Вы на портале
Персональные данные

Обязанности работников, осуществляющих обработку персональных данных

Для обеспечения выполнения организацией как оператором (уполномоченным лицом) требований Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон) необходимо определить обязанности работников, которые непосредственно обрабатывают персональные данные, организовать и провести их обучение. Разберемся, как это сделать.

Лосев Владимир
Лосев Владимир

Юрист-лицензиат, к.ю.н., доцент, профессор кафедры государственно-правовых дисциплин факультета права Белорусского государственного экономического университета, лектор Национального центра защиты персональных данных Республики Беларусь

5180 Shape 1 copy 6Created with Avocode.

Содержание: 


Работники, осуществляющие обработку персональных данных

Под работниками, осуществляющими обработку персональных данных, в первую очередь понимаются работники, трудовая функция которых преимущественно связана с обработкой персональных данных, и во вторую очередь — иные работники, осуществляющие обработку персональных данных эпизодически.

В п. 6 Алгоритма приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями Закона (далее — Алгоритм) приведены примеры работников, трудовая функция которых в основном связана с обработкой персональных данных: работники кадровых, бухгалтерских служб, работники, ответственные за функционирование информационного ресурса (системы)). Это также работники иных структурных подразделений, чья трудовая функция связана со сбором (получением), хранением, использованием, предоставлением, распространением и совершением иных действий с персональными данными, в том числе работники, которые получают согласие субъектов на обработку персональных данных.

Следует учитывать, что обработка персональных данных работниками может осуществляться как в информационном ресурсе (системе), так и без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).

В качестве примера наиболее распространенных информационных ресурсов (систем) в п. 5 Алгоритма указаны корпоративная электронная почта, программное обеспечение для ведения бухгалтерского учета и отчетности, сайты организаций, автоматизированные системы контроля и управления доступом, системы видеонаблюдения, системы электронного документооборота и т.п.

Одной из предусмотренных в п. 5 Алгоритма мер по приведению деятельности оператора (уполномоченного лица) в соответствие с требованиями Закона является определение порядка доступа к персональным данным, включающего перечень работников, непосредственно осуществляющих обработку персональных данных, в соответствии с целями их обработки и категориями персональных данных. В связи с этим целесообразно, опираясь на штатное расписание и должностные инструкции работников, определить перечень должностей работников (без указания ФИО), трудовая функция которых преимущественно связана с обработкой персональных данных, и закрепить его в приказе.

Это позволит обеспечить ознакомление всех таких работников с обязательными требованиями по обработке и защите персональных данных (положениями законодательства, локальными правовыми актами и организационно-распорядительными документами), а также организовать обучение работников как в процессе их трудовой деятельности, так и при приеме на работу новых работников.

Условия для допуска сотрудника к работе с персональными данными

Среди обязательных мер для оператора (уполномоченного лица) по обеспечению защиты персональных данных в п. 3 ст. 17 Закона названы:

1) ознакомление работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также

2) обучение указанных работников и иных лиц.

В п. 7 Алгоритма определено, что оператор (уполномоченное лицо) вправе избрать любой способ подтверждения ознакомления (например, под роспись в журнале), позволяющий в дальнейшем продемонстрировать выполнение обязанности.

При организации обучения работников необходимо руководствоваться Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» и приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных».

По решению нанимателя работники, непосредственно осуществляющие обработку персональных данных, могут проходить обучение:

  • с направлением за пределы своей организации;
  • без направления — в своей организации путем изучения установленных требований в области защиты персональных данных и проверки знаний по вопросам защиты персональных данных (в форме опроса, тестирования, собеседования и других формах контроля знаний) (п. 8 Алгоритма).

Последний вариант обучения позволяет без отрыва от работы максимально быстро и эффективно провести обучение с учетом специфики трудовой функции работников, чего, как правило, не может дать обучение в сторонней организации. Кроме того, целесообразно проводить обучение не всех работников организации вместе, а по подразделениям с учетом особенностей работы с персональными данными, с разными категориями субъектов.

Справочно.
Приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных» также установлены категории лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которые обязаны проходить обучение в Национальном центре защиты персональных данных Республики Беларусь.

