Юридический онлайн-сервис
+7 (747) 101 00 95
Главная Контакты
Регистрация Вход

Перечень внутренних документов организации по защите персональных данных


Последнее обновление: 20.10.2021
Дата публикации: 12.11.2020
1316

Изображение к статье


Обязанности оператора (собственника базы) по сбору, обработке и защите персональных данных предусмотрены статьей 25 Закона РК «О персональных данных и их защите» (далее – Закон).

Если обратиться к терминам, определенным Законом:

  • под "оператором" понимаются - государственный орган, физическое и/или  юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
  • под "собственником базы" понимаются – государственный орган, физическое и/ или юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные.

Таким образом, действие Закона распространяется на всех субъектов предпринимательства (юридических лиц и индивидуальных предпринимателей), использующих труд наемных работников или осуществляющих деятельность, связанную с получением и обработкой личной информации физических лиц.

Подробнее можно ознакомиться здесь.

Итак, какие документы должна иметь компания, чтобы соответствовать требованиям законодательства?

В целом, каждый предприниматель самостоятельно определяет состав и содержание внутренних нормативных документов, регулирующих его деятельность. Во внимание принимаются статус, сфера деятельности, субъектный состав и другие критерии.

Субъектный состав может отличаться в зависимости от сферы бизнеса. Это могут быть сотрудники, члены органов управления, обучающиеся, пациенты, физические лица, оказывающие услуги (выполняющие работы) по договорам гражданско-правового характера, и другие лица.

Однако следует выделить ряд внутренних документов, наличие которых прямо или косвенно предусмотрено нормативными правовыми актами.

 1.  Приказ руководителя о назначении ответственного лица (ответственных лиц) за организацию работы по определению перечня персональных данных.

Требование о назначении ответственных лиц предусматривается пунктом 7 Постановления Правительства РК от 12 ноября 2013 года № 1214 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач». Согласно указанному Постановлению назначение ответственного лица оформляется соответствующим документом.

 

 2.  Перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач.

Перечень является внутренним нормативным документом компании, содержащим:

1)      цели получения и обработки персональных данных;

2)     наименования обрабатываемых персональных данных.

Требования к содержанию Перечня определяются Законом и Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных». <пункты 5, 8, 17 Приказа>

 

 3.  Положение о порядке сбора, обработки и защиты персональных данных.

Действующее законодательство не предусматривает обязанность оператора (собственника) по разработке и утверждению Положения, однако этот документ имеет важное практическое значение для обеспечения защиты личной информации субъектов, с которыми у оператора (собственника) имеются правоотношения.

Закон обязывает указанных лиц принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных. <подпункт 2) пункта 2 статьи 25 Закона>

Вместе с тем, содержание и порядок принятия таких мер четко не регламентированы. Действующие Правила предусматривают лишь цели и общие требования к результатам принимаемых мер.

Таким образом, именно внутреннее Положение компании регулирует порядок принятия мер по защите персональных данных с учетом специфики ее деятельности. Как правило, такой документ конкретизирует и уточняет субъектный состав, порядок получения, обработки, хранения и защиты личной информации, а также состав и функции должностных лиц, имеющих доступ к ней.

При этом, Положение должно соответствовать требованиям, предусмотренным нормативными правовыми актами.

Кроме того, наличие Положения проверяется при прохождении компанией процедуры сертификации системы менеджмента качества (СМК).

 

4.   Форма согласия субъекта на сбор и обработку персональных данных.

Статьей 7 Закона предусмотрено требование о получении согласия субъекта или его законного представителя на сбор и обработку персональных данных, обязательное для применения всеми операторами (собственниками).

Согласно статьи 8 Закона согласие может быть дано (отозвано) письменно, в форме электронного документа или посредством сервиса обеспечения безопасности персональных данных либо иным способом с применением элементов защитных действий, не противоречащих законодательству.

Наиболее распространенной формой согласия является:

1)      подписание отдельного документа по форме, утвержденной оператором (собственником); или

2)      подписание договора или иного соглашения, содержащего соответствующие условия.

 

 5.  Приказ руководителя о назначении лица, ответственного за организацию обработки персональных данных.

В соответствии с подпунктом 10) пункта 2 и пунктом 3 статьи 25 Закона, юридические лица обязаны назначить лицо, ответственное за организацию обработки персональных данных, в функции которого входит:

1) осуществлять внутренний контроль за соблюдением юридическим лицом и его работниками законодательства о персональных данных и их защите;

2) доводить до сведения работников положения законодательства по вопросам обработки персональных данных и требования к их защите;

3) осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.


Данный материал отражает личную точку зрения автора и носит рекомендательный характер. Материал основан на нормативных правовых актах, действующих на дату публикации.


Получите развернутый ответ на Ваш вопрос в короткие сроки

Задайте интересующий Вас вопрос и получите консультации профессиональных юристов

Задать вопрос
Полезные статьи

Смотреть также:
Часто задаваемые вопросы в категории "Персональные данные"

Telegram-канал Pravosite.kz

Актуальные вопросы корпоративного и трудового права.

Подписаться на канал