инструкции, относящиеся к Соглашению, всегда должны быть задокументированы;
4.2. немедленно информировать оператора, если инструкции оператора, по мнению уполномоченного лица, противоречат Закону № 99-З или другим актам законодательства, регулирующим защиту персональных данных;
4.3. вести реестр обработки персональных данных, относящийся к деятельности по обработке персональных данных, осуществляемой от имени оператора.
5. [Примечание. Стороны должны предвидеть последствия, которые могут быть вызваны любыми потенциально незаконными инструкциями, данными оператором, и это должно регулироваться договором об обработке персональных данных, заключенным между Сторонами].
6. Соглашение не освобождает Стороны от других обязательств, которые применяются к ним в соответствии с Законом № 99-З или другими актами законодательства.
ГЛАВА 3
КОНФИДЕНЦИАЛЬНОСТЬ
7. Уполномоченное лицо предоставляет доступ к персональным данным, обрабатываемым от имени оператора, только лицам, находящимся под руководством уполномоченного лица, которые обязаны соблюдать конфиденциальность или на которых распространяется юридическое обязательство конфиденциальности, и только если им необходимо ознакомиться с ними.
7.1. В случае изменения лиц, обрабатывающих персональные данные, их права доступа к персональным данным оператора отзываются (прекращаются) не позднее чем в последний день выполнения ими своих задач, для чего им необходим доступ к персональным данным оператора, доверенным уполномоченному лицу для обработки, а в случае прекращения трудовых отношений работника уполномоченного лица - не позднее чем в последний день его работы.
7.2. Список (перечень) лиц, которым предоставлен доступ к персональным данным, пересматривается не реже одного раза в 6 месяцев. Такой доступ к персональным данным прекращается, если он больше не требуется. Следовательно, персональные данные больше не будут доступны этим лицам.
8. По запросу оператора уполномоченное лицо доказывает, что работники уполномоченного лица, которым поручена обработка персональных данных, обязаны соблюдать конфиденциальность, указанную в п.7 Соглашения.
ГЛАВА 4
БЕЗОПАСНОСТЬ ОБРАБОТКИ ДАННЫХ
9. В соответствии со ст.17 Закона № 99-З оператор и уполномоченное лицо должны осуществлять соответствующие организационные, правовые и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Указанные меры принимаются с учетом оценки уровня риска, развития технических возможностей, затрат на внедрение и характер, объем, контекст и цели обработки, а также рисков различных вероятностей и серьезности прав и свобод физических лиц, возникающих в результате обработки.
10. Оператор оценивает риски, которые могут возникнуть для прав и свобод физических лиц при обработке персональных данных, и реализует меры по снижению этого риска. В зависимости от их пригодности средства могут быть следующими:
10.1. обезличивание (псевдонимизация) и (или) шифрование персональных данных;
10.2. возможность обеспечить постоянную конфиденциальность, целостность, доступность и отказоустойчивость систем и услуг обработки данных;
10.3. возможность своевременного восстановления доступа и доступа к персональным данным в случае физического или технического инцидента;
10.4. процесс регулярного тестирования, проверки и оценки технических и организационных мер по обеспечению безопасности обработки данных.
11. Уполномоченное лицо независимо от оператора также должно оценить риск обработки данных, связанных с деятельностью по обработке персональных данных, для которой оператор привлек уполномоченное лицо, который может возникнуть для прав и свобод физических лиц, и реализует меры по снижению этих рисков.
12. Уполномоченное лицо должно помогать (содействовать) оператору в обеспечении выполнения обязательств оператора в соответствии со ст.7 и 17 Закона № 99-З, в том числе предоставляя оператору информацию об организационных, правовых и технических мерах по обеспечению защиты персональных данных, уже реализованных уполномоченным лицом в соответствии со ст.17 Закона № 99-З.
13. Если по результатам оценки риска (аудита), проведенной оператором, уполномоченное лицо должно принять дополнительные меры для снижения идентифицированного риска, оператор должен указать эти меры в приложении 3 к Соглашению, а уполномоченное лицо должно реализовать дополнительные меры.
