Передача персональных данных подрядчикам: что проверит регулятор
Фото: magnific.com
НЦЗПД разработал чек-лист для оценки рисков при передаче таких данных для обработки уполномоченным лицам (подрядчикам). Документ поможет грамотно организовать взаимодействие с подрядчиками и быть готовым к возможным проверкам регулятора.
Подписывайтесь на Telegram‑канал и Viber. Главное об экономике Беларуси — раньше, чем в новостях TelegramViber
Изучить систему работы с персональными данными в организации-подрядчике до заключения договора
В соответствии с законодательством ответственность за защиту персональных данных при передаче их подрядчику остается на заказчике (операторе). Так что при заключении договора оператору рекомендуется изучить, какие правовые, организационные и технические меры принимаются подрядчиком для обеспечения защиты таких данных. При этом надо заранее продумать, как в рамках сотрудничества с подрядчиком будут выполняться требования закона: по удалению данных, рассмотрению заявлений субъектов персональных данных, уведомлению о нарушении систем защиты персональных данных и т.п.
Оператор может ознакомиться с документами, регулирующими эти вопросы в организации-подрядчике на ее сайте, или в коммуникации с лицом, ответственным за осуществление внутреннего контроля обработки персональных данных (DPO). Еще один вариант – направить чек-лист с предложением дать ответы или предоставить документы. Поскольку не все подрядчики готовы предоставлять по запросу свои внутренние документы, регулятор отмечает, что не противоречит законодательству о персональных данных подход по изучению реализации этих мер как путем запроса конкретных документов (выписок из них), так и путем получения сведений об их реализации (без предоставления копий документов).
Можно ли привлекать к работе подрядчика, не выполняющего весь комплекс требований по защите персональных данных
НЦЗПД поясняет, что закон не исключает возможности привлечения уполномоченного лица, которое не реализует (ненадлежаще реализует) отдельные из обязательных мер по обеспечению защиты персональных данных.
С учетом установленного законом риск-ориентированного подхода, возможность поручения обработки персональных данных уполномоченному лицу оценивается оператором в каждом конкретном случае индивидуально с учетом реализованных им мер, характера поручаемой обработки персональных данных и других складывающихся у него обстоятельств, связанных с такой обработкой.
Контроль со стороны заказчика необходим не только перед заключением договора, но и на всем протяжении его действия
Оператору следует в течение срока действия договора осуществлять контроль за реализацией уполномоченными лицами мер по обеспечению защиты персональных данных, а также проверять возможность исполнения своих обязанностей. Например, по прекращению обработки персональных данных лица в случае утраты оснований для такой обработки.
Порядок (формы, периодичность и т.п.) такого контроля могут быть закреплены в поручении (договоре, соглашении) на обработку персональных данных.
Если бизнес-процесс, связанный с обработкой персональных данных, для уполномоченного лица является типовым, то документы, подтверждающие реализацию мер, могут быть опубликованы на его интернет-сайте либо быть доступны для скачивания в личном кабинете.
Подтверждение прекращения обработки персональных данных по истечении срока договора
В случае прекращения договорных отношений оператор должен иметь возможность подтвердить, что уполномоченное лицо прекратило порученную ему обработку персональных данных. Такое прекращение может быть оформлено соответствующим актом или отчетом.
Структура чек-листа для оценки уровня обеспечения уполномоченным лицом системы защиты персональных данных
Скачайте чек-лист для оценки уровня обеспечения уполномоченным лицом системы защиты персональных данных от несанкционированного или случайного доступа к ним.
Назначение уполномоченным лицом структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
-
издание уполномоченным лицом документов, определяющих его политику в отношении обработки персональных данных;
-
ознакомление работников уполномоченного лица и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных. В том числе с требованиями по защите персональных данных, документами, определяющими его политику в отношении обработки персональных данных. Обучение указанных работников и иных лиц в порядке, установленном законодательством;
-
установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
-
осуществление технической и криптографической защиты персональных данных в порядке, установленном ОАЦ;
-
наличие сведений об информационных ресурсах (системах), содержащих персональные данные в информационном ресурсе «Реестр операторов персональных данных» (для случаев, определенных в законодательстве);
-
обучены ли работники и (или) иные лица, в обязанности которых входит обеспечение информационной безопасности, по образовательной программе повышения квалификации по вопросам технической и (или) криптографической защиты информации;
-
дополнительные меры, принятые для обеспечения защиты персональных данных, которые могут быть изучены.