Кирилл Сергеевич Захилько,
доцент, кандидат юридических наук

Законодательство о защите персональных данных не определяет конкретного минимального перечня документов, которые должна иметь организация, обрабатывающая персональные данные. В материале рассмотрим минимальный перечень таких документов для соблюдения требований законодательства о защите персональных данных.

Оператор (уполномоченное лицо) самостоятельно определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований Закона о защите персональных данных и иных актов законодательства (п. 2 ст. 17 Закона о защите персональных данных). В связи с этим одни операторы могут регламентировать все процессы или мероприятия (или их большую часть) в одном или нескольких документах (в положении об обработке персональных данных), для других целесообразно издать более десятка отдельных документов по каждому из процессов или мероприятий, связанных с персональными данными (отдельные политики по каждым процессам; отдельное положение об обработке персональных данных; отдельные документы, посвященные регламентации доступа к персональным данным, проведению внутренних проверок, и т.д.). Исходя из требований законодательства, можно определить в целом, какие вопросы должны найти разрешение в тех или иных документах оператора (уполномоченного лица).

1. Документ о назначении ответственного (структурного подразделения или работника) за осуществление внутреннего контроля за обработкой персональных данных (для операторов (уполномоченных лиц), являющихся госорганом, юридическим лицом Республики Беларусь, иной организацией) и документ об организации внутреннего контроля за обработкой персональных данных (абз. 2 п. 3 ст. 17 Закона о защите персональных данных).

Как правило, таким документом выступает приказ директора организации о возложении на работника (структурное подразделение) функций ответственного за осуществление внутреннего контроля за обработкой персональных данных и о внесении соответствующих изменений в должностные инструкции. В подобных случаях особенно важно помнить о необходимости надлежащего оформления изменений существенных условий труда (ст. 32 ТК).

2. Документ о порядке внутреннего контроля за обработкой персональных данных.

Для того чтобы ответственный имел возможность выполнять возложенные на него функции, в ЛПА должен быть определен порядок осуществления внутреннего контроля (внутренних проверок, мониторингов). По результатам проведения контрольных мероприятий следует вести отчетную документацию (для подтверждения реализации меры, предусмотренной абз. 2 п. 3 ст. 17 Закона о защите персональных данных, т.е. для подтверждения, что ответственный действительно выполняет свои функции по внутреннему контролю).

3. Документы (или иная форма представления и систематизации процессов), наглядно представляющие, систематизирующие и фиксирующие бизнес-процессы, в которых используются персональные данные.

Для обеспечения возможности выполнения оператором (уполномоченным лицом) ряда обязанностей, предусмотренных законодательством (ст. 4, 17 Закона о защите персональных данных; п. 3 Указа от 28.10.2021 N 422; приказ ОАЦ от 20.02.2020 N 66 и т.д.), необходимо, чтобы в организации были систематизированы и зафиксированы все происходящие процессы обработки персональных данных. Как правило, для этого используется реестр обработки персональных данных, т.е. документ в виде таблицы, в котором отражается:

— цель обработки;

— подразделение (лицо), ответственное за обработку;

— категории лиц, чьи персональные данные обрабатываются;

— категории обрабатываемых персональных данных;

— правовая основа обработки;

— источник получения персональных данных;

— категории получателей персональных данных;

— срок хранения персональных данных;

— иные сведения об обработке персональных данных по решению оператора (уполномоченного лица).

Отметим, что при надлежащем оформлении реестр обработки персональных данных:

— значительно облегчает разработку политик и иных необходимых документов;

— может выступать частью политики или положения об обработке персональных данных;

— может полностью или частично заменить ряд документов, которые операторы обязаны издать в соответствии с законодательством (например, в нем могут определяться сроки обработки персональных данных, порядок доступа к персональным данным (в части определения лиц, которые имеют доступ к тем либо иным данным из реестра), перечень уполномоченных лиц, перечень информационных ресурсов, категории персональных данных и т.д.).

Вместе с тем обязанность по ведению реестра прямо в законодательстве не предусмотрена. Обработка персональных данных в зависимости от целей и категорий обрабатываемых данных может быть систематизирована, например, только в политиках, без составления общего реестра обработки персональных данных.

4. Документ, определяющий политику оператора (уполномоченного лица) в отношении обработки персональных данных (для оператора (уполномоченного лица) — юридического лица Республики Беларусь, иной организации, ИП) (абз. 3 п. 3 ст. 17 Закона о защите персональных данных).

