Внутренний контроль за обработкой персональных данных

В эпоху цифровых технологий защита персональных данных становится одной из основных задач для компаний, которые имеют дело с большим количеством физических лиц, а также с персональными данными кандидатов на вакансии, сотрудников. Внутренний контроль за обработкой персональных данных относится к ключевым функциям Должностного лица по защите персональных данных (DPO). В данной статье мы рассмотрим, как DPO осуществляет внутренний контроль за обработкой персональных данных, а также выделим ключевые шаги, которые помогают ему в этой важной роли.

Функции DPO, которые связаны с внутренним контролем за обработкой персональных данных

Выполнение DPO его ключевой функции по внутреннему контролю за обработкой персональных данных невозможно без выполнения им других функций, в частности:

1. Анализ процессов обработки персональных данных и определение рисков этих процессов.
2. Разработка документов по обработке персональных данных, их своевременная актуализация.
3. Консультации по вопросам персональных данных для руководителей и взаимодействие с уполномоченными лицами.
4. Ознакомление сотрудников компании с требованиями о защите персональных данных, внутренними документами компании по вопросам обработки персональных данных.
5. Организация обучения сотрудников, которые обрабатывает персональные данные, контроль знаний по вопросам обработки персональных данных.
6. Участие в рассмотрении жалоб физических лиц по вопросам обработки их персональных данных.
7. Взаимодействие с Национальным центром защиты персональных данных.

Действия DPO после назначения на должность

После назначения на должность DPO обычно проводит внутренний контроль обработки персональных данных в компании. Для этого DPO может действовать последовательно по плану (пошаговой последовательности). Например:

Шаг 1. Оценить эффективность выбранного способа обработки персональных данных.
DPO может определить период (например, календарный год или другой период), в течение которого он будет контролировать обработку персональных данных во всех подразделениях компании.
Шаг 2. Проанализировать бизнес-процессы, связанные с обработкой персональных данных.
При реализации этого шага может потребоваться составить порядок взаимодействия подразделений компании при обработке персональных данных (реестр обработки персональных данных). В этом документе можно определить в частности, процессы обработки и подразделения, которые осуществляют эти процессы. Также логично определить по каждому процессу цель обработки, перечень категорий персональных данных, которые обрабатываются, источник их получения и срок хранения.
Шаг 3. Подготовить проекты документов или проверить документы
На этом этапе DPO готовит проекты документов, которые определяют политику компании-оператора или уполномоченного лица по обработке персональных данных или проверяет эти документы на соответствие требованиям, если документы уже имеются в компании. Также DPO проверяет, что к политике есть доступ у неограниченного круга физических лиц.
Может потребоваться разработка отдельных политик для разных бизнес-процессов обработки персональных данных. Например, отдельные политики можно разработать в отношении обработки персональных данных сотрудников, видеонаблюдения, cookies. 
В политике (политиках) нужно наглядно (например, в виде таблицы) привести соотношение целей и оснований обработки персональных данных, субъектов персональных данных, перечня персональных данных и сроков обработки.
Доступ неограниченного круга лиц к политике обоснован, когда политика касается обработки персональных данных посетителей сайта, пользователей сервиса и т.д. Такая политика размещается на сайте компании.
Политику обработки персональных данных сотрудников компании нет необходимости  размещать на сайте компании. Достаточно ознакомить с ней сотрудников. Для этого ее публикуют в общедоступных местах, в том числе онлайн.
Шаг 4. Проверить, ознакомлены ли сотрудники и другие лица, которые обрабатывают персональные данные, с требованиями по их защите, с политиками, проводилось ли обучение
Знакомят с требованиями по защите персональных данных, политиками и мерами ответственности за нарушения при обработке персональных данных сотрудников, а также практикантов, стажеров, подрядчиков.
Обучение сотрудников, которые обрабатывают персональные данные, проводится обычно в самой компании, но может проводиться в других организациях, в Национальном центре защиты персональных данных.
После обучения в компании проводят обычно проверку знаний способом, определенным в компании. Это может быть например, тестирование, собеседование.
Шаг 5. Проверить, дополнены ли должностные обязанности лиц, которые обрабатывают персональные данные, положениями об обработке персональных данных, о дисциплинарной ответственности при обработке
Проверяют, есть ли в должностных инструкциях лиц, которые непосредственно обрабатывают персональные данные, положения о том, что они обязаны выполнять требования по обработке персональных данных, которые установлены на уровне государства и на уровне компании.
Шаг 6. Определен ли порядок доступа к персональным данным
Порядок доступа к персональным данным может быть в виде одного документа или нескольких, когда в компании приняты отдельные непересекающиеся бизнес-процессы по обработке персональных данных. Например, при обработке персональных данных в информационных системах, при видеонаблюдении может быть несколько документов о порядке доступа к персональным данным.
Шаг 7. Осуществляется ли техническая и криптографическая защита информации
Если компания владеет информационными ресурсами, которые содержат персональные данные, нужно проверить, поддерживается ли в актуальном состоянии перечень таких ресурсов и категории персональных данных, которые находятся в этих ресурсах.
Шаг 8. Установлен ли и актуален ли перечень уполномоченных лиц, если они имеются
Перечень уполномоченных лиц часто ведут в виде таблицы, в которой перечислены в частности, уполномоченные лица, перечень персональных данных, которые они обрабатывают, цели их обработки.
Шаг 9. Требуется ли вносить сведения в Реестр операторов персональных данных
Компании, которые имеют информационные ресурсы, системы, в которых обрабатывают персональные данные, не всегда вносят сведения об этих ресурсах и системах в Реестр операторов. В Реестр нужно вносить сведения только в определенных случаях:

