Разработка политики обработки персональных данных: проводим анализ

Подготовка политики обработки персональных данных — одна из обязанностей операторов в соответствии с Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных». Однако при ее составлении нужно учитывать много нюансов. В данном материале мы даем рекомендации в отношении того, какие шаги стоит предпринять и на какие моменты обратить внимание организациям здравоохранения при составлении такого документа.

Поторская Алёна

Ведущий юрист «REVERA»

Опимах Ольга

Юрист REVERA

1189 Shape 1 copy 6Created with Avocode.

Согласно Закону Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон о персональных данных) издание документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных (далее — Политика обработки персональных данных), является одной из обязательных мер по обеспечению защиты персональных данных (далее — ПД).

Основное назначение Политики обработки персональных данных — разъяснитьсубъектам ПД, кто собирает, использует или иным образом обрабатывает их ПД, в каком объеме и для каких целей осуществляется обработка, какие права есть у субъектов в связи с этим и каков механизм реализации их прав.

Справочно: при составлении Политики обработки персональных данных необходимо руководствоваться следующими документами:
Законом о персональных данных;
– Рекомендациями от 07.12.2021 по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных (далее — Рекомендации), подготовленными Национальным центром защиты персональных данных (далее — НЦЗПД).

Необходимость руководствоваться Законом о персональных данных обусловлена тем, что в данном законе:

  • закреплены основные дефиниции;
  • определены общие принципы обработки ПД;
  • названы правовые основания, на которых может осуществляться обработка ПД;
  • установлены права субъектов ПД и т. д.

Что же необходимо предпринять организации здравоохранения при подготовке Политики обработки персональных данных? В первую очередь следует проанализировать процессы обработки ПД.

Анализ процессов обработки ПД

Перед написанием самой Политики обработки персональных данных необходимо определить те ключевые точки, в которых организация имеет дело с ПД. Ситуации, в которых организация здравоохранения может столкнуться с обработкой ПД, представлены на схеме.

Схема

Возможные случаи возникновения необходимости обработки ПД

Для того чтобы определить процесс обработки ПД для каждого случая, можно составить реестр обработки ПД в организации. Реестр позволит структурировать информацию и упростит написание Политики обработки персональных данных, т. к. все необходимые сведения о процессах обработки ПД уже будут собраны в одном месте.

Реестр ПД

Структуру такого реестра каждая организация здравоохранения может определить самостоятельно, но авторы настоящей статьи рекомендуют прописать в реестре следующее:

  • цель обработки ПД;
  • категории субъектов ПД, чьи данные обрабатываются;
  • перечень ПД;
  • правовое основание для обработки;
  • срок хранения ПД;
  • лица, которым поручается обработка ПД (уполномоченные лица);
  • лицо (подразделение), ответственное за обработку ПД в организации.

Цель обработки

Определение цели обработки — это отправная точка при разработке реестра. Согласно Рекомендациям перечень ПД, правовое основание для их обработки и иное указываются в отношении каж­дой конкретной цели.

Цели обработки ПД могут основываться на:

  • требованиях законодательства;
  • положениях договоров;
  • вытекать из осуществляемой организацией деятельности.

Важно
Цели должны быть конкретными и позволять субъекту ПД понять, для чего будут обрабатываться его ПД.

Примеры сформулированной цели:

  • оказание платных медицинских услуг на основании договора, заключенного с субъектом ПД;
  • получение обратной связи от пациента о качестве оказанных ему услуг и т. д.

Руководителю на заметку
Не допускается указание абстрактных или общих целей, которые не определяют пределов обработки и не позволяют субъекту ПД понять, для чего будут обрабатываться его ПД.

Так, не соответствуют критерию конкретности следующие формулировки:

  • для совершенствования деятельности организации;
  • для разработки новых услуг;
  • для достижения общественно значимых целей.

