Что должен сделать оператор для защиты персональных данных: 9 обязательных шагов
Рекомендации операторам и уполномоченным лицам для защиты обрабатываемых персональных данных опубликовал Национальный центр защиты персональных данных.
Оператор – это госорган, юрлицо РБ, иная организация, физлицо, в т.ч. ИП, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
Уполномоченное лицо – госорган, юрлицо РБ, иная организация, физлицо (ИП), которые в соответствии с актом законодательства, решением госоргана, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах.
Рекомендации НЦЗПД для операторов (уполномоченных лиц)
1. Назначить структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных (ПД), определить его должностные обязанности.
2. Выявить и зафиксировать бизнес-процессы организации, в которых используются ПД, и проанализировать их на предмет соответствия требованиям законодательства о ПД.
3. Издать документы, определяющие политику в отношении обработки ПД, и обеспечить неограниченный доступ к данной политике, в т.ч. с использованием глобальной компьютерной сети Интернет.
4. Разработать необходимые локальные правовые акты, например:
– перечень лиц, имеющих доступ к ПД;
– перечень собственных информационных ресурсов, содержащих ПД;
– перечень уполномоченных лиц, если обработка ПД осуществляется такими лицами;
– порядок удаления ПД и др.
5 Внести изменения в должностные обязанности лиц, обрабатывающих ПД.
6 Ознакомить работников и иных лиц, непосредственно осуществляющих обработку ПД, с положениями законодательства о ПД.
7. Организовать обучение лиц, непосредственно осуществляющих обработку ПД, и лиц, ответственных за осуществление внутреннего контроля за обработкой ПД.
8. Реализовать организационные и технические меры по обеспечению реализации прав субъектов ПД.
9. Осуществить техническую и криптографическую защиту ПД в соответствии с классификацией информационных ресурсов (систем), содержащих ПД.