Для обеспечения выполнения организацией как оператором (уполномоченным лицом) требований Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон) необходимо определить обязанности работников, которые непосредственно обрабатывают персональные данные, организовать и провести их обучение. Разберемся, как это сделать.
Содержание:
Под работниками, осуществляющими обработку персональных данных, в первую очередь понимаются работники, трудовая функция которых преимущественно связана с обработкой персональных данных, и во вторую очередь — иные работники, осуществляющие обработку персональных данных эпизодически.
В п. 6 Алгоритма приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями Закона (далее — Алгоритм) приведены примеры работников, трудовая функция которых в основном связана с обработкой персональных данных: работники кадровых, бухгалтерских служб, работники, ответственные за функционирование информационного ресурса (системы)). Это также работники иных структурных подразделений, чья трудовая функция связана со сбором (получением), хранением, использованием, предоставлением, распространением и совершением иных действий с персональными данными, в том числе работники, которые получают согласие субъектов на обработку персональных данных.
Следует учитывать, что обработка персональных данных работниками может осуществляться как в информационном ресурсе (системе), так и без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
В качестве примера наиболее распространенных информационных ресурсов (систем) в п. 5 Алгоритма указаны корпоративная электронная почта, программное обеспечение для ведения бухгалтерского учета и отчетности, сайты организаций, автоматизированные системы контроля и управления доступом, системы видеонаблюдения, системы электронного документооборота и т.п.
Одной из предусмотренных в п. 5 Алгоритма мер по приведению деятельности оператора (уполномоченного лица) в соответствие с требованиями Закона является определение порядка доступа к персональным данным, включающего перечень работников, непосредственно осуществляющих обработку персональных данных, в соответствии с целями их обработки и категориями персональных данных. В связи с этим целесообразно, опираясь на штатное расписание и должностные инструкции работников, определить перечень должностей работников (без указания ФИО), трудовая функция которых преимущественно связана с обработкой персональных данных, и закрепить его в приказе.
Это позволит обеспечить ознакомление всех таких работников с обязательными требованиями по обработке и защите персональных данных (положениями законодательства, локальными правовыми актами и организационно-распорядительными документами), а также организовать обучение работников как в процессе их трудовой деятельности, так и при приеме на работу новых работников.
Среди обязательных мер для оператора (уполномоченного лица) по обеспечению защиты персональных данных в п. 3 ст. 17 Закона названы:
1) ознакомление работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также
2) обучение указанных работников и иных лиц.
В п. 7 Алгоритма определено, что оператор (уполномоченное лицо) вправе избрать любой способ подтверждения ознакомления (например, под роспись в журнале), позволяющий в дальнейшем продемонстрировать выполнение обязанности.
При организации обучения работников необходимо руководствоваться Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» и приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных».
По решению нанимателя работники, непосредственно осуществляющие обработку персональных данных, могут проходить обучение:
Последний вариант обучения позволяет без отрыва от работы максимально быстро и эффективно провести обучение с учетом специфики трудовой функции работников, чего, как правило, не может дать обучение в сторонней организации. Кроме того, целесообразно проводить обучение не всех работников организации вместе, а по подразделениям с учетом особенностей работы с персональными данными, с разными категориями субъектов.
Справочно.
Приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных» также установлены категории лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которые обязаны проходить обучение в Национальном центре защиты персональных данных Республики Беларусь.
Главное при ознакомлении и обучении работников — избежать формализма: недостаточно выложить в системе электронного документооборота для ознакомления Закон, политику в отношении обработки персональных данных, иные локальные правовые акты и дать расписаться в журнале учета прохождения обучения. Необходимо провести реальное ознакомление, обучение работников и проверку не только полученных знаний, но и навыков их использования в повседневной работе.
Требуется объяснить работникам, когда нужно получать согласие субъектов на обработку их персональных данных, а когда — нет (при наличии иных правовых оснований обработки), как правильно получать согласие, дать работникам конкретные письменные инструкции об этом, а также научить, как отвечать на вопросы субъектов персональных данных и как разрешать конфликтные ситуации, не допуская жалоб и негативных последствий для организации в виде проверок и привлечения работников к ответственности.
Определить должностные обязанности работников можно путем дополнения их должностных инструкций. Однако подробно все обязанности работников в части защиты персональных данных только в должностной инструкции изложить не получится:
Справочно.
Примерный перечень обязанностей работников, трудовая функция которых в основном связана с обработкой персональных данных в информационном ресурсе (системе), приведен в п. 6 Алгоритма.
Должностные обязанности работников можно закреплять не только в должностных инструкциях, но и в локальных правовых актах организации, которые тоже являются обязательными для работников. Это можно сделать, например, в Положении об обработке персональных данных (далее — Положение), в котором отдельным разделом предусмотреть «Общие обязанности работников, трудовая функция которых в основном связана с обработкой персональных данных».
Если определить обязанности работников при обработке персональных данных в Положении, то их должностные инструкции можно будет незначительно дополнить путем отсылки к этому локальному правовому акту и, кроме этого, конкретизировать в них обязанности, исходя из специфики деятельности работника.
Чтобы избежать конфликтных ситуаций с работниками, рекомендуем предусмотреть в Положении следующее: «Выполнение работником обязанностей при обработке персональных данных и их защите как являющееся выполнением требований законодательства о защите персональных данных и своих должностных обязанностей не предусматривает каких-либо вознаграждений, других выплат за выполнение этих обязанностей и не является изменением существенных условий труда работников».
Справочно.
В Положении можно также определить порядок получения согласий субъектов на обработку их персональных данных, на основании чего разработать соответствующие пошаговые инструкции (алгоритмы) для различных категорий работников и после проведения обучения передать им для повседневного использования.
Кроме того, для закрепления обязанностей работников можно внести такие же отсылочные положения в правила внутреннего трудового распорядка (при определении общих обязанностей работников).
При установлении обязанностей работников необходимо учесть особенности, которые определяются:
В п. 6 Алгоритма указано, что в должностных инструкциях работников, обрабатывающих персональные данные эпизодически, обязанность может быть предусмотрена следующим образом: «соблюдать установленный законодательством о защите персональных данных и локальными правовыми актами порядок обработки персональных данных».
Рекомендуем дополнить положения о структурных подразделениях в части, определяющей должностные обязанности их руководителей, нормами об организации и контроле обработки и защиты персональных данных в подчиненном структурном подразделении.
Резюме
Общие обязанности работников, чья трудовая функция в основном связана с обработкой персональных данных, стоит изложить в Положении об обработке персональных данных.
Должностные инструкции таких работников следует дополнить путем отсылки к Положению, а также конкретизировать в них обязанности, исходя из специфики деятельности работника.
Можно внести такие же отсылочные положения в правила внутреннего трудового распорядка (при определении общих обязанностей работников).
В завершение необходимо организовать и провести ознакомление и обучение работников обязательным требованиям об обработке и защите персональных данных.
Заключение трудового договора
Труд отдельных категорий работников
Трудовые книжки
Изменение трудового договора
Рабочее время
Дисциплинарная и материальная ответственность
Оплата труда
Прекращение трудового договора
Трудовые и социальные отпуска
Трудовые отношения
Гарантии и компенсации
Надзор и контроль за соблюдением законодательства о труде
СервисыПерсональные данныеТрудовые спорыПсихология управленияКомментарии и разъяснения госоргановВидеоОхрана трудаВоинский учетОтчетностьКадровое делопроизводство
