О соблюдении законодательства
о персональных данных
Функционирование учреждений образования непосредственно связано с обработкой персональных данных лиц, получающих дошкольное образование, специальное образование на уровне дошкольного образования, а также их законных представителей.
Согласно абзацу 8 статьи 1 Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон) все без исключения учреждения образования признаются операторами.
В этой связи с 15 ноября 2021 г. на них возложена обязанность привести свою деятельность в соответствие с требованиями статьи 17 Закона
С учетом установленных требований законодательства о персональных данных и позиции Национального центра защиты персональных данных (далее – НЦЗПД) учреждениям образования в отношении применения его отдельных положений в своей деятельности необходимо:
- назначить лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, внести необходимые дополнения/изменения в должностную инструкцию этого работника.
Конкретные квалификационные требования, предъявляемые к работникам, на которых возлагаются функции специалиста, осуществляющего внутренний контроль за обработкой персональных данных, представлены в ЕКСДС «Должности служащих для всех видов деятельности» (выпуск 1), утвержденном постановлением Министерства труда Республики Беларусь от 30 декабря 1999 г. № 159.
Назначение лица, ответственного за осуществление внутреннего контроля (возложение соответствующих обязанностей на конкретного специалиста), не снимает ответственности с руководителя и других работников учреждения образования за несоблюдение требований законодательства о персональных данных;
- составить и поддерживать в актуальном состоянии реестр обработки персональных данных;
3) разработать и утвердить:
положение об организации внутреннего контроля за обработкой персональных данных;
документы, определяющие политику в отношении обработки персональных данных (далее – Политика).
По решению оператора это может быть один документ или несколько (например, политика в отношении обработки персональных данных в трудовых отношениях, при видеонаблюдении, на сайте и т. д.).
Рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных, размещены на официальном сайте НЦЗПД в разделе «Методологические документы» (https://cpd.by/pravovaya-osnova/metodologicheskiye-dokumenty-rekomendatsii).
Обращаем внимание на необходимость размещения Политики на сайте учреждения образования на странице не ниже второго уровня. При отсутствии у учреждения образования сайта обеспечение неограниченного доступа к Политике осуществляется посредством ее размещения на информационных стендах или иными способами;
порядок доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
- внести изменения в должностные обязанности лиц, обрабатывающих персональные данные.
Следует предусмотреть в должностных инструкциях работников, осуществляющих обработку персональных данных (воспитателей дошкольного образования, педагогов-психологов и др.), обязанность «соблюдать установленный законодательством о персональных данных и локальными правовыми актами порядок обработки персональных данных».
При необходимости должностные обязанности конкретных работников (например, ответственных за функционирование информационного ресурса (системы)) в части реализации законодательства о персональных данных могут быть детализированы, в том числе исходя из способов организации оператором выполнения обязанностей, предусмотренных статьей 16 Закона.
В зависимости от трудовой функции работника в его должностную инструкцию могут быть включены обязанности:
получать в необходимых случаях согласие субъекта персональных данных на обработку персональных данных;
осуществлять контроль за соответствием срока обработки персональных данных заявленным целям, прекращать обработку персональных данных, а также обеспечивать их удаление или блокирование при отсутствии правовых оснований для обработки персональных данных;
обеспечивать предоставление субъектам персональных данных информации об их персональных данных, а также о предоставлении их персональных данных третьим лицам, за исключением случаев, предусмотренных Законом и иными законодательными актами;
обеспечивать доступ к персональным данным в установленном порядке, вести учет такого доступа и случаев предоставления, распространения персональных данных третьим лицам и т. п.;
- ознакомить работников и иных лиц, непосредственно осуществляющих обработку персональных данных в учреждении образования, с положениями законодательства о персональных данных;
- запланировать и организовать обучение лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, и лиц, непосредственно осуществляющих обработку персональных данных.
Требования к организации обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных, установлены Указом Президента Республики Беларусь от 28 октября 2021 г. № 422 «О совершенствовании мер по защите персональных данных».
Также учреждениям образования как операторам необходимо обеспечить реализацию иных организационных и технических мер, предусмотренных Законом (например, разработать форму согласия для использования в случаях, когда правовым основанием обработки выступает согласие, организовать фиксацию и хранение информации о предоставлении персональных данных третьим лицам (это могут быть журналы, если информация предоставлялась в письменном виде, система логирования в информационном ресурсе (системе) и т. п.).
Обращаем внимание, что на сайте НЦЗПД размещены образцы необходимых документов (https://cpd.by/pravovaya-osnova/portfel-operatora/formy-dokumentov), а также разъяснения вопросов о применении Закона, в том числе подробные разъяснения о его применении в сфере образования (https://cpd.by/pravovaya-osnova/metodologicheskiye-dokumenty-rekomendatsii; https://cpd.by/podgotovleny-razjasnenija-o-primenenii-zakona-o-zashhite-personalnyh-dannyh-v-sfere-obrazovanija). Ответы на актуальные вопросы в сфере защиты персональных данных также оперативно размещаются НЦЗПД в телеграмм-канале «Центр персональных данных» (https://t.me/cpd_by).
Пошаговый алгоритм действий операторов с необходимыми разяснениями размещен на официальном сайте Национального центра защиты персональных данных Республики Беларусь (далее – НЦЗПД) в разделе «Методологические документы» и доступен по ссылке https://cpd.by/pravovaya-osnova/metodologicheskiye-dokumenty-rekomendatsii/.