Уполномоченное лицо должно представить оператору всю информацию, необходимую для подтверждения выполнения обязанностей уполномоченного лица, изложенных в гл.10 Соглашения.
ГЛАВА 5
ПОРУЧЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫМ ДРУГИМ УПОЛНОМОЧЕННЫМ ЛИЦАМ
14. Уполномоченное лицо должно соответствовать требованиям, указанным в ст.7 и 17 Закона № 99-З, чтобы воспользоваться услугами другого уполномоченного лица (далее - вспомогательное уполномоченное лицо).
15. Условия оператора, при которых уполномоченное лицо сможет воспользоваться услугами вспомогательных уполномоченных лиц, и список (перечень) вспомогательных уполномоченных лиц приведены в приложении 2 к Соглашению.
16. Уполномоченное лицо не обращается за помощью к вспомогательному уполномоченному лицу для обработки персональных данных без предварительного письменного разрешения оператора.
Вариант 1 - специальное предварительное разрешение оператора.
Уполномоченное лицо может обратиться к услугам вспомогательного уполномоченного лица только на основании специального предварительного разрешения оператора. Лицо, осуществляющее обработку, должно подать письменное заявление на получение специального разрешения [указать период].
Вариант 2 - общее письменное разрешение оператора.
Уполномоченное лицо должно иметь общее письменное разрешение оператора для возможности воспользоваться услугами вспомогательного уполномоченного лица.
Уполномоченное лицо должно информировать оператора в письменной форме о любых предполагаемых изменениях, связанных с использованием или модификацией персональных данных вспомогательным уполномоченным лицом, до [указать период], что позволяет оператору возражать против таких изменений. Более длительные сроки предварительного уведомления о специальных вспомогательных услугах по обработке могут быть установлены в приложении 2 к Соглашению.
17. Если уполномоченное лицо воспользуется услугами вспомогательного уполномоченного лица для выполнения определенных действий по обработке от имени оператора по договору об обработке персональных данных или акту законодательства, на такое вспомогательное уполномоченное лицо распространяются те же обязательства по защите данных, которые изложены в Соглашении или законодательстве, в частности обязательство обеспечить соответствие организационных, правовых и технических мер по обеспечению защиты персональных данных требованиям Закона № 99-З.
Перед началом обработки персональных данных уполномоченное лицо информирует вспомогательное уполномоченное лицо о том, кто является оператором (указывает его наименование и контактные данные).
18. Копии договора об обработке персональных данных со вспомогательным уполномоченным лицом и дополнения к нему по запросу должны быть представлены оператору, чтобы он имел возможность гарантировать, что вспомогательное уполномоченное лицо подчиняется тем же обязательствам по защите персональных данных, которые изложены в Соглашении. Уполномоченное лицо должно информировать оператора обо всех случаях ненадлежащего исполнения обязанностей вспомогательным уполномоченным лицом, установленных таким договором или законодательством. Оператор не обязан представлять Соглашение в отношении положений, связанных с бизнесом, которые не влияют на правовые условия защиты персональных данных по договору, заключенному со вспомогательным уполномоченным лицом.
19. Уполномоченное лицо должно согласиться со вспомогательным уполномоченным лицом, если таковой используется, в случае его банкротства (первичного уполномоченного лица).
Оператор имеет право продолжать отношения по обработке данных со вспомогательным уполномоченным лицом, используемым первичным уполномоченным лицом напрямую, и (или) предоставлять прямые инструкции по обработке данных, например, инструктировать вспомогательное уполномоченное лицо, когда необходимо удалить или вернуть персональные данные.
20. Уполномоченное лицо несет ответственность за требование к вспомогательному уполномоченному лицу по соблюдению обязанностей, которые применяются к (первичному) уполномоченному лицу в соответствии с Соглашением и законодательством о защите персональных данных. Если вспомогательное уполномоченное лицо не выполняет обязательства по защите персональных данных, основное (первичное) уполномоченное лицо, с которым заключен договор об обработке персональных данных, несет полную ответственность перед оператором за выполнение обязательств вспомогательным уполномоченным лицом. Это не влияет на права субъектов персональных данных в соответствии с Законом № 99-З.