Категории субъектов

В качестве субъектов ПД могут быть указаны: работники (в т. ч. уволенные); их родственники (члены семьи); соискатели на должность; контрагенты организации здравоохранения; посетители организации здравоохранения; пациенты; пользователи сайта организации и т. д.

Перечень ПД

Перечень ПД может быть прописан путем перечисления обрабатываемых ПД, отсылки к акту законодательства, перечисляющему ПД или устанавливающему форму ПД, а также через критерии, очерчивающие объем обрабатываемых данных.


ПРИМЕР

Перечень ПД можно сформулировать в следующем формате:
•   генетические ПД;
•   фотографии, изображения с камер видеонаблюдения, записи голоса;
•   информация, составляющая врачебную тайну в соответствии со ст. 46 Закона о здравоохранении.


Правовое основание

Закон о персональных данных устанавливает закрытый перечень правовых оснований обработки ПД.

Важно
Надлежащим основанием для обработки ПД в отношении каж­дой конкретной цели может быть только одно основание, перечисленное в Законе о персональных данных.

Закон о персональных данных разграничивает основания обработки специальных ПД и иных ПД (не относящихся к специальным).

Справочно:абз. 12 ст. 1 Закона о персональных данных закрепляет понятие специальные ПД — это ПД, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические ПД.
Абзацем 2 ст. 1 Закона о персональных данных предусмотрено понятие биометрических ПД. Биометрические ПД — это информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
В абз. 4 ст. 1 Закона о персональных данных содержится понятие генетических ПД. Так, генетические ПД — это информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.

Правовые основания обработки специальных ПД в организации здравоохранения — это:

Правовые основания обработки иных категорий ПД (не относящихся к специальным) — это:

  • согласие (ст. 5 Закона о персональных данных);
  • иные основания, не связанные с согласием, — их всего 20 (ст. 6 Закона о персональных данных).

Руководителю на заметку
Согласие — это последнее основание, к которому необходимо обращаться, если все иные основания, перечисленные в Законе о персональных данных, не являются надлежащими в отношении конкретной цели.

Основания для обработки ПД, не связанные с получением согласия (как для специальных ПД, так и для иных категорий ПД), наиболее актуальные для организаций здравоохранения, представлены в таблице.

Таблица

Правовые основания обработки ПД без получения согласия

Срок хранения ПД

Срок хранения ПД может быть установлен следующими способами:

  • точный срок (дата или период времени), к примеру: 1 год, до 31 декабря 2022 г. и иное;
  • с помощью критериев для определения срока, к примеру: 1 год с момента последнего взаимодействия пациента с организацией здравоохранения.

Уполномоченные лица

Анализ данного показателя проводится в том случае, если обработка ПД поручается организацией здравоохранения другому лицу от имени или в интересах организации.

Например, организацией могут быть привлечены сторонняя специализированная компания или индивидуальный предприниматель для ведения бухгалтерского учета, обеспечения охраны труда, кадрового и воинского учета в организации. В таком случае данные компании будут выступать уполномоченными лицами.

Ответственные за обработку ПД

В зависимости от конкретной цели обработки ответственными за обработку ПД могут выступать бухгалтерия, специалист по кадрам, служба охраны труда, лицо, ответственное за осуществление внутреннего контроля за обработкой ПД, и иные.

Форма реестра

Реестр можно вести в произвольной форме, например в виде таблицы.

Руководителю необходимо обратить внимание на то, что полноценный реестр должен отражать все цели обработки ПД. Составление реестра и проведение анализа вышеуказанных вопросов поспособствуют более грамотной разработке Политики обработки персональных данных в организации здравоохранения.

От редакции
Выдержка из возможной формы ре­естра организации здравоохранения


1189 Shape 1 copy 6Created with Avocode.
Последнее
по теме
• • •

Что должна содержать выписка из медицинских документов, чтобы исключить излишнюю обработку персональных данных?

Руководитель. Здравоохранение № 10 (142) 2024
Shape 1 copy 6Created with Avocode. 124
Задать вопрос в редакцию
Заказать звонок