Политика в отношении обработки персональных данных может быть представлена одним или несколькими документами. При этом необходимо учитывать, что политика — документ в первую очередь для субъекта персональных данных. Она необходима для обеспечения прозрачности обработки. Каждое лицо, персональные данные которого обрабатываются, должно иметь возможность неограниченного доступа к политике, определяющей параметры обработки его данных (п. 4 ст. 17 Закона о защите персональных данных).

Соответственно, если в организации обрабатываются персональные данные различных категорий субъектов, целесообразно издать различные политики. Например, если в организации обрабатываются персональные данные граждан, в один документ нецелесообразно помещать положения об обработке персональных данных работников (в этом случае клиенты будут видеть процессы обработки данных работников, документ будет более сложным для понимания и восприятия и т.д.). Также, как правило, из-за специфики содержания отдельно составляются документы, определяющие политику видеонаблюдения и политику обработки куки-файлов (если у организации организовано видеонаблюдение и есть интернет-сайт).

5. Документ, подтверждающий прохождение обучения работниками и иными лицами, непосредственно осуществляющими обработку персональных данных; документы (иные способы подтверждения) об ознакомлении работников с требованиями в области защиты персональных данных (абз. 4 п. 3 ст. 17 Закона о защите персональных данных, абз. 1 ч. 1 подп. 3.3 п. 3 Указа от 28.10.2021 N 422, подп. 1.1 п. 1 приказа ОАЦ от 12.11.2021 N 194).

В случае когда обучение должно осуществляться по программе повышения квалификации лиц, ответственных за внутренний контроль за обработкой персональных данных (подп. 1.1 п. 1 приказа ОАЦ от 12.11.2021 N 194), у оператора должны быть документы об образовании (свидетельства о повышении квалификации в НЦЗПД по образовательной программе повышения квалификации руководящих работников и специалистов) соответствующих лиц.

В иных случаях могут использоваться иные документы (или иные достоверные доказательства, в том числе в электронном виде), подтверждающие прохождение обучения ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных (документы с результатами тестирования работников; договоры об оказании образовательных услуг, услуг по проведению вебинаров; протоколы собраний с приглашенными специалистами; логи доступа работников к обучающей информации на информационном ресурсе оператора и т.д.). Также должны быть подтверждены факты ознакомления иных работников с требованиями в области защиты персональных данных.

Следует помнить, что обучение является одной из наиболее важных мер защиты персональных данных, т.к. при отсутствии у работников знаний об организации работы с персональными данными все иные мероприятия могут оказаться бесполезными. Вопрос обучения и ознакомления работников внимательно контролируется регулятором в ходе проверочных мероприятий. Поэтому к оформлению подтверждения реализации рассматриваемой меры не следует подходить формально. Желательно, чтобы обучение работников (если оно производится оператором или уполномоченным лицом самостоятельно) комплексно подтверждалось несколькими доказательствами.

Также целесообразно регламентировать порядок обучения и ознакомления работников (ответственных лиц, обучение вновь принятых работников и т.д.).

6. Документ, определяющий порядок доступа к персональным данным (как к содержащимся в документах или на иных материальных носителях, так и к обрабатываемым в информационном ресурсе (системе)) (абз. 5 п. 3 ст. 17 Закона о защите персональных данных).

Порядок доступа может определяться в отдельном положении или в приказе о порядке доступа, в разделе положения об обработке персональных данных или в ином аналогичном документе (документах) (например, в положении об обработке персональных данных определяются общие требования в области доступа к персональным данным, тогда как в отдельных приказах или в утвержденном директором реестре распределяется доступ по структурным подразделениям, занимаемой должности или персональный доступ к тем или иным документам или информационным ресурсам с учетом выполняемых структурными подразделениями или работниками функций).

7. Документ, подтверждающий осуществление технической и криптографической защиты персональных данных в порядке, установленном ОАЦ, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные (абз. 6 п. 3 ст. 17 Закона о защите персональных данных, приказ ОАЦ от 20.02.2020 N 66).