ГЛАВА 6
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
21. Уполномоченное лицо может передавать персональные данные в другие (иностранные) государства только после получения инструкций, задокументированных оператором, и в соответствии с требованиями ст.9 Закона № 99-З.
22. Если передача персональных данных в иностранные государства требуется в соответствии с законодательством, даже если оператор не дал указание уполномоченному лицу сделать это, уполномоченное лицо должно проинформировать оператора об этом юридическом требовании до передачи данных, если это законодательство не запрещает передачу такой информации.
23. Уполномоченное лицо не может без инструкций, задокументированных оператором, или без конкретного требования в соответствии с законодательством:
23.1. передавать персональные данные оператору или уполномоченному лицу в иностранные государства;
23.2. передавать обработку персональных данных вспомогательному уполномоченному лицу в иностранном государстве;
23.3. разрешить обработку персональных данных уполномоченным лицам в иностранном государстве.
24. Инструкции или разрешения оператора в отношении передачи персональных данных в иностранные государства изложены в приложении 3 к Соглашению.
25. Соглашение не является договором в значении правового основания, указанного в п.1 ст.9 Закона № 99-З, и Стороны не могут ссылаться на Соглашение в качестве основы для трансграничной передачи персональных данных.
ГЛАВА 7
ПОМОЩЬ ОПЕРАТОРУ
26. В зависимости от характера обработки уполномоченное лицо, осуществляющее обработку, должно, насколько это возможно, помогать оператору в выполнении обязательств оператора по ответу на запросы об осуществлении прав субъекта персональных данных, изложенных в ст.10-13 Закона № 99-З, соответствующими техническими и организационными средствами. Это означает, что уполномоченное лицо должно, насколько это возможно, оказывать оператору помощь в осуществлении следующих прав:
26.1. на получение информации при сборе персональных данных от субъекта персональных данных;
26.2. на получение информации, когда персональные данные не получены от субъекта персональных данных;
26.3. доступа к персональных данным (в случаях, предусмотренных законодательством и согласно разъяснениям Национального центра защиты персональных данных);
26.4. требовать исправления данных;
26.5. требовать удаления персональных данных («право на забвение»);
26.6. ограничивать обработку персональных данных;
26.7. возражать против обработки персональных данных;
26.8. а также обязанности уведомлять об исправлении или удалении персональных данных или ограничении обработки персональных данных.
27. В дополнение к обязательству уполномоченного лица оказывать помощь оператору в соответствии с п.12 Соглашения уполномоченное лицо, принимая во внимание характер обработки и информацию, доступную уполномоченному лицу, также помогает оператору в обеспечении им следующих обязательств:
27.1. незамедлительно, но не позднее 3 рабочих дней после того, как оператору стало известно о таких нарушениях, уведомить Национальный центр защиты персональных данных о нарушении систем защиты персональных данных, если нарушение систем защиты не привело к:
незаконному распространению, предоставлению персональных данных;
изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним;
27.2. незамедлительно уведомить субъекта персональных данных о нарушении защиты (конфиденциальности) персональных данных, когда нарушение персональных данных может представлять значительный риск для прав и свобод физических лиц;
27.3. проводить оценку влияния планируемых операций по обработке персональных данных на защиту данных, когда способ обработки персональных данных может представлять значительный риск для прав и свобод физических лиц;
27.4. проконсультироваться с Национальным центром защиты персональных данных до начала обработки, если оценка воздействия защиты данных показывает, что обработка будет представлять значительный риск, если оператор не примет мер по снижению этого риска.
28. Стороны устанавливают в приложении 3 к Соглашению соответствующие технические и организационные меры, которые должны быть приняты уполномоченным лицом, для оказания помощи оператору в осуществлении прав субъектов персональных данных и в выполнении обязательств, изложенных в ст.16, 17 Закона № 99-З. Это относится также к обязательствам, указанным в п.27 настоящего Соглашения.
