Уважаемые клиенты!

Уведомляем Вас, что с 15 ноября 2021 года вступил в силу Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон).

Оператором обработки персональных данных признается, в том числе, юридическое лицо, осуществляющее обработку (сбор, систематизация, хранение и др.) персональных данных.

Каждое юридическое лицо является оператором обработки персональных данных, поскольку обрабатывает персональные данные своих работников, учредителей (участников), а также клиентов-физических лиц либо должностных лиц клиентов-юридических лиц.

Законом установлены для операторов обработки персональных данных обязанности по назначению лица, осуществляющего внутренний контроль за обработкой персональных данных, а также подготовке и опубликованию на сайте документов, определяющих политику оператора по защите персональных данных.

В Законе закреплена рискоориентированная модель работы операторов. Это означает, что каждый оператор самостоятельно, с учетом специфики своей работы, определяет перечень документов по защите персональных данных.

Исходя из нашего практического опыта работы по проведению у клиентов мероприятий по защите персональных данных, а также разъяснений Национального центра защиты персональных данных Республики Беларусь, алгоритм действий оператора по защите персональных данных должен быть следующим.

АЛГОРИТМ ДЕЙСТВИЙ ОПЕРАТОРА:

1. Определить следующие категории лиц у оператора:

1.1. лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных (одно должностное лицо либо созданное структурное подразделение, если обрабатывается большой объем персональных данных);

1.2. лицо, обеспечивающее техническую защиту персональных данных;

1.3. состав должностей и (или) профессий работников, непосредственно осуществляющих обработку персональных данных.

2. Провести анализ поступающих у оператору данных физических лиц на предмет состава и объема поступающих данных, целей получения таких данных, относятся ли данные к персональным и необходимо ли получать согласие физического лица (субъекта) на обработку выявленных персональных данных.

3. Подготовить локальные правовые акты оператора по защите персональных данных.

Полагаем, что работа по подготовке локальных правовых актов по защите персональных данных должна осуществляться при непосредственном взаимодействии с лицом, ответственным за осуществление внутреннего контроля за обработкой персональных данных на основании проведенного анализа персональных данных (пункт 2 настоящего алгоритма).

Перечень локальных правовых актов оператора по защите персональных данных:

3.1. Политика оператора в отношении обработки персональных данных.

Обязательным приложением к политике должен выступать Перечень обрабатываемых персональных данных (цель обработки, субъект ПД, обрабатываемые ПД, правовое основание, срок хранения).

Данный Перечень является одним из ключевых документов по защите персональных данных у оператора. Он составляется исходя из специфики работы конкретного оператора (пункт 2 настоящего алгоритма).

3.2. Положение о порядке обработки и защиты персональных данных.

Приложением к вышеуказанному Положению выступает перечень лиц, непосредственно обрабатывающих персональные данные, в котором должны быть отражены виды персональных данных и кто из работников имеет к ним доступ.

3.3. Положение о порядке допуска работников и иных лиц к обработке персональных данных.

3.4. Положение о порядке осуществления внутреннего контроля в сфере обработки персональных данных.

3.5. Положение о порядке реализации прав субъектов персональных данных с приложениями форм заявлений и уведомлений.

3.6. Положение о порядке удаления (уничтожения) персональных данных.

В результате проведенного анализа персональных данных (пункт 2 алгоритма), возможно, необходимо будет дополнительно подготовить и утвердить Положение о порядке проведения обучения работников по защите персональных данных.

4. Ввести в действие вышеуказанные локальные правовые акты и ознакомить с ними работников оператора.

4.1. Издать приказ об утверждении локальных правовых актов и ознакомить с ними работников, которые осуществляют обработку персональных данных.

4.2. Внести изменения в трудовые договоры (контракты) либо должностные инструкции работников, указанных в пункте 1 настоящего алгоритма (осуществляющих внутренний контроль, защиту персональных данных и непосредственно обрабатывающих персональные данные).

5. Определить перечень уполномоченных лиц и внести изменения (дополнения) в договоры с уполномоченными лицами по защите персональных данных.

Если какие-либо организации либо индивидуальные предприниматели имеют доступ к персональным данным, которые обрабатывает оператор, то они признаются уполномоченными лицами.

Например, уполномоченными лицами могут выступать аудиторы, налоговые консультанты (имеют доступ к бухгалтерской информации, где хранятся персональные данные работников), юристы (если им передаются персональные данные) и другие.

Если имеются уполномоченные лица, то необходимо внести изменения (дополнения) в договоры с целью установления обязательных условий по защите персональных данных.

6. Дальнейшая работа у оператора с персональными данными.

6.1. Поддержание в актуальном состоянии локальных правовых актов по защите персональных данных, в том числе Перечня обрабатываемых персональных данных.

6.2. Ознакомление новых работников с локальными правовыми актами по защите персональных данных.

6.3. Осуществление внутреннего контроля за защитой персональных данных.

6.4. Проведение обучения работников по защите персональных данных (если необходимо).

6.5. Ответы на обращения субъектов персональных данных по реализации их прав.

Если нужна помощь в подготовке локальных правовых актов по защите персональных данных, обращайтесь в Юридическое бюро Олега Панина.