Перечень внутренних документов организации по защите персональных данных

- 1. Приказ руководителя о назначении ответственного лица (ответственных лиц) за организацию работы по определению перечня персональных данных.
- 2. Перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач.
- 3. Положение о порядке сбора, обработки и защиты персональных данных.
- 4. Форма согласия субъекта на сбор и обработку персональных данных.
- 5. Приказ руководителя о назначении лица, ответственного за организацию обработки персональных данных.
Обязанности оператора (собственника базы) по сбору, обработке и защите персональных данных предусмотрены статьей 25 Закона РК «О персональных данных и их защите» (далее – Закон).
Если обратиться к терминам, определенным Законом:
- под "оператором" понимаются - государственный орган, физическое и/или юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
- под "собственником базы" понимаются – государственный орган, физическое и/ или юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные.
Таким образом, действие Закона распространяется на всех субъектов предпринимательства (юридических лиц и индивидуальных предпринимателей), использующих труд наемных работников или осуществляющих деятельность, связанную с получением и обработкой личной информации физических лиц.
Подробнее можно ознакомиться здесь.
Итак, какие документы должна иметь компания, чтобы соответствовать требованиям законодательства?
В целом, каждый предприниматель самостоятельно определяет состав и содержание внутренних нормативных документов, регулирующих его деятельность. Во внимание принимаются статус, сфера деятельности, субъектный состав и другие критерии.
Субъектный состав может отличаться в зависимости от сферы бизнеса. Это могут быть сотрудники, члены органов управления, обучающиеся, пациенты, физические лица, оказывающие услуги (выполняющие работы) по договорам гражданско-правового характера, и другие лица.
Однако следует выделить ряд внутренних документов, наличие которых прямо или косвенно предусмотрено нормативными правовыми актами.
1. Приказ руководителя о назначении ответственного лица (ответственных лиц) за организацию работы по определению перечня персональных данных.Требование о назначении ответственных лиц предусматривается пунктом 7 Постановления Правительства РК от 12 ноября 2013 года № 1214 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач». Согласно указанному Постановлению назначение ответственного лица оформляется соответствующим документом. |
2. Перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач.Перечень является внутренним нормативным документом компании, содержащим: 1) цели получения и обработки персональных данных; 2) наименования обрабатываемых персональных данных. Требования к содержанию Перечня определяются Законом и Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных». <пункты 5, 8, 17 Приказа> |
3. Положение о порядке сбора, обработки и защиты персональных данных.Действующее законодательство не предусматривает обязанность оператора (собственника) по разработке и утверждению Положения, однако этот документ имеет важное практическое значение для обеспечения защиты личной информации субъектов, с которыми у оператора (собственника) имеются правоотношения. Закон обязывает указанных лиц принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных. <подпункт 2) пункта 2 статьи 25 Закона> Вместе с тем, содержание и порядок принятия таких мер четко не регламентированы. Действующие Правила предусматривают лишь цели и общие требования к результатам принимаемых мер. Таким образом, именно внутреннее Положение компании регулирует порядок принятия мер по защите персональных данных с учетом специфики ее деятельности. Как правило, такой документ конкретизирует и уточняет субъектный состав, порядок получения, обработки, хранения и защиты личной информации, а также состав и функции должностных лиц, имеющих доступ к ней. При этом, Положение должно соответствовать требованиям, предусмотренным нормативными правовыми актами. Кроме того, наличие Положения проверяется при прохождении компанией процедуры сертификации системы менеджмента качества (СМК). |
4. Форма согласия субъекта на сбор и обработку персональных данных.Статьей 7 Закона предусмотрено требование о получении согласия субъекта или его законного представителя на сбор и обработку персональных данных, обязательное для применения всеми операторами (собственниками). Согласно статьи 8 Закона согласие может быть дано (отозвано) письменно, в форме электронного документа или посредством сервиса обеспечения безопасности персональных данных либо иным способом с применением элементов защитных действий, не противоречащих законодательству. Наиболее распространенной формой согласия является: 1) подписание отдельного документа по форме, утвержденной оператором (собственником); или 2) подписание договора или иного соглашения, содержащего соответствующие условия. |
5. Приказ руководителя о назначении лица, ответственного за организацию обработки персональных данных.В соответствии с подпунктом 10) пункта 2 и пунктом 3 статьи 25 Закона, юридические лица обязаны назначить лицо, ответственное за организацию обработки персональных данных, в функции которого входит: 1) осуществлять внутренний контроль за соблюдением юридическим лицом и его работниками законодательства о персональных данных и их защите; 2) доводить до сведения работников положения законодательства по вопросам обработки персональных данных и требования к их защите; 3) осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей. |
Задайте интересующий Вас вопрос и получите консультации профессиональных юристов
Задать вопрос
-
Нормативные правовые акты по вопросам защиты персональных данныхДата публикации: 8.11.2020.
Последнее обновление: 28.11.2020.Цена: Бесплатно -
ТОП - 5 вопросов по защите персональных данныхДата публикации: 11.10.2020.
Последнее обновление: 28.11.2020.Цена: Бесплатно -
Регистрация товарного знакаДата публикации: 12.03.2022.
Последнее обновление: 4.11.2022.Цена: Бесплатно -
Виды и формы организаций образования в КазахстанеДата публикации: 26.08.2022.
Последнее обновление: 27.08.2022.Цена: Бесплатно -
Особенности вахтового метода работы в РКДата публикации: 17.11.2020.
Последнее обновление: 30.11.2020.Цена: Бесплатно