ГЛАВА 8
УВЕДОМЛЕНИЕ О НАРУШЕНИИ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
29. Узнав о нарушении персональных данных, уполномоченное лицо должно сообщить об этом оператору без неоправданной задержки. Лицо, осуществляющее обработку, должно уведомить оператора в течение часа после того, как уполномоченному лицу стало известно о нарушении персональных данных, чтобы позволить оператору выполнить обязанность оператора уведомить Национальный центр защиты персональных данных о нарушении систем защиты персональных данных в соответствии со ст.16 Закона № 99-З, приказом Национального центра защиты персональных данных Республики Беларусь от 15.11.2021 № 13 «Об уведомлении о нарушениях систем защиты персональных данных»
30. Обязанность уполномоченного лица, закрепленная в подп.27.1 п.27 Соглашения, о помощи оператору в уведомлении Национального центра защиты персональных данных о нарушении систем защиты персональных данных означает, что уполномоченное лицо должно помочь оператору в получении следующей информации, которая в соответствии с приказом № 13 должна быть указана в уведомлении оператора Национальному центру защиты персональных данных:
30.1. даты и времени нарушения системы защиты персональных данных;
30.2. даты и времени, когда стало известно о произошедшем нарушении системы защиты персональных данных;
30.3. описания нарушения системы защиты персональных данных;
30.4. примерного количества субъектов персональных данных, затронутых нарушением;
30.5. вероятных неблагоприятных последствий нарушения системы защиты персональных данных (потеря контроля над персональными данными, их хищение, нарушение прав и свобод субъектов персональных данных, чести, достоинства или деловой репутации, наступление убытков, разглашение охраняемой законом тайны, наступление иного существенного имущественного или иного вреда у субъектов персональных данных);
30.6. мер, принятых или предлагаемых оператором для устранения нарушения системы защиты персональных данных;
30.7. любой другой соответствующей информации, которая является или может быть необходима оператору при подготовке уведомления или в ответ на дополнительные письма от Национального центра защиты персональных данных с нарушением системы защиты персональных данных.
31. В приложении 3 к Соглашению приведены сведения (информация), которые должны быть представлены уполномоченным лицом для оказания помощи оператору в уведомлении Национального центра защиты персональных данных о нарушении системы защиты персональных данных. Если уполномоченное лицо не представляет оператору всю (полную) информацию о нарушении системы защиты персональных данных или представление дополнительной информации впоследствии становится очевидной, уполномоченное лицо должно без неоправданной задержки, но не позднее чем в течение часа, представить дополнительное уведомление оператору с указанием всей недостающей информации.
32. По запросу оператора в дополнение к информации, указанной в п.31 Соглашения, уполномоченное лицо должно представить копии документов, которые оправдывают предпринятые действия, принятые меры или проведенные внутренние проверки и их выводы.
ГЛАВА 9
УДАЛЕНИЕ И ВОЗВРАТ ПЕРСОНАЛЬНЫХ ДАННЫХ
33. По завершении предоставления услуг по обработке персональных данных уполномоченное лицо должно удалить все персональные данные, обрабатываемые от имени оператора, и доказать оператору, что оно это сделало.
Вариант
По завершении предоставления услуг по обработке персональных данных уполномоченное лицо должно вернуть все персональные данные оператору и удалить существующие копии, если только персональные данные не должны храниться в соответствии с законодательством.
ГЛАВА 10
АУДИТ И ПРОВЕРКИ УПОЛНОМОЧЕННОГО ЛИЦА
34. Уполномоченное лицо должно представить оператору всю информацию, необходимую для демонстрации соблюдения обязательств, изложенных в ст.7 и 17 Закона № 99-З и настоящем Соглашении, а также обеспечить и помочь в аудите оператора или другого аудитора, уполномоченного оператором, включая проверки на месте.
35. Аудит оператором уполномоченного лица и вспомогательных уполномоченных лиц, включая проверки, осуществляются в соответствии с процедурами, изложенными в пп.7 и 8 приложения 3 к Соглашению.
