Сегодня в столице на площадке ”CYBER SECURITY FORUM“ состоялся круглый стол по проблематике кадрового голода в сфере информационной безопасности, формированию профессиональных компетенций и команды.
Ирина Близнюк, начальник управления образовательных услуг и связей с общественностью Центра рассказала участникам мероприятия о ключевых факторах назначения лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в организации.
– Важно учитывать квалификацию и опыт таких специалистов. Это лицо должно обладать достаточными знаниями в области защиты персональных данных, а также опытом работы с нормативными правовыми актами, регулирующими эту сферу. Специалист должен иметь возможность взаимодействовать с различными структурными подразделениями организации и давать обязательные к исполнению указания. Это требует определенного уровня административных полномочий и поддержки со стороны руководства, – подчеркнула Ирина Близнюк.
Она отметила, что должностные обязанности специалиста по внутреннему контролю за обработкой персональных данных определены в Едином квалификационном справочнике должностей служащих (ЕКСД) ”Должности служащих для всех видов деятельности“.
Обсуждали в рамках круглого стола вопросы обучения и сертификации ответственных за информационную безопасность, защиту персональных данных. Своим опытом в этом вопросе делились руководители структурных подразделений по защите информации разных компаний.
Национальный центр защиты персональных данных неоднократно обозначал, что институт ответственного за осуществление внутреннего контроля за обработкой персональных данных является одним из основных инструментов обеспечения надлежащего соблюдения обязанностей, возложенных на организации Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“.
Варианты организации внутреннего контроля за обработкой персональных данных:
- создание отдельного структурного подразделения;
- назначение освобожденного работника (специалиста по внутреннему контролю за обработкой персональных данных);
- возложение дополнительных функций на одного из работников;
- возложение дополнительных функций на нескольких работников или на отдельное структурное подразделение.
Нецелесообразно возложение функций исключительно на специалиста по информационной безопасности. Почему важно не совмещать эту роль с ответственностью за информационную безопасность?
Во-первых, присутствует конфликт интересов. Ответственное лицо за обработку персональных данных должно сосредоточиться на защите прав субъектов данных и соблюдении нормативных, организационных и технических требований, что в большей степени характерно для работы специалиста с юридическим образованием. В свою очередь специалист по информационной безопасности занимается защитой информационных систем от внешних и внутренних угроз.
Во-вторых, совмещение этих ролей может привести к перегрузке одного сотрудника и снижению эффективности выполнения обязанностей. Назначение отдельного лица, ответственного за внутренний контроль за обработкой персональных данных, позволяет обеспечить более эффективное соблюдение требований законодательства и защиту прав субъектов данных.
Назначение отдельного лица (структурного подразделения), ответственного за внутренний контроль за обработкой персональных данных, позволяет обеспечить более эффективное соблюдение требований законодательства и защиту прав субъектов персональных данных.