Персональные данные: обязательные меры для обеспечения безопасности

В прошлом номере журнала мы обозначили, какие меры по обеспечению защиты персональных данных от неправомерных действий предусмотрены законодательством, а также подробно рассмотрели такие обязательные меры, как назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, и издание политики обработки персональных данных.

В продолжение темы остановимся на следующих обязательных мерах по обеспечению защиты персональных данных:

• обеспечение доступа к политике обработки персональных данных;
• ознакомление работников:
  • с положениями законодательства о персональных данных;
  • политикой обработки персональных данных;
• обучение работников;
• установление порядка доступа к персональным данным;
• осуществление технической и криптографической защиты персональных данных;
• меры, предусмотренные подп. 3.5 п. 3 Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» (в ред. от 05.02.2024, далее — Указ № 422).

Обеспечение доступа к политике обработки персональных данных

Политика обработки персональных данных должна поддерживаться в актуальном состоянии и размещаться:

• на корпоративном сайте (как правило, на странице не ниже второго уровня);
• иных интернет-­ресурсах (мобильном приложении);
• информационных стендах.

Ознакомление работников

Для ознакомления работников с положениями законодательства о персональных данных, политикой обработки персональных данных в организации здравоохранения необходимо организовать обучающие и информационные семинары. Вопросы, касающиеся защиты персональных данных, целесообразно регулярно озвучивать на производственных совещаниях.

Обучение работников

Подпунктом 1.1 п. 1 приказа Опера­тивно-­аналитического центра при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных» (в ред. от 23.11.2023) предусмотрено, что лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, выполняющие эти функции в организациях здравоохранения, проходят обучение в Национальном центре защиты персональных данных по вопросам защиты персональных данных по образовательной программе повышения квалификации руководящих работников и специалистов.

Соответственно, руководитель организации здравоохранения должен направить на обучение таких специалистов.

Обучение проводится не реже одного раза в пять лет (абз. 1 подп. 3.3 п. 3 Указа № 422).

Установление порядка доступа к персональным данным

Функцию осуществления доступа к персональным данным необходимо предусмотреть в должностных обязанностях работников.

Целесообразно также издать ЛПА, в котором определить порядок:

• изменения и прекращения прав доступа к персональным данным;
• предоставления временного доступа к персональным данным.

Доступ к персональным данным необходимо устанавливать исходя из их категорий и целей обработки.

Осуществление технической и криптографической защиты персональных данных

Техническая и криптографическая защита информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам, регулируется Положением о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено (утв. приказом Оперативно-­аналитического центра при Президенте Республики Беларусь от 20.02.2020 № 66, в ред. от 29.12.2022, далее — Положение).

Согласно п. 3 Положения комплекс мероприятий по технической и криптографической защите информации, подлежащей обработке (сбору, накоплению, вводу, выводу, приему, передаче, записи, хранению, регистрации, уничтожению, преобразованию, отображению) в информационной системе, включает:

• проектирование системы защиты информации;
• создание системы защиты информации;
• аттестацию системы защиты информации;
• обеспечение функционирования системы защиты информации в процессе эксплуатации информационной системы;
• обеспечение защиты информации в случае прекращения эксплуатации информационной системы.

Работы по технической и криптографической защите информации у собственника (владельца) информационной системы могут выполняться:

• подразделением защиты информации или иным подразделением (должностным лицом), ответственным за обес­печение защиты информации;
• организациями, имеющими лицензии на осуществление деятельности по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ и (или) услуг (далее — специализированные организации).

Физические лица, в т. ч. индивидуальные предприниматели, являющиеся собственниками (владельцами) информационных систем, в которых обрабатываются персональные данные, вправе выполнять работы по технической и криптографической защите этих данных самостоятельно (без создания (назначения) подразделения защиты информации или иного подразделения (должностного лица), ответственного за обеспечение защиты информации) либо с привлечением специализированной организации (п. 4 Положения).

Меры, предусмотренные Указом № 422

Подпунктом 3.5 п. 3 Указа № 422 закреплена обязанность операторов, являющихся государственными органами, юридическими лицами и иными организациями, устанавливать и поддерживать в актуальном состоянии:

1) перечень информационных ресурсов (систем), содержащих персональные данные.

В перечень могут быть включены:

• локальная вычислительная сеть;
• бухгалтерская информационная система;
• система электронного документо­оборота;
• корпоративный сайт;
• мобильное приложение;
• корпоративная электронная почта;
• система видеонаблюдения;
• система контроля доступа в здание;

2) категории персональных данных, подлежащие включению в информационные ресурсы (системы).

В соответствии с приказом Национального центра защиты персональных данных Республики Беларусь от 15.11.2021 № 12 «О классификации информационных ресурсов (систем)» информационные ресурсы (системы), содержащие персональные данные, в целях определения предъявляемых к ним требований технической и криптографической защиты персональных данных подразделяются на информационные ресурсы (системы), содержащие:

• общедоступные персональные данные;
• специальные персональные данные (кроме биометрических и генетических персональных данных);
• биометрические и генетические персональные данные;
• персональные данные, не являющиеся общедоступными или специальными;

3) перечень уполномоченных лиц.

При наличии уполномоченных лиц следует сформировать их перечень, в котором указать наименование уполномоченного лица, информационный ресурс и предмет договора.

В организациях здравоохранения чаще всего уполномоченные лица осуществляют техническую поддержку информационной системы (например, корпоративного сайта);

4) срок хранения персональных данных.

В области защиты персональных данных формируются типовые документы, срок хранения которых определен постановлением Министерства юстиции Республики Беларусь от 24.05.2012 № 140 «О перечне типовых документов» (в ред. от 11.01.2023):

• согласия субъектов персональных данных на обработку их персональных данных (срок хранения составляет 1 год; течение срока хранения начинается после окончания срока, на который даются согласия);
• заявления субъектов персональных данных (срок хранения — 1 год);
• уведомления о нарушениях систем защиты персональных данных (срок хранения — 3 года).

От редакции

Поскольку на законодательном уровне перечень документов, которые должны быть в организации здравоохранения, обрабатывающей персональные данные, не определен, предлагаем примерный перечень таких документов (при желании некоторые из них возможно объединить в один).

1. Документ о назначении структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных.

2. Документ, определяющий политику оператора (уполномоченного лица) в отношении обработки персональных данных.

3. Документ о порядке осуществления внутреннего контроля за обработкой персональных данных.

4. Документы, подтверждающие ознакомление работников с положениями законодательства о персональных данных, политикой в отношении обработки персональных данных.

5. Документы, подтверждающие обучение работников и иных лиц, непосредственно осуществляющих обработку персональных данных; ответственных за осуществление внутреннего контроля за обработкой персональных данных.

6. Документ, определяющий порядок доступа к персональным данным.

7. Документ, определяющий перечень информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых является оператор (уполномоченное лицо), и категории персональных данных, подлежащие включению в такие ресурсы (системы).

8. Документ, определяющий перечень уполномоченных лиц, если обработка персональных данных осуществляется уполномоченными лицами.

9. Документ, определяющий срок хранения обрабатываемых персональных данных, порядок их удаления по истечении срока хранения, в т. ч. ответственных за удаление лиц.

10. Должностные инструкции для лиц, обрабатывающих персональные данные.