36. Уполномоченное лицо предоставляет надзорным органам (в том числе Национальному центру защиты персональных данных), которые в соответствии с законодательством имеют доступ к устройствам оператора и уполномоченного лица, или представителям, действующим от имени таких надзорных органов, доступ к физическим средствам уполномоченного лица или для выполнения других действий, определенных надзорными органами с целью проведения проверки.
ГЛАВА 11
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
37. Соглашение вступает в силу с даты его подписания.
38. В период предоставления услуг по обработке персональных данных Соглашение не может быть расторгнуто, если Стороны не договорились об ином соглашении, регулирующем оказание услуг по обработке персональных данных.
39. Если предоставление услуг по обработке персональных данных прекращается, а персональные данные удаляются или возвращаются оператору в соответствии с п.33 Соглашения и п.4 приложения 3 к Соглашению, Соглашение может быть расторгнуто после подачи письменного уведомления любой из Сторон.
40. В случае нарушения обязательств уполномоченным лицом в соответствии с Соглашением оператор может дать указание уполномоченному лицу временно приостановить обработку персональных данных до тех пор, пока последнее не будет соответствовать Соглашению или Соглашение не будет расторгнуто (не прекратит свое действие). Уполномоченное лицо должно немедленно сообщить оператору, если по какой-либо причине оно не может соблюдать Соглашение.
41. Оператор имеет право расторгнуть Соглашение, если:
41.1. уполномоченное лицо существенно или постоянно нарушает Соглашение или свои обязательства в соответствии с Законом № 99-З;
41.2. уполномоченное лицо не выполняет обязательное решение суда или надзорного органа относительно своих обязательств в соответствии с Соглашением или Законом № 99-З.
42. Соглашение имеет приоритет над любыми аналогичными положениями, касающимися обработки персональных данных, в других соглашениях между Сторонами.
43. Каждая Сторона назначает лицо, ответственное за выполнение Соглашения.
РЕКВИЗИТЫ СТОРОН
| От имени оператора: | От имени уполномоченного лица: |
Информация об обработке персональных данных
1. Целью обработки персональных данных уполномоченным лицом является [указывается подробно цель обработки персональных данных, чтобы определить тип обработки, которую она охватывает, и оценить, совместима ли конкретная цель с требованиями законодательства].
 |
Примеры Целью обработки персональных данных уполномоченным лицом является: 1) подготовка документов оператора к хранению в соответствии с требованиями Закона Республики Беларусь от 25.11.2011 № 323-З «Об архивном деле и делопроизводстве в Республике Беларусь» или к уничтожению, если срок их хранения истек; 2) хранение персональных данных Оператора. |
2. Обработка персональных данных уполномоченного лица в основном связана с [описывается характер обработки].
|
|
Пример Обработка персональных данных уполномоченного лица в основном связана с подготовкой документов оператора к хранению в соответствии с требованиями Закона Республики Беларусь от 25.11.2011 № 323-З «Об архивном деле и делопроизводстве в Республике Беларусь» или к уничтожению, если срок их хранения истек, то есть: 1) подготовка документов постоянного хранения для архивного хранения; 2) подготовка документов временного хранения для архивного хранения; 3) подбор документов для уничтожения и подготовка документов об уничтожении. |
3. Обработка данных включает в себя следующие персональные данные: [указывается тип обрабатываемых персональных данных] (описание должно быть как можно более подробным, не ограничиваясь такими заявлениями, как «персональные данные, как определено в ст.1 Закона Республики Беларусь от 07.05.2021 № 99-З "О защите персональных данных"», или только категориями персональных данных).
|
|
Пример Обработка данных включает в себя следующие персональные данные: фамилию, собственное имя, отчество; адрес электронной почты; номер мобильного телефона; адрес проживания; идентификационный (личный) номер; реквизиты оплаты; номер членства, тип членства. |
4. Обработка охватывает следующие категории субъектов персональных данных: [указывается категория субъектов персональных данных].
|
|
Пример Обработка охватывает следующие категории субъектов персональных данных: 1) лиц, являющихся участниками программы лояльности оператора; 2) физических лиц, зарегистрированных для получения сообщений электронной почты; 3) детей, которым предлагаются услуги информационного общества; 4) клиентов из третьих стран. |
5. Уполномоченное лицо может обрабатывать персональные данные от имени оператора, когда Соглашение о порядке обработки персональных данных от ____________ № __ вступит в силу. Продолжительность (срок) обработки персональных данных: [указывается продолжительность (срок) обработки данных].
