Меню

Перечень внутренних документов организации по защите персональных данных

perechen-vnutrennih-dokumentov-organizacii-po-zashhite-personal-nyh-dannyh

Обязанности оператора (собственника базы) по сбору, обработке и защите персональных данных предусмотрены статьей 25 Закона РК «О персональных данных и их защите» (далее – Закон).

Если обратиться к терминам, определенным Законом:

  • под "оператором" понимаются - государственный орган, физическое и/  юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
  • под "собственником базы" понимаются – государственный орган, физическое и/ или юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные.

Таким образом, действие Закона распространяется на всех субъектов предпринимательства (юридических лиц и индивидуальных предпринимателей), использующих труд наемных работников или осуществляющих деятельность, связанную с получением и обработкой личной информации физических лиц.

Подробнее можно ознакомиться здесь.

Итак, какие документы должна иметь компания, чтобы соответствовать требованиям законодательства?

В целом, каждый предприниматель самостоятельно определяет состав и содержание внутренних нормативных документов, регулирующих его деятельность. Во внимание принимаются статус, сфера деятельности, субъектный состав и другие критерии.

Субъектный состав может отличаться в зависимости от сферы бизнеса. Это могут быть сотрудники, члены органов управления, обучающиеся, пациенты, физические лица, оказывающие услуги (выполняющие работы) по договорам гражданско-правового характера, и другие лица.

Однако следует выделить ряд внутренних документов, наличие которых прямо или косвенно предусмотрено нормативными правовыми актами.

 1.  Приказ руководителя о назначении ответственного лица (ответственных лиц) за организацию работы по определению перечня персональных данных.

Требование о назначении ответственных лиц предусматривается пунктом 7 Постановления Правительства РК от 12 ноября 2013 года № 1214 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач». Согласно указанному Постановлению назначение ответственного лица оформляется соответствующим документом.

 

 2.  Перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач.

Перечень является внутренним нормативным документом компании, содержащим:

1)      цели получения и обработки персональных данных;

2)     наименования обрабатываемых персональных данных.

Требования к содержанию Перечня определяются Законом и Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных». <пункты 5, 8, 17 Приказа>

 

 3.  Положение о порядке сбора, обработки и защиты персональных данных.

Действующее законодательство не предусматривает обязанность оператора (собственника) по разработке и утверждению Положения, однако этот документ имеет важное практическое значение для обеспечения защиты личной информации субъектов, с которыми у оператора (собственника) имеются правоотношения.

Закон обязывает указанных лиц принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных. <подпункт 2) пункта 2 статьи 25 Закона>

Вместе с тем, содержание и порядок принятия таких мер четко не регламентированы. Действующие Правила предусматривают лишь цели и общие требования к результатам принимаемых мер.

Таким образом, именно внутреннее Положение компании регулирует порядок принятия мер по защите персональных данных с учетом специфики ее деятельности. Как правило, такой документ конкретизирует и уточняет субъектный состав, порядок получения, обработки, хранения и защиты личной информации, а также состав и функции должностных лиц, имеющих доступ к ней.

При этом, Положение должно соответствовать требованиям, предусмотренным нормативными правовыми актами.

Кроме того, наличие Положения проверяется при прохождении компанией процедуры сертификации системы менеджмента качества (СМК).

 

4.   Форма согласия субъекта.

Статьей 7 Закона предусмотрено требование о получении согласия субъекта или его законного представителя на сбор и обработку персональных данных, обязательное для применения всеми операторами (собственниками).

Согласно статьи 8 Закона согласие может быть дано (отозвано) письменно, в форме электронного документа или посредством сервиса обеспечения безопасности персональных данных либо иным способом с применением элементов защитных действий, не противоречащих законодательству.

Наиболее распространенной формой согласия является:

1)      подписание отдельного документа по форме, утвержденной оператором (собственником); или

2)      подписание договора или иного соглашения, содержащего соответствующие условия.

 

 5.  Приказ руководителя о назначении лица, ответственного за организацию обработки персональных данных.

В соответствии с подпунктом 10) пункта 2 и пунктом 3 статьи 25 Закона, юридические лица обязаны назначить лицо, ответственное за организацию обработки персональных данных, в функции которого входит:

1) осуществлять внутренний контроль за соблюдением юридическим лицом и его работниками законодательства о персональных данных и их защите;

2) доводить до сведения работников положения законодательства по вопросам обработки персональных данных и требования к их защите;

3) осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.

Данный материал отражает личную точку зрения автора и носит рекомендательный характер. Материал основан на нормативных правовых актах, действующих на дату публикации.
Дата добавления: 12.11.2020
Поделиться в социальной сети:
Вам могут быть полезны:
ТОП - 5 вопросов по защите персональных данных Дата добавления: 11.10.2020 Открыть статью »
Нормативные правовые акты по вопросам защиты персональных данных Дата добавления: 08.11.2020 Открыть статью »
Перечень внутренних документов организации по защите персональных данных Дата добавления: 12.11.2020 Открыть статью »
Все статьи »
Получите развернутый ответ на Ваш вопрос в короткие сроки

Задайте интересующий Вас вопрос и получите консультации профессиональных юристов

Задать вопрос
message
Часто задаваемые вопросы в категории "Персональные данные"
Необходима юридическая консультация?

Наши юристы проконсультируют Вас по правовым вопросам и подскажут как решить Вашу проблему с минимальными затратами в кратчайшие сроки.

Нажимая на кнопку, вы даете согласие на сбор и обработку персональных данных и принимаете Условия пользовательского соглашения