Защита персональных данных: действия руководителя организации здравоохранения

Прошло почти три года с момента вступления в силу Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон), который активно реализуется во всех сферах экономики, в т. ч. в здравоохранении. Большинство руководителей организаций здравоохранения хорошо ориентируются в самом понятии «персональные данные», в вопросах обработки и предоставления персональных данных, но часто недостаточное внимание уделяют защите таких данных. Рассмотрим, какие действия должен предпринять и предусмотреть руководитель организации здравоохранения для того, чтобы обеспечить защиту персональных данных от любого рода незаконных посягательств.

Виды мер по обеспечению защиты персональных данных

Пунктом 1 ст. 17 Закона установлено, что оператор (уполномоченное лицо) для обеспечения защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных обязан принимать следующие меры:

• правовые;
• организационные;
• технические.

Кроме того, меры по защите персональных данных можно подразделить:

• на обязательные;
• рекомендуемые;
• возможные.

Обязательные меры

В соответствии с п. 5 ст. 17 Закона, подп. 3.5 п. 3 Указа Президента Респуб­лики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» (в ред. от 05.02.2024) к обязательным мерам по обеспечению защиты персональных данных относятся:

1) назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

2) издание политики обработки персональных данных;

3) обеспечение доступа к политике обработки персональных данных;

4) ознакомление работников:

• с положениями законодательства о персональных данных;
• политикой обработки персональных данных;

5) обучение работников;

6) установление порядка доступа к персональным данным;

7) осуществление технической и криптографической защиты персональных данных;

8) установление:

• перечня информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых является оператор;
• категорий персональных данных, подлежащих включению в такие ресурсы (системы);
• перечня уполномоченных лиц;
• сроков хранения обрабатываемых персональных данных.

Рассмотрим указанные меры более подробно.

Назначение ответственного лица

Ответственными за осуществление внутреннего контроля за обработкой персональных данных могут быть:

• структурное подразделение;
• специально назначенное лицо (освобожденный работник).

Возможен вариант, когда дополнительные обязанности возлагаются на одного или несколько работников либо на структурное подразделение (несколько структурных подразделений).

При назначении ответственного лица необходимо учитывать следующие рекомендации:

• не допускать конфликта интересов: функции контролера и обработчика персональных данных не может выполнять одно лицо;
• ответственными за внутренний контроль не могут быть руководители организаций здравоохранения и их заместители;
• нецелесообразно назначать лиц, ответственных за внутренний контроль, в каждом структурном подразделении;
• нежелательно назначать ответственным за внутренний контроль специалиста по информационной безопасности.

По нашему мнению, в крупных организациях здравоохранения лучшим вариантом будет введение отдельной должности специалиста по внутреннему контролю за обработкой персональных данных.

В настоящее время раздел II «Специалисты» выпуска 1 ЕКСД «Должности служащих для всех видов деятельности» (утв. постановлением Министерства труда Республики Беларусь от 30.12.1999 № 159, в ред. от 26.07.2024) содержит квалификационную характеристику специалиста по внутреннему контролю за обработкой персональных данных. Требования к наличию конкретного профильного образования не установлены, установлено лишь, что такой специалист должен иметь высшее образование.

При подборе кандидата на указанную должность руководителю организации здравоохранения целесообразно руководствоваться следующими критериями:

• преимущество отдавать специалисту с наличием высшего юридического образования;
• специалист должен знать законодательство о персональных данных и практику его применения;
• специалист должен понимать процессы, в которых используются персональные данные;
• специалист должен иметь представление об используемых информационных системах.

Должностные обязанности специалиста по внутреннему контролю за обработкой персональных данных достаточно обширные: он выполняет организационные, консультативные, контрольные, информационно-­образовательные и иные функции, связанные с обеспечением комплексной работы по соблюдению законодательства о персональных данных. Перечень обязанностей, относящихся к каждой из функций, представлен в табл.

Таблица 

Функции специалиста по внутреннему контролю за обработкой персональных данных

Для успешного выполнения возложенных функций специалисту по внутреннему контролю за обработкой персональных данных нужно предоставить доступ к документам и информации, в т. ч. обрабатываемой в информационных системах (ресурсах), в объеме, необходимом для выполнения возложенных на него обязанностей. Такой специалист должен подчиняться непосредственно руководителю организации или его заместителю.

Издание политики обработки персональных данных

Политика обработки персональных данных представляет собой один или несколько документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных.

Это важно
Политика обработки персональных данных должна быть написана простым и доступным языком.

В ней необходимо отразить:

• цели, правовые основания обработки;
• круг обрабатываемых персональных данных;
• особенности обработки персональных данных у конкретного оператора (уполномоченного лица).

Политика обработки персональных данных должна содержать ответы на вопросы о том, кем, как и для каких целей собираются, используются или иным образом обрабатываются персональные данные. Следует избегать излишнего цитирования актов законодательства, использования большого числа специальных терминов, подробного описания технических аспектов обработки персональных данных.

В политику обработки персональных данных рекомендуется включить следующую информацию:

• общие положения: наименование оператора (уполномоченного лица), основные понятия, отражающие специфику обработки у него персональных данных (при их наличии), сферы, на которые распространяется действие политики;
• цели и правовые основания обработки персональных данных. Цели должны соответствовать критерию конкретности: «обеспечение пропускного режима», «идентификация зарегистрированного пользователя», «направление субъекту персональных данных уведомлений», «заключение, исполнение, изменение и расторжение определенного договора», «осуществление административных процедур», «рассмотрение обращений» и т. п.;
• категории субъектов персональных данных, чьи данные подвергаются обработке, а также перечень обрабатываемых персональных данных. Перечень может быть сформирован путем перечисления персональных данных, отсылки к акту законодательства, закрепления критериев, определяющих объем обрабатываемых данных;
• порядок и условия обработки персональных данных, в т. ч. срок их хранения;
• права субъектов персональных данных и механизм их реализации. При перечислении прав субъектов персональных данных описывается механизм подачи соответствующих заявлений, порядок рассмотрения этих заявлений. Указываются данные лица (структурного подразделения), ответственного за осуществление внутреннего контроля за обработкой персональных данных, к которому можно обратиться за содействием в реализации прав субъекта персональных данных;
• о трансграничной передаче персональных данных.

От редакции

Мы продолжим освещать вопросы защиты персональных данных в ближайшем номере журнала.