Информация о вспомогательных уполномоченных лицах
1. Вспомогательные уполномоченные лица.
После вступления в силу Соглашения о порядке обработки персональных данных от ____________ № __ (далее - Соглашение) оператор разрешает использование следующих вспомогательных уполномоченных лиц:
| Наименование юридического лица, фамилия, собственное имя и отчество физического лица | УНП | Место нахождения (адрес проживания) | Описание обработки персональных данных |
После вступления в силу Соглашения оператор разрешает другой стороне использовать указанных вспомогательных уполномоченных лиц для целей, перечисленных в п.1 приложения 1 к Соглашению, в соответствии с требованиями гл.6 Соглашения. Для использования указанных вспомогательных уполномоченных лиц для обработки персональных данных в целях, отличных от перечисленных в п.1.1 приложения 1 к Соглашению, требуется письменное разрешение оператора.
2. Предварительное уведомление об использовании вспомогательных уполномоченных лиц.
[Там, где это применимо, указываются, за какой период осуществляется предварительное уведомление об использовании новых вспомогательных уполномоченных лиц и (или), другие связанные с этим условия, такие как способ предоставления информации оператору, способ, которым оператор должен информировать уполномоченное лицо о своем решении разрешить использование конкретного нового вспомогательного уполномоченного лица и т. д., если целью является продление договора на обработку персональных данных со вспомогательным уполномоченным лицом].
Инструкции по обработке персональных данных
1. Порядок обработки данных.
Уполномоченное лицо выполняет следующие действия от имени оператора во время обработки персональных данных: [описывается обработка, которую поручено выполнить уполномоченному лицу].
2. Безопасность обработки данных.
Уровень защиты определяется с учетом [подробно описывается, принимая во внимание характер, объем, контекст и цели деятельности по обработке, а также риски для прав и свобод физических лиц. Описываются части, важные для уровня безопасности].
Уполномоченное лицо должно принимать решения об использовании организационных, правовых и технических мер защиты персональных данных для обеспечения необходимого (и гармонизированного) уровня безопасности персональных данных.
Уполномоченное лицо должно в любом случае реализовать следующие меры, согласованные с оператором:
[1. Описываются организационные, правовые и технические меры защиты, которые должны применяться уполномоченным лицом, включая соблюдение конкретных стандартов, рекомендаций или других передовых практик при обработке персональных данных в соответствии с Соглашением.
2. Описываются требования:
- если применимо - к псевдонимизации (обезличиванию) и шифрованию персональных данных;
- для обеспечения постоянной конфиденциальности, целостности, доступности и устойчивости систем и услуг обработки данных;
- касающиеся возможности своевременного восстановления доступа и доступа к персональным данным в случае физического или технического события;
- к регулярному тестированию, оценке и определению эффективности организационных, правовых и технических мер защиты обработки персональных данных;
- к доступу, включая удаленный доступ, к персональным данным;
- к защите персональных данных во время передачи данных;
- к защите персональных данных при их хранении;
- к физической безопасности в местах обработки персональных данных;
- к работе из дома (удаленной работы)].
(Этот список должен быть настолько подробным, чтобы оператор имел возможность оценить пригодность мер для обеспечения обязательства по отчетности.)
3. Помощь оператору.
Уполномоченное лицо должно, насколько это возможно, оказывать помощь оператору в реализации следующих организационных, правовых и технических мер защиты персональных данных в соответствии с пп.26-28 Соглашения: [указываются объем помощи, оказываемой уполномоченным лицом; конкретные организационные, правовые и технические меры защиты, которые уполномоченное лицо должно принять для оказания помощи оператору].
