Чек-лист подготовки компании к работе в соответствии с Законом «О защите персональных данных»

Альфа Эксперт
25 Ноября 2021
Поделиться с коллегами

15 ноября 2021 года в Беларуси вступил в силу Закон «О защите персональных данных» вступает в силу. В настоящее время уже создан контролирующий орган (Национальный центр по защите персональных данных, НЦЗПД), разработаны процедуры, определена ответственность.

Команда юридической фирмы REVERA разработала Чек-лист подготовки компаний к работе в соответствии с нормами указанного закона.


Алёна Поторская, руководитель проектов в сфере конфиденциальности и защиты персональных данных REVERA

Для кого?

Чек-лист предназначен сотруднику компании, который будет заниматься приведением процессов работы с персональными данными в соответствие с Законом (юрист, директор, бухгалтер и иные должности).

Для чего?

Чек-лист содержит пошаговую инструкцию, что необходимо сделать в компании для имплементации Закона, и разработан для того, чтобы помочь вам в этом.

Что в итоге?

Результатом работы с этим документом у компании будет полное понимание того, с какими данными она работает, в каких целях и на каких основаниях. А также будет понятен перечень документов и мер, которые нужно разработать и внедрить.


Чек-лист

1. Назначить ответственное лицо.

Документы:

- приказ о назначении;

- должностная инструкция/дополнения в должностную инструкцию (если это не отдельная должность).

2. Определить, в каких «точках» компания работает с персональными данными (сайты, приложения, HR (кандидаты и работники), договоры с контрагентами, программы лояльности и прочее).

3. Определить цель каждой обработки и убедиться, что все запрашиваемые персональные данные необходимы для данных целей – излишние данные исключить (не запрашивать).

4. Определить надлежащее правовое основание для каждой обработки (согласие, трудовые отношения, договор, обработка общедоступных данных, требования законодательства и иное)

Документы по п. 2, 3, 4: реестр обработки персональных данных.

5. Разработать политику обработки персональных данных в компании и сопутствующие документы, необходимые для систематизации процессов.

Документы:

- положение об обработке ПД (ЛПА);

- регламент реагирования на запросы субъектов ПД;

- типовые формы заявлений субъектов о реализации их прав;

- типовые формы ответов на заявления субъектов о реализации их прав (или отказов в реализации);

- журнал учета заявлений субъектов ПД.

6. Разработать и поддерживать в актуальном состоянии:

- перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых является компания;

- категории персональных данных, подлежащих включению в такие ресурсы (системы): общедоступные; специальные (кроме биометрических и генетических); биометрические и генетические; персональные данные, не являющиеся общедоступными или специальными;

- перечень уполномоченных лиц, если обработка персональных данных осуществляется такими лицами;

- срок хранения обрабатываемых персональных данных.

Документы:

-перечни, перечисленные выше.

7. Провести разграничение доступа к персональным данным

Документы и шаги:

- положение о порядке доступа к персональным данным;

- принять реальные технические меры, которые позволят предотвратить несанкционированный доступ.

8. Ознакомить работников с документами из п. 5 и п. 6, законодательством о защите персональных данных, провести инструктаж по работе с персональными данными. При этом, необходимо организовывать не реже одного раза в 5 лет прохождение обучения по вопросам защиты персональных данных лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных.

Документы: журнал проведения инструктажа, иные документы, подтверждающие прохождение обучения/

9. Разработать политику обработки персональных данных для сайта и (или) приложения

REVERA рекомендует иметь отдельные документы для сайтов и (или) приложений (с информацией для клиентов) и внутренний локальный правовой акт (где будут содержаться правила для работников (п. 5 и п. 6 выше)). При этом, политика обработки данных для сайтов и (или) приложений должна быть написана простым и понятным языком, поскольку пишется для пользователей.

Документ: политика обработки персональных данных

10. По результатам проведенной работы внести изменения в заключенные/заключаемые документы.

Пример:

- разработать текст согласия для кандидатов и следить за его получением от кандидатов перед началом обработки их персональных данных;

- исключить согласие на обработку персональных данных из трудового договора, поскольку в такой форме оно является вынужденным;

- разработать текст отдельного согласия с работниками и получить такое согласие от каждого работника;

- отредактировать анкету для участия в программе лояльности (убрать излишние данные, добавить форму для запроса согласия в надлежащей форме);

- изменить форму запроса данных на сайте и (или) в приложениях (убрать излишние данные, добавить форму для запроса согласия в надлежащей форме).

При этом важно следить за целями обработки персональных данных. Если цели изменились со временем – необходимо получить новое согласие.

11. Оформить поручения на обработку персональных данных с уполномоченными лицами.

12. Проработать технические вопросы реагирования на запросы субъектов персональных данных (обеспечить возможность отзыва согласия, удаления данных и так далее).

13. Принимать меры по технической и криптографической защите информационных систем.


Альфа Эксперт
Как создать устойчивую бизнес-модель в наше время
Альфа Эксперт
Сначала ответьте на вопросы. Универсальная digital-стратегия для малого бизнеса
Альфа Эксперт
Налоговый кодекс 2022: ключевые изменения для ИП, рекомендации по администрированию