• При трансграничной передаче персональных данных, когда в иностранном государстве не обеспечен нужный уровень защиты персональных данных.
• При обработке биометрических, генетических персональных данных.
• При обработке персональных данных более 100 тыс. физических лиц.
• При обработке персональных данных более 10 тыс. физических лиц до 16 лет.

Шаг 10. Проверить, как фиксируется информация о передаче персональных данных третьим лицам.
Фиксация такой информации полезна для предоставления физическим лицам информации об обработке их персональных данных. Обычно для такой цели ведут таблицы в электронном виде, системы логирования в электронных ресурсах. Из этих источников должно быть понятно, кому, когда, на каком основании и какие персональные данные передавала компания-оператор.
Шаг 11. Определен ли порядок реагирования на инциденты — нарушения в защите персональных данных и уведомления об этом Национального центра защиты персональных данных
У оператора есть обязанность — уведомлять Национальный центр защиты персональных данных о нарушениях систем защиты персональных данных немедленно, не позднее 3 рабочих дней после того, как оператору стало известно о нарушениях.
Если за нарушением не последовало незаконное распространение персональных данных, изменение или уничтожение их, то можно не направлять уведомление.
Шаг 12. Определен ли порядок хранения, удаления, блокирования персональных данных
К удалению персональных данных относятся действия по уничтожению носителей данных или действия, в итоге которых нельзя восстановить персональный данные в информационном ресурсе (системе). Порядок удаления зависит от того, на каких носителях хранятся персональные данные. При определении срока хранения персональных данных нужно руководствоваться сроками хранения документов, установленными государством.

Как определить, достаточно ли сделано для защиты персональных данных

Следование всем шагам может говорить о том, что обработка персональных данных в компании в целом соответствует установленным требованиям. Однако нет единого подхода для всех компаний-операторов. В каждой компании присутствуют свойственные только ей риски, поэтому при внутреннем контроле за обработкой персональных данных нужно сопоставить принятые меры по защите персональных данных с рисками, свойственными именно этой компании. Такой подход называется «риск-ориентированный подход». 

При внутреннем контроле за обработкой персональных данных DPO может обнаружить риски в отдельных бизнес-процессах. Выявить риски может и проверка со стороны Национального центра защиты персональных данных, а также жалобы физических лиц по вопросам обработки их персональных данных.

На основании этой информации DPO информирует руководство компании о рисках при обработке персональных данных и предлагает меры по минимизации этих рисков, дополнительные к имеющимся меры по защите персональных данных.

Чем мы можем быть полезны при организации внутреннего контроля за обработкой персональных данных

Наши юристы и специалисты по информационной безопасности — опытные специалисты в сфере внутреннего контроля за обработкой персональных данных и защиты информации о персональных данных.

Мы можем: 

1. Проконсультировать вас по вопросам осуществления внутреннего контроля за обработкой персональных данных.
2. Провести внутренний аудит бизнес-процессов, связанных с обработкой персональных данных и дать рекомендации по организации защиты персональных данных в компании.
3. Проанализировать бизнес-процессы по обработке персональных данных и предложить оптимальный способ организации внутреннего контроля за их обработкой.
4. Разработать должностные инструкции для лиц, непосредственно обрабатывающих персональные данные и для DPO.
5. Разработать пакет документов по внутреннему контролю за обработкой персональных данных.
6. Представить ваши интересы в государственных органах.

Свяжитесь с нами 

Если у Вас возникли вопросы или споры в отношении внутреннего контроля за обработкой персональных данных— мы будем рады Вам помочь! Наш многолетний опыт в области выплат дивидендов поможет Вам в разрешении и урегулировании любых спорных ситуаций в этой области.

• +37529366-44-77 (WhatsApp, Viber, Telegram);
• info@ambylegal.by.