Организуем комплекс мер по защите персональных данных в организации здравоохранения

Помимо Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон), который закрепляет общие понятия и принципы работы с персональными данными, вопросы персональных данных регулируются Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» (далее — Указ).

Данным Указом:

• создан Национальный центр защиты персональных данных Республики Беларусь;
• утверждено Положение о Национальном центре защиты персональных данных Республики Беларусь (далее — Положение);
• определен ряд обязанностей операторов персональных данных.

Справочно: Национальный центр защиты персональных данных является уполномоченным органом по защите прав субъектов персональных данных.
Учредителем Национального центра защиты персональных данных и государственным органом, осуществляющим от имени Республики Беларусь права собственника имущества этого учреждения, является Оперативно-­аналитический центр при Президенте Республики Беларусь (п. 4 Положения).

Обязанности оператора

Подпунктом 3.5 п. 3 Указа определено, что операторы, являющиеся государственными органами, юридическими лицами Республики Беларусь, иными организациями, устанавливают и поддерживают в актуальном состоянии:

1) перечень информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых они являются;

Справочно: классификация информационных ресурсов (систем), содержащих персональные данные, в целях определения предъявляемых к ним требований технической и криптографической защиты персональных данных установлена приказом Национального центра защиты персональных данных от 15.11.2021 № 12 «О классификации информационных ресурсов (систем).

2) категории персональных данных, подлежащие включению в такие ресурсы (системы).

Как правило, это такие категории, как:

• общедоступные персональные данные;
• специальные персональные данные (кроме биометрических и генетических персональных данных);
• биометрические и генетические персональные данные;
• персональные данные, не являющиеся общедоступными или специальными.

3) перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами;

Справочно: уполномоченное лицо — государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах (ст. 1 Закона).

4) срок хранения обрабатываемых персональных данных.

Это важно
Согласно подп. 3.6 п. 3 Указа операторы обязаны вносить в создаваемый Национальным центром защиты персональных данных государственный информационный ресурс «Реестр операторов персональных данных» сведения об информационных ресурсах (системах), содержащих персональные данные, а также обеспечивать актуализацию соответствующих сведений.

Меры по обеспечению защиты персональных данных

Согласно ст. 17 Закона оператор (уполномоченное лицо) обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Руководителю на заметку
Оператор (уполномоченное лицо) определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных, с учетом требований Закона и иных актов законодательства.

Приведем комплекс обязательных мер по обеспечению защиты персональных данных, который обязан реализовать оператор (уполномоченное лицо):

1) назначить структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, издав соответствующий приказ;

2) подготовить локальные правовые акты, определяющие политику оператора (уполномоченного лица) в отношении обработки персональных данных;

3) ознакомить работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в т. ч. с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также организовать обучение указанных работников и иных лиц в порядке, установленном законодательством;

4) пройти обучение по вопросам защиты персональных данных;

5) установить порядок доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе);

6) осуществить техническую и криптографическую защиту персональных данных в порядке, установленном Оперативно-­аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;

7) прекратить обработку персональных данных в определенных случаях.

Назначение ответственных лиц

Ни Законом, ни иными актами законодательства не установлено, какое именно структурное подразделение или лицо может быть назначено ответственным за осуществление внутреннего контроля за обработкой персональных данных. Следовательно, оператор по своему усмотрению может назначить такое лицо или структурное подразделение.

Представляется обоснованным назначение ответственным работника или структурное подразделение, которые имеют схожие, смежные функции, определенные должностными инструкциями, положениями о структурных подразделениях, соответствующий практический опыт в данной сфере, с учетом вида реализуемых мер.

Мнение автора

Ответственным(-и) лицом(-ами) за осуществление внутреннего контроля за обработкой персональных данных субъектов персональных данных целесообразно назначить заместителя(-ей) руководителя организации здравоохранения (организационный блок).

Ответственное лицо назначается соответствующим приказом. Помимо назначения ответственного лица оператору (уполномоченному лицу) приказом необходимо утвердить:

• перечень лиц, имеющих доступ к персональным данным субъектов персональных данных;
• перечень лиц, осуществляющих обработку персональных данных субъектов персональных данных.

Примерный образец приказа 

Кроме того, руководителю необходимо возложить ряд обязанностей на кад­ровую и юридическую службы.

Так, на кадровую службу (инспектора по кадрам) возлагаются обязанности по:

• ознакомлению работников под рос­пись с требованиями законодательства в сфере обработки и защиты персональных данных и локальными правовыми актами оператора (уполномоченного лица);
• организации направления на обучение по вопросам защиты персональных данных лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, не реже одного раза в пять лет;
• организации внесения в локальные правовые акты (положение о структурном подразделении, должностные инструкции и т. д.) работников отдела автоматизированных систем управления, лиц, имеющих допуск и осуществляющих обработку персональных данных, изменений и дополнений по вопросам защиты персональных данных.

На юридическую службу или юрис­консульта возлагаются обязанности по правовому сопровождению указанной работы, включая участие в подготовке соответствующих локальных правовых актов оператора (уполномоченного лица).

Обязанности по реализации технических мер по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных возлагаются на отдел автоматизированных систем управления (инженера-­программиста и т. д.).

Подготовка локальных правовых актов

Одним из таких документов является политика оператора — организации здравоохранения в отношении обработки персональных данных.

Кроме того, оператор персональных данных может разработать следующие документы:

• шаблон договора, который заключается с субъектом персональных данных, — если оператор персональных данных использует договор в качестве правового основания для обработки персональных данных;
• шаблон договора поручения на обработку персональных данных с уполномоченным лицом — если оператор персональных данных поручает обработку персональных данных уполномоченному лицу.

Ознакомление работников

Оператору необходимо ознакомить работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с:

• положениями законодательства о персональных данных, в т. ч. с требованиями по защите персональных данных;
• документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных.

Мнение автора

Обязанность по ознакомлению работников целесообразно возложить приказом на руководителей структурных подразделений, а при приеме на работу новых работников — на отдел кадров (инспектора по кадрам).

Прохождение обучения

В соответствии с подп. 3.3 п. 3 Указа операторы (уполномоченные лица) организуют не реже одного раза в пять лет прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных

Вопросы обучения регулируются приказом Оперативно-­аналитического центра при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных».

Лица, которые проходят обучение в Национальном центре защиты персональных данных по программе повышения квалификации руководящих работников и специалистов, представлены на схеме.

Схема

Субъекты обучения в Национальном центре защиты персональных данных

Что касается иных лиц, то они проходят обучение:

• в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов, по образовательной программе повышения квалификации руководящих работников и специалистов;
• в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);
• у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки их знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний).

Операторы (уполномоченные лица) до 15 декабря 2021 г., а в последующие годы — до 15 ноября должны обеспечить представление Национальному центру защиты персональных данных информации о количестве лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которым необходимо пройти обучение в Национальном центре защиты персональных данных.

Заключение

Мы рассмотрели лишь часть комплексных мер по организации работы с персональными данными в организации здравоохранения. Вопросы установления порядка доступа к персональным данным, осуществления технической и криптографической защиты персональных данных, а также прекращения обработки персональных данных мы обсудим в последующих публикациях.

От редакции
Продолжение материала о мерах по организации работы с персональными данными читайте в № 1 (2022) журнала «Руководитель. Здравоохранение».