Перечень внутренних документов организации по защите персональных данных
- 1. Приказ руководителя о назначении ответственного лица (ответственных лиц) за организацию работы по определению перечня персональных данных.
- 2. Перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач.
- 3. Положение о порядке сбора, обработки и защиты персональных данных.
- 4. Форма согласия субъекта на сбор и обработку персональных данных.
- 5. Приказ руководителя о назначении лица, ответственного за организацию обработки персональных данных.
Обязанности оператора (собственника базы) по сбору, обработке и защите персональных данных предусмотрены статьей 25 Закона РК «О персональных данных и их защите» (далее – Закон).
Если обратиться к терминам, определенным Законом:
- под "оператором" понимаются - государственный орган, физическое и/или юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
- под "собственником базы" понимаются – государственный орган, физическое и/ или юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные.
Таким образом, действие Закона распространяется на всех субъектов предпринимательства (юридических лиц и индивидуальных предпринимателей), использующих труд наемных работников или осуществляющих деятельность, связанную с получением и обработкой личной информации физических лиц.
Подробнее можно ознакомиться здесь.
Итак, какие документы должна иметь компания, чтобы соответствовать требованиям законодательства?
В целом, каждый предприниматель самостоятельно определяет состав и содержание внутренних нормативных документов, регулирующих его деятельность. Во внимание принимаются статус, сфера деятельности, субъектный состав и другие критерии.
Субъектный состав может отличаться в зависимости от сферы бизнеса. Это могут быть сотрудники, члены органов управления, обучающиеся, пациенты, физические лица, оказывающие услуги (выполняющие работы) по договорам гражданско-правового характера, и другие лица.
Однако следует выделить ряд внутренних документов, наличие которых прямо или косвенно предусмотрено нормативными правовыми актами.
1. Приказ руководителя о назначении ответственного лица (ответственных лиц) за организацию работы по определению перечня персональных данных.Требование о назначении ответственных лиц предусматривается пунктом 7 Постановления Правительства РК от 12 ноября 2013 года № 1214 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач». Согласно указанному Постановлению назначение ответственного лица оформляется соответствующим документом. |
2. Перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач.Перечень является внутренним нормативным документом компании, содержащим: 1) цели получения и обработки персональных данных; 2) наименования обрабатываемых персональных данных. Требования к содержанию Перечня определяются Законом и Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных». <пункты 5, 8, 17 Приказа> |
3. Положение о порядке сбора, обработки и защиты персональных данных.Действующее законодательство не предусматривает обязанность оператора (собственника) по разработке и утверждению Положения, однако этот документ имеет важное практическое значение для обеспечения защиты личной информации субъектов, с которыми у оператора (собственника) имеются правоотношения. Закон обязывает указанных лиц принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных. <подпункт 2) пункта 2 статьи 25 Закона> Вместе с тем, содержание и порядок принятия таких мер четко не регламентированы. Действующие Правила предусматривают лишь цели и общие требования к результатам принимаемых мер. Таким образом, именно внутреннее Положение компании регулирует порядок принятия мер по защите персональных данных с учетом специфики ее деятельности. Как правило, такой документ конкретизирует и уточняет субъектный состав, порядок получения, обработки, хранения и защиты личной информации, а также состав и функции должностных лиц, имеющих доступ к ней. При этом, Положение должно соответствовать требованиям, предусмотренным нормативными правовыми актами. Кроме того, наличие Положения проверяется при прохождении компанией процедуры сертификации системы менеджмента качества (СМК). |
4. Форма согласия субъекта на сбор и обработку персональных данных.Статьей 7 Закона предусмотрено требование о получении согласия субъекта или его законного представителя на сбор и обработку персональных данных, обязательное для применения всеми операторами (собственниками). Согласно статьи 8 Закона согласие может быть дано (отозвано) письменно, в форме электронного документа или посредством сервиса обеспечения безопасности персональных данных либо иным способом с применением элементов защитных действий, не противоречащих законодательству. Наиболее распространенной формой согласия является: 1) подписание отдельного документа по форме, утвержденной оператором (собственником); или 2) подписание договора или иного соглашения, содержащего соответствующие условия. |
5. Приказ руководителя о назначении лица, ответственного за организацию обработки персональных данных.В соответствии с подпунктом 10) пункта 2 и пунктом 3 статьи 25 Закона, юридические лица обязаны назначить лицо, ответственное за организацию обработки персональных данных, в функции которого входит: 1) осуществлять внутренний контроль за соблюдением юридическим лицом и его работниками законодательства о персональных данных и их защите; 2) доводить до сведения работников положения законодательства по вопросам обработки персональных данных и требования к их защите; 3) осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей. |
Задайте интересующий Вас вопрос и получите консультации профессиональных юристов
Задать вопрос
-
ТОП - 5 вопросов по защите персональных данныхПраво каждого гражданина на неприкосновенность частной жизни, личную и семейную тайну закреплено в Конституции Республики Казахстан. С развитием документооборота и информационных технологий возрастает актуальность и значимость защиты личной информации граждан от неправомерного использования и распространения.
-
Перечень внутренних документов организации по защите персональных данныхОбязанности оператора по сбору, обработке и защите персональных данных предусмотрены статьей 25 Закона РК «О персональных данных и их защите» (далее – Закон). Под "оператором" понимается государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных.
-
Что означает производственная необходимость?Что означает термин "производственная необходимость"?Производственная необходимость – это выполнение работ: в целях предотвращения или ликвидации стихийного бедствия; последствий чрезвычайных ситуаций, чрезвычайного или военного положения, катастрофы природного или техногенного характера; производст...
-
Биометрические данные по законодательству КазахстанаЧто понимается под биометрическими данными по законодательству РК?В соответствии с Законом Республики Казахстан "О персональных данных и их защите", биометрические данные это сведения, которые характеризуют физиологические и биологические особенности субъекта, на основе которых можно установить его личность. Конкрет...
-
Нормативные правовые акты по вопросам защиты персональных данныхПоследнее обновление: 1.07.2023.
Дата публикации: 8.11.2020. -
ТОП - 5 вопросов по защите персональных данныхПоследнее обновление: 28.11.2020.
Дата публикации: 11.10.2020. -
Регистрация товарного знакаПоследнее обновление: 4.11.2022.
Дата публикации: 12.03.2022. -
Возраст уголовной ответственности в КазахстанеПоследнее обновление: 15.03.2024.
Дата публикации: 25.03.2023. -
Смертная казнь в КазахстанеПоследнее обновление: 27.03.2023.
Дата публикации: 25.03.2023.
