Юридический онлайн-сервис
WhatsApp
Главная Контакты
Регистрация Вход

Перечень внутренних документов организации по защите персональных данных


Дата публикации: 12.11.2020
1983



Обязанности оператора (собственника базы) по сбору, обработке и защите персональных данных предусмотрены статьей 25 Закона РК «О персональных данных и их защите» (далее – Закон).

Если обратиться к терминам, определенным Законом:

  • под "оператором" понимаются - государственный орган, физическое и/или  юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
  • под "собственником базы" понимаются – государственный орган, физическое и/ или юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные.

Таким образом, действие Закона распространяется на всех субъектов предпринимательства (юридических лиц и индивидуальных предпринимателей), использующих труд наемных работников или осуществляющих деятельность, связанную с получением и обработкой личной информации физических лиц.

Подробнее можно ознакомиться здесь.

Итак, какие документы должна иметь компания, чтобы соответствовать требованиям законодательства?

В целом, каждый предприниматель самостоятельно определяет состав и содержание внутренних нормативных документов, регулирующих его деятельность. Во внимание принимаются статус, сфера деятельности, субъектный состав и другие критерии.

Субъектный состав может отличаться в зависимости от сферы бизнеса. Это могут быть сотрудники, члены органов управления, обучающиеся, пациенты, физические лица, оказывающие услуги (выполняющие работы) по договорам гражданско-правового характера, и другие лица.

Однако следует выделить ряд внутренних документов, наличие которых прямо или косвенно предусмотрено нормативными правовыми актами.

 1.  Приказ руководителя о назначении ответственного лица (ответственных лиц) за организацию работы по определению перечня персональных данных.

Требование о назначении ответственных лиц предусматривается пунктом 7 Постановления Правительства РК от 12 ноября 2013 года № 1214 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач». Согласно указанному Постановлению назначение ответственного лица оформляется соответствующим документом.

 

 2.  Перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач.

Перечень является внутренним нормативным документом компании, содержащим:

1)      цели получения и обработки персональных данных;

2)     наименования обрабатываемых персональных данных.

Требования к содержанию Перечня определяются Законом и Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных». <пункты 5, 8, 17 Приказа>

 

 3.  Положение о порядке сбора, обработки и защиты персональных данных.

Действующее законодательство не предусматривает обязанность оператора (собственника) по разработке и утверждению Положения, однако этот документ имеет важное практическое значение для обеспечения защиты личной информации субъектов, с которыми у оператора (собственника) имеются правоотношения.

Закон обязывает указанных лиц принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных. <подпункт 2) пункта 2 статьи 25 Закона>

Вместе с тем, содержание и порядок принятия таких мер четко не регламентированы. Действующие Правила предусматривают лишь цели и общие требования к результатам принимаемых мер.

Таким образом, именно внутреннее Положение компании регулирует порядок принятия мер по защите персональных данных с учетом специфики ее деятельности. Как правило, такой документ конкретизирует и уточняет субъектный состав, порядок получения, обработки, хранения и защиты личной информации, а также состав и функции должностных лиц, имеющих доступ к ней.

При этом, Положение должно соответствовать требованиям, предусмотренным нормативными правовыми актами.

Кроме того, наличие Положения проверяется при прохождении компанией процедуры сертификации системы менеджмента качества (СМК).

 

4.   Форма согласия субъекта на сбор и обработку персональных данных.

Статьей 7 Закона предусмотрено требование о получении согласия субъекта или его законного представителя на сбор и обработку персональных данных, обязательное для применения всеми операторами (собственниками).

Согласно статьи 8 Закона согласие может быть дано (отозвано) письменно, в форме электронного документа или посредством сервиса обеспечения безопасности персональных данных либо иным способом с применением элементов защитных действий, не противоречащих законодательству.

Наиболее распространенной формой согласия является:

1)      подписание отдельного документа по форме, утвержденной оператором (собственником); или

2)      подписание договора или иного соглашения, содержащего соответствующие условия.

 

 5.  Приказ руководителя о назначении лица, ответственного за организацию обработки персональных данных.

В соответствии с подпунктом 10) пункта 2 и пунктом 3 статьи 25 Закона, юридические лица обязаны назначить лицо, ответственное за организацию обработки персональных данных, в функции которого входит:

1) осуществлять внутренний контроль за соблюдением юридическим лицом и его работниками законодательства о персональных данных и их защите;

2) доводить до сведения работников положения законодательства по вопросам обработки персональных данных и требования к их защите;

3) осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.


Данный материал отражает личную точку зрения автора и носит рекомендательный характер. Материал основан на нормативных правовых актах, действующих на дату публикации.


Получите развернутый ответ на Ваш вопрос в короткие сроки

Задайте интересующий Вас вопрос и получите консультации профессиональных юристов

Задать вопрос
Часто задаваемые вопросы в категории "Персональные данные"
  • Имеет ли право сотрудник частной охранной организации требовать от сотрудника предприятия его персональные данные?
    Добрый день. Имеет ли право сотрудник частной охранной организации требовать от сотрудника предприятия его персональные данные ФИО, адрес проживания, ИИН, на недобровольной основе и без объяснения цели сбора подобной информации?
    В соответствии со ст.8 Закона РК «О персональных данных и их защите», субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных (далее - ПД) письменно, посредством государственного сервиса, негосудар...
  • В каких случаях не требуется согласия на сбор персональных данных?
    В государственный орган обратились по вопросу привлечения торговой организации к административной ответственности. Государственный орган направляет заявление со всеми персональными данными заявителя (ФИО, ИИН, адрес, телефон) в эту организацию. Вопрос: является ли это распространением персональных данных заявителя? Согласия на предоставление персональных данных торговой организации не давалось.
    В соответствии с пунктом 1 статьи 9 Закона РК «О персональных данных и их защите»,  при осуществления деятельности правоохранительных органов, судов и иных уполномоченных государственных органов, которые возбуждают и рассматривают дела об...
  • Биометрические данные по законодательству Казахстана
    Что понимается под биометрическими данными по законодательству РК?
    В соответствии с Законом Республики Казахстан "О персональных данных и их защите", биометрические данные это сведения, которые характеризуют физиологические и биологические особенности субъекта, на основе которых можно установить его личность. Конкрет...
  • Ответственность за нарушение законодательства о персональных данных
    Какие виды ответственности применяются за нарушение законодательства о персонльных данных в Казахстане?
    В Республике Казахстан за нарушение законодательства о персональных данных и их защите предусматривается гражданско-правовая, административная и уголовная ответственность. В соответствии со статьей 9 Гражданского кодекса РК, лицо, право которого нару...
Полезные статьи

Смотреть также:

Telegram-канал Pravosite.kz

Актуальные вопросы корпоративного и трудового права.

Подписаться на канал