Подготовка политики обработки персональных данных — одна из обязанностей операторов в соответствии с Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных». Однако при ее составлении нужно учитывать много нюансов. В данном материале мы даем рекомендации в отношении того, какие шаги стоит предпринять и на какие моменты обратить внимание организациям здравоохранения при составлении такого документа.
Согласно Закону Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон о персональных данных) издание документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных (далее — Политика обработки персональных данных), является одной из обязательных мер по обеспечению защиты персональных данных (далее — ПД).
Основное назначение Политики обработки персональных данных — разъяснитьсубъектам ПД, кто собирает, использует или иным образом обрабатывает их ПД, в каком объеме и для каких целей осуществляется обработка, какие права есть у субъектов в связи с этим и каков механизм реализации их прав.
Справочно: при составлении Политики обработки персональных данных необходимо руководствоваться следующими документами:
– Законом о персональных данных;
– Рекомендациями от 07.12.2021 по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных (далее — Рекомендации), подготовленными Национальным центром защиты персональных данных (далее — НЦЗПД).
Необходимость руководствоваться Законом о персональных данных обусловлена тем, что в данном законе:
Что же необходимо предпринять организации здравоохранения при подготовке Политики обработки персональных данных? В первую очередь следует проанализировать процессы обработки ПД.
Перед написанием самой Политики обработки персональных данных необходимо определить те ключевые точки, в которых организация имеет дело с ПД. Ситуации, в которых организация здравоохранения может столкнуться с обработкой ПД, представлены на схеме.
Схема
Возможные случаи возникновения необходимости обработки ПД
Для того чтобы определить процесс обработки ПД для каждого случая, можно составить реестр обработки ПД в организации. Реестр позволит структурировать информацию и упростит написание Политики обработки персональных данных, т. к. все необходимые сведения о процессах обработки ПД уже будут собраны в одном месте.
Структуру такого реестра каждая организация здравоохранения может определить самостоятельно, но авторы настоящей статьи рекомендуют прописать в реестре следующее:
Определение цели обработки — это отправная точка при разработке реестра. Согласно Рекомендациям перечень ПД, правовое основание для их обработки и иное указываются в отношении каждой конкретной цели.
Цели обработки ПД могут основываться на:
Важно
Цели должны быть конкретными и позволять субъекту ПД понять, для чего будут обрабатываться его ПД.
Примеры сформулированной цели:
Руководителю на заметку
Не допускается указание абстрактных или общих целей, которые не определяют пределов обработки и не позволяют субъекту ПД понять, для чего будут обрабатываться его ПД.
Так, не соответствуют критерию конкретности следующие формулировки:
В качестве субъектов ПД могут быть указаны: работники (в т. ч. уволенные); их родственники (члены семьи); соискатели на должность; контрагенты организации здравоохранения; посетители организации здравоохранения; пациенты; пользователи сайта организации и т. д.
Перечень ПД может быть прописан путем перечисления обрабатываемых ПД, отсылки к акту законодательства, перечисляющему ПД или устанавливающему форму ПД, а также через критерии, очерчивающие объем обрабатываемых данных.
ПРИМЕР
Перечень ПД можно сформулировать в следующем формате:
• генетические ПД;
• фотографии, изображения с камер видеонаблюдения, записи голоса;
• информация, составляющая врачебную тайну в соответствии со ст. 46 Закона о здравоохранении.
Закон о персональных данных устанавливает закрытый перечень правовых оснований обработки ПД.
Важно
Надлежащим основанием для обработки ПД в отношении каждой конкретной цели может быть только одно основание, перечисленное в Законе о персональных данных.
Закон о персональных данных разграничивает основания обработки специальных ПД и иных ПД (не относящихся к специальным).
Справочно:абз. 12 ст. 1 Закона о персональных данных закрепляет понятие специальные ПД — это ПД, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические ПД.
Абзацем 2 ст. 1 Закона о персональных данных предусмотрено понятие биометрических ПД. Биометрические ПД — это информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
В абз. 4 ст. 1 Закона о персональных данных содержится понятие генетических ПД. Так, генетические ПД — это информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
Правовые основания обработки специальных ПД в организации здравоохранения — это:
Правовые основания обработки иных категорий ПД (не относящихся к специальным) — это:
Руководителю на заметку
Согласие — это последнее основание, к которому необходимо обращаться, если все иные основания, перечисленные в Законе о персональных данных, не являются надлежащими в отношении конкретной цели.
Основания для обработки ПД, не связанные с получением согласия (как для специальных ПД, так и для иных категорий ПД), наиболее актуальные для организаций здравоохранения, представлены в таблице.
Таблица
Правовые основания обработки ПД без получения согласия
Срок хранения ПД может быть установлен следующими способами:
Анализ данного показателя проводится в том случае, если обработка ПД поручается организацией здравоохранения другому лицу от имени или в интересах организации.
Например, организацией могут быть привлечены сторонняя специализированная компания или индивидуальный предприниматель для ведения бухгалтерского учета, обеспечения охраны труда, кадрового и воинского учета в организации. В таком случае данные компании будут выступать уполномоченными лицами.
В зависимости от конкретной цели обработки ответственными за обработку ПД могут выступать бухгалтерия, специалист по кадрам, служба охраны труда, лицо, ответственное за осуществление внутреннего контроля за обработкой ПД, и иные.
Реестр можно вести в произвольной форме, например в виде таблицы.
Руководителю необходимо обратить внимание на то, что полноценный реестр должен отражать все цели обработки ПД. Составление реестра и проведение анализа вышеуказанных вопросов поспособствуют более грамотной разработке Политики обработки персональных данных в организации здравоохранения.
От редакции
Выдержка из возможной формы реестра организации здравоохранения