Главное при ознакомлении и обучении работников — избежать формализма: недостаточно выложить в системе электронного документооборота для ознакомления Закон, политику в отношении обработки персональных данных, иные локальные правовые акты и дать расписаться в журнале учета прохождения обучения. Необходимо провести реальное ознакомление, обучение работников и проверку не только полученных знаний, но и навыков их использования в повседневной работе.

Требуется объяснить работникам, когда нужно получать согласие субъектов на обработку их персональных данных, а когда — нет (при наличии иных правовых оснований обработки), как правильно получать согласие, дать работникам конкретные письменные инструкции об этом, а также научить, как отвечать на вопросы субъектов персональных данных и как разрешать конфликтные ситуации, не допуская жалоб и негативных последствий для организации в виде проверок и привлечения работников к ответственности.

Закрепление обязанностей работников в связи с обработкой ими персональных данных

Определить должностные обязанности работников можно путем дополнения их должностных инструкций. Однако подробно все обязанности работников в части защиты персональных данных только в должностной инструкции изложить не получится:

  • перечень обязанностей должен быть детализированным, поэтому перечисление обязанностей займет большой объем текста должностной инструкции;
  • обязанности во многом идентичны и будут повторяться в должностных инструкциях для различных работников.

Справочно.
Примерный перечень обязанностей работников, трудовая функция которых в основном связана с обработкой персональных данных в информационном ресурсе (системе), приведен в п. 6 Алгоритма.

Должностные обязанности работников можно закреплять не только в должностных инструкциях, но и в локальных правовых актах организации, которые тоже являются обязательными для работников. Это можно сделать, например, в Положении об обработке персональных данных (далее — Положение), в котором отдельным разделом предусмотреть «Общие обязанности работников, трудовая функция которых в основном связана с обработкой персональных данных».

Пример дополнений в должностные инструкции работников, непосредственно осуществляющих обработку персональных данных

Пример дополнений в Положение об обработке персональных данных, которые касаются обязанностей работников, осуществляющих обработку персональных данных

Если определить обязанности работников при обработке персональных данных в Положении, то их должностные инструкции можно будет незначительно дополнить путем отсылки к этому локальному правовому акту и, кроме этого, конкретизировать в них обязанности, исходя из специфики деятельности работника.

Чтобы избежать конфликтных ситуаций с работниками, рекомендуем предусмотреть в Положении следующее: «Выполнение работником обязанностей при обработке персональных данных и их защите как являющееся выполнением требований законодательства о защите персональных данных и своих должностных обязанностей не предусматривает каких-либо вознаграждений, других выплат за выполнение этих обязанностей и не является изменением существенных условий труда работников».

Справочно.
В Положении можно также определить порядок получения согласий субъектов на обработку их персональных данных, на основании чего разработать соответствующие пошаговые инструкции (алгоритмы) для различных категорий работников и после проведения обучения передать им для повседневного использования.

Кроме того, для закрепления обязанностей работников можно внести такие же отсылочные положения в правила внутреннего трудового распорядка (при определении общих обязанностей работников).

При установлении обязанностей работников необходимо учесть особенности, которые определяются:

  1. сферой деятельности компании — тогда их можно отразить при определении общих обязанностей работников в Положении;
  2. трудовой функцией работника — в таком случае следует конкретизировать обязанности отдельных работников в их должностных инструкциях.

В п. 6 Алгоритма указано, что в должностных инструкциях работников, обрабатывающих персональные данные эпизодически, обязанность может быть предусмотрена следующим образом: «соблюдать установленный законодательством о защите персональных данных и локальными правовыми актами порядок обработки персональных данных».

Рекомендуем дополнить положения о структурных подразделениях в части, определяющей должностные обязанности их руководителей, нормами об организации и контроле обработки и защиты персональных данных в подчиненном структурном подразделении.

Резюме
Общие обязанности работников, чья трудовая функция в основном связана с обработкой персональных данных, стоит изложить в Положении об обработке персональных данных.
Должностные инструкции таких работников следует дополнить путем отсылки к Положению, а также конкретизировать в них обязанности, исходя из специфики деятельности работника.
Можно внести такие же отсылочные положения в правила внутреннего трудового распорядка (при определении общих обязанностей работников).
В завершение необходимо организовать и провести ознакомление и обучение работников обязательным требованиям об обработке и защите персональных данных.

5180 Shape 1 copy 6Created with Avocode.
Последнее
по теме