Новая профессия в Беларуси — специалист по защите данных. Кому она подходит
— Это ответственное лицо играет ключевую роль в обработке организацией персональных данных, — говорит юрист REVERA law group Алена Поторская. — Его цель — предотвратить возможные нарушения законодательства о защите персональных данных со стороны компании.
Такой человек должен:
знать законодательство о персональных данных и практику его применения;
иметь высшее образование;
обладать ресурсами выполнять функции, возложенные на него, в том числе иметь достаточное количество времени для выполнения таких функций;
иметь представление об используемых информационных системах, их защите в организации;
понимать бизнес-процессы, в которых организация использует персональные данные.
— Кроме этого, ответственное лицо должно пройти обучение по вопросам защиты персональных данных, — добавляет юрист REVERA law group Юлия Бурмистрова. — Обучение нужно проходить не реже одного раза в пять лет. Сделать это можно в учреждениях образования и других организациях.
В отдельных случаях — с учетом масштабов обработки и чувствительности обрабатываемых персональных данных — обучение нужно проходить в Национальном центре защиты персональных данных.
Всегда ли нужен главный по персональным данным?
Наши собеседники подчеркивают: ответственное лицо назначается в каждой организации, в том числе в госорганах.
— Сегодня не предусмотрено каких-либо исключений — к примеру, для организаций с небольшим количеством работников или организаций, которые не делают масштабную обработку, — говорят юристы.
Эти требования не распространяются только на физлиц, ИП, адвокатов, нотариусов, ремесленников, репетиторов и медиаторов.
Как организовать работу по защите персональных данных. Варианты
По словам юристов REVERA law group, в зависимости от масштаба обработки персональных данных у компаний есть несколько вариантов решения вопроса.
Вариант первый. Создать отдельное структурное подразделение
Кому подходит: крупным организациям, которые обрабатывают большие массивы персональных данных, а также в случаях, если такая обработка предусматривает существенные риски для субъектов персональных данных.
— В состав такого подразделения рекомендуется включать не только юрисконсультов, но и лиц, имеющих техническое образование для комплексного анализа процессов. Количество таких работников зависит от масштабов обработки данных, — объясняет Алена Поторская.
Вариант второй. Ввести в штат отдельного специалиста
Кому подходит: организациям, которые осуществляют масштабную обработку персональных данных, но при условии, что одно лицо все-таки сможет контролировать все процессы обработки.
— Такой специалист должен подчиняться непосредственно директору компании. Это обеспечит независимость сотрудника и позволит ему эффективно выполнять свои обязанности, — отмечает Юлия Бурмистрова.
Вариант третий. Передать эти функции кому-то из работников
Кому подходит: тем, кто работает с небольшим количеством персональных данных.
Правда, юристы делают оговорку: таким работником не может быть любой человек в компании.
Вот требования, которые нужно соблюсти:
— обработка персональных данных не должна быть основным видом деятельности для этого лица, чтобы исключить конфликт интересов. Например, это не могут быть сотрудники отдела кадров или бухгалтерии;
— работник должен иметь объективную возможность выполнять свои функции с учетом своих текущих обязанностей. Нельзя назначить на такую должность того, кто работает на небольшую ставку, если организация обрабатывает большие объемы данных.
Вариант четвертый. Возложить эти функции на нескольких работников
— Например, контроль за выполнением организационных и правовых мер по обработке персональных данных лучше всего возложить на юриста, — считает Алена Поторская. — А вот контроль за обеспечением мер по технической и криптографической защите персональных данных лучше доверить специалисту по информационной безопасности. Он будет отвечать за разработку и внедрение технических мер безопасности, контроль доступа к данным, а также за обнаружение и реагирование на возможные угрозы и нарушения.
А можно нанять специалиста по защите данных по договору подряда?
— К сожалению, нельзя. Функции ответственного лица может выполнять только работник организации, который работает по трудовому договору, — подчеркивает Юлия Бурмистрова.
Но при этом организация может обращаться к внешним консультантам: например, за помощью в организации построения системы защиты персональных данных.
Что делает специалист по защите данных: функционал
Организационные функции: изучение и анализ процессов обработки персональных данных, определение рисков, связанных с такой обработкой, разработка и поддержание в актуальном состоянии документов.
Консалтинг: консультации и знакомство работников с законодательством о персональных данных.
Контроль: проведение проверки по соблюдению требований законодательства о персональных данных в организации;
Организация обучения работников по вопросам обработки и защиты персональных данных;
Кроме того, такой работник может рассматривать заявления и жалобы субъектов персональных данных (например, клиентов компании), а также взаимодействовать с Национальным центром защиты персональных данных.
А если специалиста по защите данных не будет?
Юристы отмечают, что Национальный центр защиты персональных данных при проверках в 2022 году часто выявлял такие нарушения, как отсутствие на предприятии ответственного лица или формальное возложение обязанностей на кого-то из работников, который не может их выполнять.
За такие нарушения предусмотрен штраф в размере до 50 базовых величин (ч. 4 ст. 23.7 КоАП).
Помимо этого, юристы обращают внимание и на такой важный момент: назначение специалиста по защите данных не освобождает компанию от ответственности при нарушении закона «О защите персональных данных». Если просто: эта ответственность лежит на предприятии в целом, а ответственное лицо отвечает за выполнение своих обязанностей.
Фото: Envato Elements