(Эта часть должна помочь уполномоченному лицу в принятии определенных мер, которые должны быть предприняты, или процедур, которые должны быть соблюдены, и, соответственно, помочь оператору в сообщении о нарушениях системы защиты персональных данных, проведении оценок воздействия на защиту данных, осуществлении прав субъекта персональных данных, оказании помощи в соответствующих аудитах и т. д.)
|
|
Примеры 1. Запросы от субъектов персональных данных должны быть немедленно (незамедлительно), но не позднее [определенного периода] с момента получения запроса, направленного оператору [конкретная мера]. 2. Ответы субъектам персональных данных должны быть подготовлены в соответствии с инструкциями оператора. 3. В случае нарушения защиты системы персональных данных уполномоченное лицо информирует оператора, предоставляя [конкретную информацию]. 4. По запросу оператора уполномоченное лицо обеспечивает безопасность персональных данных вспомогательного уполномоченного лица. Выписка из журнала нарушений [конкретный метод и срок представления этой выписки]. 5. Период хранения персональных данных (процедуры удаления персональных данных): [указывается срок хранения персональных данных (процедуры удаления персональных данных) для уполномоченного лица, если это применимо, например, как и в течение каких сроков уполномоченное лицо должно доказать факт уничтожения персональных данных]. |
|
|
Пример Персональные данные хранятся [указывается период или событие], после чего уполномоченное лицо автоматически удаляет персональные данные. |
После прекращения предоставления услуг по обработке персональных данных уполномоченное лицо [выбрать: удаляет или возвращает] персональные данные с учетом требований п.33 Соглашения.
При прекращении предоставления услуг по обработке персональных данных уполномоченное лицо должно вернуть оператору персональные данные (оригиналы документов, переданных оператором уполномоченному лицу), а также удалить копии документов и подтвердить это в письменной форме, за исключением случаев, когда хранение персональных данных обусловлено правовыми актами. Уполномоченное лицо также должно проинформировать оператора о том, какие персональные данные или их копии не удаляются и какие правовые акты это регулируют.
В соответствии с Соглашением персональные данные не могут обрабатываться без предварительного письменного разрешения оператора в местах, отличных от следующих: [указываются, где осуществляется обработка персональных данных, адрес, используемый уполномоченным лицом данных или вспомогательным уполномоченным лицом].
5. Инструкции по трансграничной передаче персональных данных.
[1. Описывается инструкция о трансграничной передаче персональных данных.
2. Указывается правовая основа для передачи данных в соответствии с п.1 ст.9 Закона № 99-З].
Если оператор не указывает в Соглашении или впоследствии не предоставляет документированные инструкции относительно трансграничной передачи персональных данных, уполномоченное лицо не имеет права осуществлять такую передачу в соответствии с Соглашением.
6. Процедуры обработки персональных данных уполномоченного лица, включая проверки на месте.
[Описываются процедуры аудита обработки персональных данных оператором, включая проверки их оператором на месте].
Стороны договорились, что следующие виды [выбрать: аудиторское заключение / отчет о проверке] могут использоваться в соответствии с Соглашением:
[Сохранение утвержденных аудиторских заключений / отчетов о проверке].
[Выбрать: Аудиторское заключение / Отчет о проверке] должно быть незамедлительно представлено оператору для проверки. Оператор может оспорить сферу охвата и (или) методологию отчета и в таких случаях может запросить новый [выбрать: аудиторское заключение / отчет о проверке] в соответствии с измененной сферой охвата и (или) методологией.
На основании результатов такого [выбрать: аудита/проверки] оператор может запросить дополнительные меры, которые должны быть приняты для обеспечения соблюдения Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».
