Относительно недавно на белорусском рынке труда появилась новая профессия – специалист по защите персональных данных, а в начале этого года Единый квалификационный справочник должностей служащих дополнен квалификационной характеристикой специалиста по внутреннему контролю за обработкой персональных данных.
- Какова роль такого специалиста в организации?
- Чем он должен заниматься?
- Что контролировать?
- Какое образование и квалификацию иметь?
- Разберем по порядку.
Для начала важно понимать, что в любой организации, у которой есть свои работники и которая обрабатывает их персональные данные и личную информацию других граждан (обращающихся с заявлениями, с которыми заключаются договоры и т.п.), должно быть назначено лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных. Возможно также создание структурного подразделения, отвечающего за эти вопросы.
Почему это важно? Выделим главные постулаты.
- В организации всегда есть целый ряд процессов, связанных с использованием персональных данных.
- Цели и правовые основания их обработки могут быть различными, круг лиц, которые работают с персональными данными и имеют доступ к ним, может быть достаточно широким. При этом обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям обработки, которая, в свою очередь, должна носить прозрачный характер.
- Важнейший инструмент контроля за обработкой – обеспечение соблюдения прав субъекта персональных данных, предоставленных Законом о защите персональных данных. Эти права есть у каждого гражданина, и воспользоваться он ими может вне зависимости от правового основания обработки персональных данных.
- Принятие конкретных мер по обеспечению комплексной защиты персональных данных, в том числе по технической и криптографической защите, лежит непосредственно на операторе. За их непринятие законодательством предусмотрены меры ответственности.
Работа непростая, многозадачная, требующая должного внимания и контроля реализации.
Помочь в этом призван специалист или структурное подразделение, которые погружены во все этапы работы с данными.
Важно понимать, что персональные данные – это ценный актив, который нуждается в не меньшей охране, чем материальные активы организации. Недостаточно внимательное отношение к работе с личной информацией, пренебрежение мерами ее защиты могут повлечь несанкционированный доступ к ним, утечку, распространение этих данных и причинение гражданам других неблагоприятных для них последствий (мошенничество, угрозы и т.п.), а также значительные репутационные и материальные издержки организаций.
Проводимый Центром анализ реализуемых юридическими лицами мероприятий по защите обрабатываемых ими персональных данных показывает, что многие нарушения обусловлены незнанием или ошибочным представлением о допустимых пределах использования и хранения таких данных, неосведомленностью о положениях нормативных правовых актов, регулирующих эти вопросы, и, в целом, нереализацией предусмотренных законодательством обязательных мер по обеспечению защиты персональных данных.
Действенный механизм в этих вопросах – институт внутреннего контроля за соблюдением законодательства о персональных данных, т.е назначение и непосредственная работа профильного структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных.
Именно наличие и реальная работа данного специалиста (структурного подразделения) помогут организации выявить риски, связанные с защитой персональных данных, и предотвратить возможные нарушения законодательства о персональных данных, в том числе их утечку.
Формальный подход к их назначению и созданию условий для обеспечения деятельности просто не допустим.
В целях надлежащего выполнения организацией возложенных на нее Законом о защите персональных данных обязанностей важно обеспечить независимость лица, ответственного за осуществление внутреннего контроля, в том числе посредством предоставления доступа к документам и информации, включая обрабатываемую в информационных системах (ресурсах) в объеме, необходимом для выполнения возложенных на него обязанностей.
Рекомендуется установить непосредственную подчинённость специалистов по внутреннему контролю за обработкой персональных данных руководителю организации или его заместителю.
Какие задачи у специалиста по внутреннему контролю за обработкой персональных данных?
Ответственный за осуществление внутреннего контроля должен:
- осуществлять внутренний контроль за обработкой персональных данных;
- консультировать руководителя и работников по вопросам применения законодательства о персональных данных;
- участвовать в разработке (поддержании в актуальном состоянии) документов, определяющих политику организации в отношении обработки персональных данных;
- вести или осуществлять координацию ведения реестра обработки персональных данных;
- участвовать в обучении работников организации, осуществляющих обработку персональных данных по вопросам защиты персональных данных (в том числе разработка тестов, иных заданий, их проверка и т.п.);
- участвовать в рассмотрении заявлений субъектов персональных данных;
- в случае необходимости взаимодействовать с Национальным центром защиты персональных данных;
- выполнять иные функции, связанные с обеспечением комплексной работы по соблюдению законодательства о персональных данных.
Подробно с квалификационной характеристикой специалиста по внутреннему контролю за обработкой персональных данных можно ознакомиться в Едином квалификационном справочнике должностей служащих.
Какое образование и квалификацию должен иметь специалист?
Эта должность совсем новая и подготовка профильных специалистов по внутреннему контролю за обработкой персональных данных на уровне высшего образования по объективным обстоятельствам пока не осуществляется.
Квалификационной характеристикой установлено, что такой специалист должен иметь высшее образование. При этом требования к специальности и стажу работы не предъявляются.