С точки зрения соблюдения законодательства о защите персональных данных в организации должны быть только документы о прохождении аттестации информационной системы, в которой обрабатываются персональные данные (аттестат соответствия системы защиты информации информационной системы требованиям по защите информации (Положение о порядке аттестации)). Однако для того, чтобы провести аттестацию, необходимо наличие ряда дополнительных документов, включая документ о назначении ответственного за обеспечение защиты информации (абз. 2 ч. 1 п. 4 Положения о порядке технической и криптографической защиты информации), акт (акты) об отнесении информационных систем к классу типовых информационных систем (п. 7 Положения о порядке технической и криптографической защиты информации), политику информационной безопасности, издаваемую на этапе проектирования системы защиты информации (абз. 3 п. 8, п. 9 Положения о порядке технической и криптографической защиты информации) и другие документы. Отметим, что приказом ОАЦ от 20.02.2020 N 66 для операторов физических лиц и ИП установлен ряд изъятий из перечня документов, необходимых при создании и аттестации систем защиты информации.

8. Документ, определяющий перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами (подп. «в» подп. 3.5 п. 3 Указа от 28.10.2021 N 422).

9. Договоры с уполномоченными лицами по перечню, если обработка персональных данных осуществляется уполномоченными лицами (п. 1 ст. 7 Закона о защите персональных данных).

10. Документ, который определяют перечень информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых оператор (уполномоченное лицо) является (подп. «а» подп. 3.5 п. 3 Указа от 28.10.2021 N 422).

11. Документ, определяющий категории персональных данных, подлежащих включению в информационные ресурсы (системы).

Категории персональных данных: общедоступные; специальные (кроме биометрических и генетических); биометрические и генетические; персональные данные, не являющиеся общедоступными или специальными (подп. «б» подп. 3.5 п. 3 Указа от 28.10.2021 N 422).

12. Документ, определяющий срок хранения обрабатываемых персональных данных (подп. «г» подп. 3.5 п. 3 Указа от 28.10.2021 N 422).

13. Документ, определяющий порядок удаления персональных данных по истечении срока их хранения, в том числе определяющий ответственных за удаление лиц, и документы, которые подтверждают удаление.

14. Должностные инструкции для лиц, непосредственно обрабатывающих персональные данные, с включением в них обязанностей, связанных с обработкой персональных данных. Должностные инструкции иных работников должны также содержать положения о необходимости соблюдать требования по защите персональных данных.

Отметим, что регулирование большинства рассмотренных выше вопросов может быть объединено в рамках нескольких документов. Если организация ставит задачу максимально снизить количество документов, с учетом особенностей конкретной организации возможны следующие варианты:

1) политика обработки персональных данных работников и в связи с совершением административных процедур, а также иные политики в зависимости от конкретных видов обработки персональных данных.

Если политики будут составлены подробно и с соблюдением всех методических рекомендаций НЦЗПД, будут содержать блок с наглядной систематизацией процессов обработки персональных данных (желательно в виде таблицы), в небольшой организации с малым числом разновидностей процессов обработки персональных данных отдельный реестр их обработки может не составляться.

Если в политике будут определены сроки обработки персональных данных по каждому виду обработки и цели, отдельный документ со сроками обработки может не составляться. Перечни информационных систем (ресурсов), категории включаемых в них персональных данных и привлекаемых к обработке уполномоченных лиц (при обеспечении достаточного уровня наглядности) также могут быть отражены только в политиках. Однако при этом политика не должна быть перегружена, поскольку должна излагаться понятным и доступным языком;

2) ЛПА об обработке персональных данных (например, положение, приказ), в котором как минимум будет определен:

— ответственный (ответственные) за внутренний контроль за обработкой персональных данных, порядок внутреннего контроля за обработкой персональных данных;

— порядок доступа к персональным данным и порядок их удаления;

3) иные документы (документы, подтверждающие обучение и ознакомление работников; договоры оператора — уполномоченного лица со всеми лицами из перечня уполномоченных лиц; аттестат (аттестаты) соответствия системы защиты информации информационной системы (информационных систем); утвержденные формы согласия, если организацией используются согласия; должностные инструкции работников с обязанностями, связанными с обеспечением защиты персональных данных и (или) с реализацией прав субъектов персональных данных (в зависимости от функционала работника в связи с обработкой персональных данных и реализацией мер по защите персональных данных)).

При этом необходимо учитывать, что особенности обработки персональных данных в конкретной организации могут потребовать наличия иных документов с учетом изложенного выше.

Читайте этот материал в ilex >>*
*по ссылке Вы попадете в платный контент сервиса ilex