Кроме того, оператор или представитель оператора имеет право проверять места, включая их физический осмотр, где уполномоченное лицо обрабатывает персональные данные, включая технические средства, а также системы, используемые и связанные с обработкой. Такая проверка проводится там, где оператор сочтет это необходимым.
|
|
Пример Оператор или представитель оператора [указывается период] физически проверяет места, где обработчик обрабатывает персональные данные, включая технические средства, а также системы, используемые и связанные с обработкой, чтобы убедиться, что уполномоченное лицо соответствует положениям Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных». В дополнение к запланированной проверке оператор может проводить проверку уполномоченного лица, когда оператор сочтет это необходимым. |
7. [Где применимо] Процедуры аудита обработки персональных данных вспомогательными уполномоченными лицами, включая проверки на месте.
[Описываются процедуры обработки персональных данных вспомогательных уполномоченных лиц оператором, включая проверки на месте].
|
|
Пример Уполномоченное лицо [указывается период] [выбрать: за счет уполномоченного лица / оператора] получает заключение (отчет) от третьей стороны, назначенной независимым оператором, о соответствии уполномоченного лица Закону Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных». |
Стороны договорились, что следующие виды [выбрать: аудиторское заключение / отчет о проверке] могут использоваться в соответствии с Соглашением: [записываются проверенные аудиторские заключения и (или) отчеты о проверке].
[Выбрать: Аудиторское заключение / Отчет о проверке] должно быть незамедлительно представлено оператору для проверки. Оператор может оспорить сферу охвата и (или) методологию отчета и в таких случаях может запросить новый [выбрать: аудиторское заключение / отчет о проверке] в соответствии с измененной сферой охвата и (или) методологией.
На основании результатов такого [выбрать: аудиторское заключение / отчет о проверке] оператор может запросить дополнительные меры, которые должны быть приняты для обеспечения соблюдения требований Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».
Кроме того, уполномоченное лицо или представитель уполномоченного лица имеет право проверять места, включая их физический осмотр, в которых вспомогательное уполномоченное лицо обрабатывает персональные данные, включая физические средства, а также системы, используемые и связанные с обработкой. Такая проверка проводится тогда, когда уполномоченное лицо сочтет это необходимым.
Документы таких проверок незамедлительно представляются оператору для проверки. Оператор может оспорить сферу охвата и (или) методологию отчета и в таких случаях может запросить новый [выбрать: аудит/проверку] в соответствии с измененной сферой охвата и (или) другой методологией.
|
|
Пример Уполномоченное лицо или представитель уполномоченного лица [указывается период] должно физически проверить места, где вспомогательное уполномоченное лицо обрабатывает персональные данные, включая технические средства, а также системы, используемые и связанные с обработкой данных, чтобы убедиться, что вспомогательное уполномоченное лицо соответствует положениям Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных». |
В дополнение к запланированной проверке оператор может проводить инспекцию вспомогательного уполномоченного лица, когда уполномоченное лицо сочтет это необходимым.
Документы таких проверок незамедлительно представляются оператору для проверки. Оператор может оспорить сферу охвата и (или) методологию отчета и в таких случаях может запросить новый [выбрать: аудит/проверку] в соответствии с измененной областью охвата и (или) другой методологией.
На основании результатов [выбрать: аудита/проверки] оператор может запросить дополнительные меры, которые должны быть приняты для обеспечения соблюдения Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».
[Если это применимо, дополнительно указывается: при необходимости оператор может принять решение об инициировании и участии в физической проверке вспомогательного уполномоченного лица. (Это может применяться, если оператор считает, что уполномоченное лицо, контролирующее вспомогательное уполномоченное лицо, не представило оператору достаточную документацию, чтобы определить, осуществляет ли вспомогательное уполномоченное лицо обработку в соответствии с Соглашением)].
Участие оператора в проверке вспомогательного уполномоченного лица не меняет того факта, что указанное уполномоченное лицо продолжает нести полную ответственность за соответствие вспомогательного уполномоченного лица Закону Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».
 |
Дополнительно по теме • Персональные данные в кадровой службе. |
Материал подготовлен по результатам обсуждения в Сообществе
 |
Вы тоже можете задать свой вопрос экспертам. |