Часть мер, принимаемых руководителем на локальном уровне для обеспечения защиты персональных данных, была рассмотрена в предыдущем номере журнала, однако некоторые вопросы остались не раскрытыми, в частности:
- установление порядка доступа к персональным данным;
- вопросы технической и криптографической защиты персональных данных;
- порядок прекращения обработки персональных данных.
Именно о данных мерах поговорим далее.
Установление порядка доступа
Порядок доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе), целесообразно установить в Положении об обработке персональных данных.
Примерный образец Положения об обработке персональных данных
Руководителю необходимо учесть, что в Положении об обработке персональных данных обязательно должны быть отражены следующие вопросы:
- категории субъектов персональных данных;
- содержание и объем персональных данных;
- цели обработки персональных данных;
- правила обработки персональных данных;
- порядок получения согласия, отзыва согласия субъекта персональных данных и форма их получения, включая утверждение такой формы;
- хранение персональных данных;
- порядок использования, предоставления и распространения персональных данных;
- права и обязанности субъектов персональных данных;
- обязанности оператора (лиц, ответственных за обработку персональных данных);
- меры по обеспечению защиты персональных данных;
- обжалование действий (бездействия) и решений оператора и т. д.
При этом необходимо помнить, что для обработки персональных данных в некоторых случаях требуется получить согласие субъекта. Перед получением такого согласия оператору следует учесть некоторые особенности. Рассмотрим данные особенности для оптимизации вашей работы при организации защиты персональных данных.
Предоставление информации
До получения согласия субъекта персональных данных оператор обязан в устной, письменной либо электронной форме, соответствующей форме выражения такого согласия, предоставить субъекту персональных данных информацию, представленную на схеме.
Схема
Информация, предоставляемая субъектам персональных данных
Исключительно в письменном виде данная информация предоставляется пациентам или лицам, указанным в ч. 2 ст. 18 Закона о здравоохранении. Пользователям сайта организации здравоохранения указанная информация предоставляется в электронном виде.
Мнение автора
Представляется обоснованной подготовка для субъекта персональных данных соответствующего уведомления, содержащего указанную информацию.
Разъяснение прав
Оператор перед получением согласия обязан простым и ясным языком разъяснить субъекту персональных данных:
- его права, связанные с обработкой персональных данных;
- механизм реализации таких прав;
- последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия.
Эта информация должна быть предоставлена оператором субъекту персональных данных в устной, письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.
Исключительно в письменном виде данная информация предоставляется пациентам или лицам, указанным в ч. 2 ст. 18 Закона о здравоохранении.
Когда согласие субъекта не требуется
Статьей 6 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон о персональных данных) определен перечень случаев, когда согласие субъекта персональных данных не испрашивается. Например, согласие не требуется в следующих случаях:
- для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
- в целях осуществления контроля (надзора) в соответствии с законодательными актами;
- при реализации норм законодательства в области национальной безопасности, о борьбе с коррупцией, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения;
- для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в т. ч. профессионального пенсионного страхования;
- при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
- при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
- в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
- в случаях, когда Законом о персональных данных и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.
Статья 8 Закона о персональных данных определяет порядок обработки специальных персональных данных.
Важно
Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением случаев, предусмотренных п. 2 ст. 8 Закона о персональных данных.
В соответствии с п. 2 ст. 8 Закона о персональных данных согласие субъекта персональных данных на обработку специальных персональных данных не требуется:
- если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;
- при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
- в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну;
- для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
- в целях обеспечения функционирования единой государственной системы регистрации и учета правонарушений;
- для осуществления административных процедур;
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
- в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
- в случаях, когда Законом о персональных данных и иными законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.
Мнение автора
В соответствии с ч. 13 ст. 44 и ч. 3 ст. 51 Закона о здравоохранении Министерством здравоохранения Республики Беларусь принято постановление от 07.06.2021 № 74 «О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента» (далее — постановление № 74), которое утвердило форму согласия на внесение и обработку персональных данных пациента.
Представляется, что форма согласия, утвержденная постановлением № 74, будет актуализирована с учетом вступившего в силу с 15 ноября 2021 г. Закона о персональных данных и принятых в его развитие актов законодательства.
Необходимо помнить, что оператор (уполномоченное лицо), являющийся юридическим лицом Республики Беларусь, иной организацией, индивидуальным предпринимателем, обязан обеспечить неограниченный доступ, в т. ч. с использованием сети Интернет, к документам, определяющим политику оператора (уполномоченного лица) в отношении обработки персональных данных, до начала такой обработки. Как правило, это реализуется через сайт организации здравоохранения.
Техническая и криптографическая защита
Одной из мер защиты персональных данных является осуществление оператором их технической и криптографической защиты в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
Работу по технической и криптографической защите персональных данных следует организовывать с учетом:
С учетом вышеуказанных нормативных правовых актов рассмотрим, кем могут выполняться работы по технической и криптографической защите информации у собственника (владельца) информационной системы.
Подразделение защиты информации
Выполнять работу по технической и криптографической защите информации может подразделение защиты информации или иное подразделение (должностное лицо), ответственное за обеспечение защиты информации.
Работники такого подразделения или должностное лицо должны иметь высшее образование в области защиты информации либо высшее или профессионально-техническое образование и пройти переподготовку или повышение квалификации по вопросам технической и криптографической защиты информации.
Специализированная организация
Такого рода работы могут выполнять организации, имеющие специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ (далее — специализированные организации).
Физические лица
Защита персональных данных может быть организована физическими лицами (в т. ч. индивидуальными предпринимателями) — собственниками (владельцами) информационных систем, в которых обрабатываются персональные данные, самостоятельно (без создания (назначения) подразделения защиты информации или иного подразделения (должностного лица), ответственного за обеспечение защиты информации) либо с привлечением специализированной организации.
Справочно: в данном случае нужно учитывать ограничения, предусмотренные п. 3 приказа Оперативно-аналитического центра при Президенте Республики Беларусь от 12.11.2021 № 195 «О технической и криптографической защите персональных данных».
Прекращение обработки персональных данных
Обработка персональных данных должна ограничиваться достижением конкретных, заранее заявленных законных целей.
Важно
Согласно ч. 1 п. 4 ст. 4 Закона о персональных данных обработка персональных данных, не совместимая с первоначально заявленными целями их обработки, не допускается.
Согласно абз. 7 п. 1 ст. 16 Закона о персональных данных при отсутствии оснований для обработки персональных данных, предусмотренных данным Законом и иными законодательными актами, оператор персональных данных:
- прекращает обработку персональных данных, а также удаляет или блокирует их;
- обеспечивает прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом.
При этом согласно ст. 13 Закона о персональных данных субъект персональных данных имеет право потребовать прекращения обработки персональных данных, включая их удаление. В таком случае оператор обязан прекратить обработку персональных данных субъекта при отсутствии оснований для обработки персональных данных, предусмотренных Законом о персональных данных и иными законодательными актами.