Новая профессия в Беларуси — специалист по защите данных. Кому она подходит

Источник:
Оксана Кузнецова
12.07.2023 08:00
Вопрос защиты персональных данных остро стоит перед белорусским бизнесом. Только за последнее время стало известно о трех громких случаях утечки данных клиентов крупных компаний в Беларуси. С ноября 2021 года, когда вступил в силу закон «О защите персональных данных», у каждого предприятия появилась обязанность — назначить структурное подразделение или лицо, которое контролирует обработку этих данных. Такая профессия — аналог востребованной должности data protection officer (DPO), которая давно существует в европейских и других странах.
Алена Поторская,
юрист REVERA law group

— Это ответственное лицо играет ключевую роль в обработке организацией персональных данных, — говорит юрист REVERA law group Алена Поторская. — Его цель — предотвратить возможные нарушения законодательства о защите персональных данных со стороны компании.

Такой человек должен:

  • знать законодательство о персональных данных и практику его применения;

  • иметь высшее образование;

  • обладать ресурсами выполнять функции, возложенные на него, в том числе иметь достаточное количество времени для выполнения таких функций;

  • иметь представление об используемых информационных системах, их защите в организации;

  • понимать бизнес-процессы, в которых организация использует персональные данные.

Юлия Бурмистрова,
юрист REVERA law group

— Кроме этого, ответственное лицо должно пройти обучение по вопросам защиты персональных данных, — добавляет юрист REVERA law group Юлия Бурмистрова. — Обучение нужно проходить не реже одного раза в пять лет. Сделать это можно в учреждениях образования и других организациях.

В отдельных случаях — с учетом масштабов обработки и чувствительности обрабатываемых персональных данных — обучение нужно проходить в Национальном центре защиты персональных данных.


Всегда ли нужен главный по персональным данным?

Наши собеседники подчеркивают: ответственное лицо назначается в каждой организации, в том числе в госорганах.

— Сегодня не предусмотрено каких-либо исключений — к примеру, для организаций с небольшим количеством работников или организаций, которые не делают масштабную обработку, — говорят юристы.

Эти требования не распространяются только на физлиц, ИП, адвокатов, нотариусов, ремесленников, репетиторов и медиаторов.

Читайте также:
Защита персональных данных: как бизнесу подготовиться к проверке

Как организовать работу по защите персональных данных. Варианты

По словам юристов REVERA law group, в зависимости от масштаба обработки персональных данных у компаний есть несколько вариантов решения вопроса.

Вариант первый. Создать отдельное структурное подразделение

Кому подходит: крупным организациям, которые обрабатывают большие массивы персональных данных, а также в случаях, если такая обработка предусматривает существенные риски для субъектов персональных данных.

— В состав такого подразделения рекомендуется включать не только юрисконсультов, но и лиц, имеющих техническое образование для комплексного анализа процессов. Количество таких работников зависит от масштабов обработки данных, — объясняет Алена Поторская.

Вариант второй. Ввести в штат отдельного специалиста

Кому подходит: организациям, которые осуществляют масштабную обработку персональных данных, но при условии, что одно лицо все-таки сможет контролировать все процессы обработки.

— Такой специалист должен подчиняться непосредственно директору компании. Это обеспечит независимость сотрудника и позволит ему эффективно выполнять свои обязанности, — отмечает Юлия Бурмистрова.

Вариант третий. Передать эти функции кому-то из работников

Кому подходит: тем, кто работает с небольшим количеством персональных данных.

Правда, юристы делают оговорку: таким работником не может быть любой человек в компании.

Вот требования, которые нужно соблюсти:

— обработка персональных данных не должна быть основным видом деятельности для этого лица, чтобы исключить конфликт интересов. Например, это не могут быть сотрудники отдела кадров или бухгалтерии;

— работник должен иметь объективную возможность выполнять свои функции с учетом своих текущих обязанностей. Нельзя назначить на такую должность того, кто работает на небольшую ставку, если организация обрабатывает большие объемы данных.

Вариант четвертый. Возложить эти функции на нескольких работников

— Например, контроль за выполнением организационных и правовых мер по обработке персональных данных лучше всего возложить на юриста, — считает Алена Поторская. — А вот контроль за обеспечением мер по технической и криптографической защите персональных данных лучше доверить специалисту по информационной безопасности. Он будет отвечать за разработку и внедрение технических мер безопасности, контроль доступа к данным, а также за обнаружение и реагирование на возможные угрозы и нарушения.

А можно нанять специалиста по защите данных по договору подряда?

— К сожалению, нельзя. Функции ответственного лица может выполнять только работник организации, который работает по трудовому договору, — подчеркивает Юлия Бурмистрова.

Но при этом организация может обращаться к внешним консультантам: например, за помощью в организации построения системы защиты персональных данных.

Что делает специалист по защите данных: функционал

  • Организационные функции: изучение и анализ процессов обработки персональных данных, определение рисков, связанных с такой обработкой, разработка и поддержание в актуальном состоянии документов.

  • Консалтинг: консультации и знакомство работников с законодательством о персональных данных.

  • Контроль: проведение проверки по соблюдению требований законодательства о персональных данных в организации;

  • Организация обучения работников по вопросам обработки и защиты персональных данных;

  • Кроме того, такой работник может рассматривать заявления и жалобы субъектов персональных данных (например, клиентов компании), а также взаимодействовать с Национальным центром защиты персональных данных.

А если специалиста по защите данных не будет?

Юристы отмечают, что Национальный центр защиты персональных данных при проверках в 2022 году часто выявлял такие нарушения, как отсутствие на предприятии ответственного лица или формальное возложение обязанностей на кого-то из работников, который не может их выполнять.

За такие нарушения предусмотрен штраф в размере до 50 базовых величин (ч. 4 ст. 23.7 КоАП).

Помимо этого, юристы обращают внимание и на такой важный момент: назначение специалиста по защите данных не освобождает компанию от ответственности при нарушении закона «О защите персональных данных». Если просто: эта ответственность лежит на предприятии в целом, а ответственное лицо отвечает за выполнение своих обязанностей.

Фото: Envato Elements