Перечень внутренних документов организации по защите персональных данных

 1.  Приказ руководителя о назначении ответственного лица (ответственных лиц) за организацию работы по определению перечня персональных данных.

Требование о назначении ответственных лиц предусматривается пунктом 7 Постановления Правительства РК от 12 ноября 2013 года № 1214 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач». Согласно указанному Постановлению назначение ответственного лица оформляется соответствующим документом.

 2.  Перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач.

Перечень является внутренним нормативным документом компании, содержащим:

1)      цели получения и обработки персональных данных;

2)     наименования обрабатываемых персональных данных.

Требования к содержанию Перечня определяются Законом и Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных». <пункты 5, 8, 17 Приказа>

 3.  Положение о порядке сбора, обработки и защиты персональных данных.

Действующее законодательство не предусматривает обязанность оператора (собственника) по разработке и утверждению Положения, однако этот документ имеет важное практическое значение для обеспечения защиты личной информации субъектов, с которыми у оператора (собственника) имеются правоотношения.

Закон обязывает указанных лиц принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных. <подпункт 2) пункта 2 статьи 25 Закона>

Вместе с тем, содержание и порядок принятия таких мер четко не регламентированы. Действующие Правила предусматривают лишь цели и общие требования к результатам принимаемых мер.

Таким образом, именно внутреннее Положение компании регулирует порядок принятия мер по защите персональных данных с учетом специфики ее деятельности. Как правило, такой документ конкретизирует и уточняет субъектный состав, порядок получения, обработки, хранения и защиты личной информации, а также состав и функции должностных лиц, имеющих доступ к ней.

При этом, Положение должно соответствовать требованиям, предусмотренным нормативными правовыми актами.

Кроме того, наличие Положения проверяется при прохождении компанией процедуры сертификации системы менеджмента качества (СМК).

4.   Форма согласия субъекта на сбор и обработку персональных данных.

Статьей 7 Закона предусмотрено требование о получении согласия субъекта или его законного представителя на сбор и обработку персональных данных, обязательное для применения всеми операторами (собственниками).

Согласно статьи 8 Закона согласие может быть дано (отозвано) письменно, в форме электронного документа или посредством сервиса обеспечения безопасности персональных данных либо иным способом с применением элементов защитных действий, не противоречащих законодательству.

Наиболее распространенной формой согласия является:

1)      подписание отдельного документа по форме, утвержденной оператором (собственником); или

2)      подписание договора или иного соглашения, содержащего соответствующие условия.

 5.  Приказ руководителя о назначении лица, ответственного за организацию обработки персональных данных.

В соответствии с подпунктом 10) пункта 2 и пунктом 3 статьи 25 Закона, юридические лица обязаны назначить лицо, ответственное за организацию обработки персональных данных, в функции которого входит:

1) осуществлять внутренний контроль за соблюдением юридическим лицом и его работниками законодательства о персональных данных и их защите;

2) доводить до сведения работников положения законодательства по вопросам обработки персональных данных и требования к их защите;

3) осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.