Кроме того, принимаемые меры по обеспечению защиты персональных данных зависят в том числе от сферы деятельности, объема обрабатываемых персональных данных. Поэтому требования к наличию у лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, конкретного направления образования Законом и, соответственно, квалификационной характеристикой не установлены.
Для присвоения второй квалификационной категории наряду с высшим образованием уже требуется наличие стажа работы в должности служащего ”Специалист по внутреннему контролю за обработкой персональных данных“ не менее 2 лет, а первой квалификационной категории – такого стажа со второй квалификационной категорией не менее 3 лет.
Безусловно, специалист по внутреннему контролю за обработкой персональных данных должен назначаться c учетом знания законодательства о персональных данных и практики его применения, а также способности выполнять возложенные на него функции.
Есть важный момент относительно обучения таких специалистов. Согласно подпункту 3.3 пункта 3 Указа Президента Республики Беларусь от 28 октября 2021 г. № 422 ”О мерах по совершенствованию защиты персональных данных“ операторы (уполномоченные лица) организуют не реже одного раза в пять лет прохождение в Национальном центре защиты персональных данных обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных, в том числе категориями лиц, определенными Оперативно-аналитическим центром при Президенте Республики Беларусь.
Согласно приказу ОАЦ от 12 ноября 2021 г. № 194 ”Об обучении по вопросам защиты персональных данных“ в Национальном центре защиты персональных данных должны проходить соответствующее обучение по образовательной программе повышения квалификации руководящих работников и специалистов лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, выполняющие эти функции:
- в банках и небанковских кредитно-финансовых организациях;
- в страховых организациях;
- у операторов электросвязи (за исключением индивидуальных предпринимателей);
- в республиканской и территориальных организациях по государственной регистрации недвижимого имущества, прав на него и сделок с ним;
- в Белорусской нотариальной палате, областных (Минской городской) нотариальных палатах;
- в риэлтерских организациях;
- в организациях здравоохранения;
- в местных исполнительных и распорядительных органах (за исключением сельских (поселковых) исполнительных комитетов), их структурных подразделениях с правами юридического лица;
- у операторов (уполномоченных лиц), организующих и (или) осуществляющих обработку персональных данных не менее 10 тыс. физических лиц, за исключением персональных данных работников этих операторов (уполномоченных лиц) в процессе осуществления трудовой (служебной) деятельности.
Сегодня Национальным центром защиты персональных данных и Институтом информационных технологий Белорусского государственного университета информатики и радиоэлектроники ведется активная работа по открытию в ближайшее время на базе университета новой специальности переподготовки ”Защита персональных данных“ на уровне высшего образования, обеспечивающей получение квалификации ”специалист по безопасности данных“.
Какие есть варианты назначения лица в организации, ответственного за внутренний контроль?
Это может быть реализовано следующим образом:
- освобожденный работник (структурное подразделение) – особо актуально в случае масштабной обработки персональных данных, а также для организаций, работающих с большим объемом ”чувствительных“ данных, к примеру, касающихся здоровья, генетических и биометрических данных, специальных персональных данных, данных о финансовом состоянии и имущественных правах;
- возложение дополнительных функций на одного из работников организации. При этом для такого лица обработка персональных данных не должна быть основным видом деятельности, что призвано исключить потенциальный конфликт интересов. В связи с этим следует исключить назначение ответственного за осуществление внутреннего контроля из числа руководителей организации (их заместителей), а также структурных подразделений или работников, основные функции которых связаны с обработкой большого объема персональных данных (например, кадровые и бухгалтерские службы, структурные подразделения по обращениям граждан и т.п.). Кроме того, у назначенного работника должна быть объективная возможность выполнять соответствующие функции с учетом уже имеющихся должностных обязанностей;
- возложение дополнительных функций на нескольких работников: на одного (например, юрисконсульт) – в части организационных и правовых мер, на другого (например, специалист по информационной безопасности) – в части мер по технической и криптографической защите персональных данных. При таком варианте требуется четкое распределение функций между указанными лицами, исключение противоречий в их деятельности. При этом, как и в предыдущем варианте, у назначенного работника должна быть объективная возможность выполнять соответствующие функции с учетом уже имеющихся должностных обязанностей.
Нецелесообразно возлагать соответствующие функции исключительно на ответственного за обеспечение защиты информации или инженера (программиста, системного администратора, специалиста по информационной безопасности и т.п.).
Национальный центр защиты персональных данных напоминает, что назначение ответственного лица или структурного подразделения за осуществление внутреннего контроля, – это обязательная мера согласно пункту 3 статьи 17 Закона о защите персональных данных.
Ее реализация необходима для надлежащего и оперативного решения всех вопросов, связанных с защитой персональных данных в организации.
Важно обратить внимание, что в связи с назначением ответственного за осуществление внутреннего контроля ни оператор, ни уполномоченное лицо, ни работники организации, непосредственно осуществляющие обработку персональных данных, не освобождаются от ответственности, предусмотренной законодательными актами, за допущенные ими нарушения в этой сфере.