Содержание:
История
После вступления в силу Закона № 99-З Национальный центр защиты персональных данных Республики Беларусь (далее — НЦЗПД) в декабре 2021 г. разработал и разместил на своем сайте cpd.by рекомендации — Алгоритм приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями Закона № 99-З (далее — Алгоритм).
В сентябре 2022 г. НЦЗПД начал обучение лиц, назначенных ответственными за осуществление внутреннего контроля, по образовательной программе повышения квалификации руководящих работников и специалистов.
В январе 2023 г. опубликовано постановление Министерства труда и социальной защиты Республики Беларусь от 31.10.2022 № 62 «Об изменении постановлений Министерства труда Республики Беларусь от 30 декабря 1999 г. № 159 и Министерства труда и социальной защиты Республики Беларусь от 2 января 2012 г. № 1», в соответствии с которым Выпуск 1 ЕКСД «Должности служащих для всех видов деятельности» дополнен (в разделе II «Специалисты») квалификационной характеристикой должности служащего «Специалист по внутреннему контролю за обработкой персональных данных».
Определены выполняемые таким специалистом функции — организационные, консультативные, контрольные, информационно-образовательные и иные, связанные с обеспечением комплексной работы по соблюдению законодательства о персональных данных. Конкретизированы его должностные обязанности, установлено, что должен знать такой специалист, сформулированы предъявляемые к нему квалификационные требования.
В феврале 2023 г. на сайте НЦЗПД cpd.by размещен подготовленный авторским коллективом «Постатейный комментарий к Закону Республики Беларусь "О защите персональных данных"» (далее — Комментарий НЦЗПД).
Назначение ответственного лица
С учетом изложенного в Выпуске 1 ЕКСД, Алгоритме и Комментарии НЦЗПД можно определить следующие варианты назначения лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных:
- создание отдельного структурного подразделения;
- возложение дополнительных функций на имеющееся в штате структурное подразделение;
- введение в штатное расписание должности «специалист по внутреннему контролю за обработкой персональных данных». В данном случае это работник, освобожденный от другой работы, причем должность должна именоваться именно так, как определено в Выпуске 1 ЕКСД;
- возложение дополнительных функций на одного работника организации;
- возложение дополнительных функций на нескольких работников.
Нецелесообразно:
- возложение функций внутреннего контроля за обработкой персональных данных только на специалиста по информационной безопасности (почему: он не будет компетентным в части большинства указанных выше функций);
- назначение ответственных за осуществление внутреннего контроля за обработкой персональных данных в каждом структурном подразделении (почему: отсутствие единого подхода к внутреннему контролю, «распыление» контроля, конфликт интересов, невозможность обеспечить независимость контроля, что обусловлено подчиненностью руководителю подразделения и взаимоотношениями с коллегами по подразделению);
- назначение ответственным за осуществление внутреннего контроля руководителя организации либо одного из его заместителей (почему: конфликт интересов, невозможность выполнения функций внутреннего контроля по причине загруженности своими непосредственными обязанностями);
- возложение функций внутреннего контроля за обработкой персональных данных на работника, который сам непосредственно обрабатывает большие объемы персональных данных (почему: конфликт интересов).
Только крупные организации могут себе позволить создать отдельное структурное подразделение, еще реже вводится новая штатная единица. На практике в организациях чаще всего происходило возложение дополнительных функций на одного работника: наряду с его основной трудовой функцией ему вменялись еще и обязанности по осуществлению внутреннего контроля за обработкой персональных данных.
Поэтому акцент в статье будет сделан именно на вариант возложения на работника организации дополнительных функций по внутреннему контролю за обработкой персональных данных.
Справочно.
В Комментарии НЦЗПД на вопрос по поводу привлечения для выполнения функций внутреннего контроля за обработкой персональных данных лица, не являющегося работником организации, ответ однозначный — нет, такая модель не согласуется с положениями Закона № 99-З.
Определение полномочий ответственного лица
Надлежащее выполнение обязанностей и реальный внутренний контроль за обработкой персональных данных возможны только при условии предоставления лицу, ответственному за осуществление внутреннего контроля, соответствующего объема прав. Иначе и контроля не будет, и потребовать его осуществления не получится.
Справочно.
В Комментарии НЦЗПД обращается внимание на обеспечение независимости внутреннего контроля, для чего важно установить непосредственную подчиненность такого лица руководителю организации или его заместителю.
Поэтому в организации нужно определить именно полномочия такого лица — его обязанности и права, а также порядок осуществления внутреннего контроля, действий в конкретных служебных ситуациях.
Определить должностные обязанности лица, ответственного за осуществление внутреннего контроля, можно путем дополнения его должностных инструкций. Однако подробно все его обязанности, а тем более права только в должностной инструкции изложить не получится.
Поэтому необходимо определить не просто обязанности лица, ответственного за осуществление внутреннего контроля, но еще и его права в локальном правовом акте организации — в Положении об организации внутреннего контроля за обработкой персональных данных, выделив для этого самостоятельный раздел.
Пример определения в Положении об организации внутреннего контроля за обработкой персональных данных полномочий лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных
При формулировании полномочий такого лица следует исходить из содержания его функций, раскрытых в Выпуске 1 ЕКСД и Комментарии НЦЗПД к ст. 17 Закона № 99-З.
Если определить полномочия такого лица в названном Положении, то его должностную инструкцию можно будет незначительно дополнить путем отсылки к данному локальному правовому акту либо указать это в приказе о назначении лица, ответственного за осуществление внутреннего контроля.
Обучение ответственного лица
О том, что такое лицо (независимо от сферы деятельности организации и формы собственности) должно пройти обучение по вопросам защиты персональных данных, сказано в Указе Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» и приказе Оперативно-аналитического центра при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных».
При этом обучение именно в НЦЗПД по образовательной программе повышения квалификации руководящих работников и специалистов должны пройти лица, ответственные за осуществление внутреннего контроля, выполняющие эти функции:
- в банках и небанковских кредитно-финансовых организациях;
- в страховых организациях;
- у операторов электросвязи (за исключением индивидуальных предпринимателей);
- в республиканской и территориальных организациях по государственной регистрации недвижимого имущества, прав на него и сделок с ним;
- в Белорусской нотариальной палате, областных (Минской городской) нотариальных палатах;
- в риэлтерских организациях;
- в организациях здравоохранения;
- в местных исполнительных и распорядительных органах (за исключением сельских (поселковых) исполнительных комитетов), их структурных подразделениях с правами юридического лица;
- у операторов (уполномоченных лиц), организующих и (или) осуществляющих обработку персональных данных не менее 10 тыс. физических лиц, за исключением персональных данных работников этих операторов (уполномоченных лиц) в процессе осуществления трудовой (служебной) деятельности.
Резюме
1. В любой организации, независимо от формы собственности, во исполнение обязательного требования Закона № 99-З должно быть назначено структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.
В январе 2023 г. появилась должность «Специалист по внутреннему контролю за обработкой персональных данных». В Выпуске 1 ЕКСД нормативно определены функции такого специалиста и его должностные обязанности, а также квалификационные требования.
2. Необходимо закрепление в локальном правовом акте организации — Положении об организации внутреннего контроля за обработкой персональных данных не только обязанностей, но и прав лица, ответственного за осуществление внутреннего контроля, а также гарантий надлежащего выполнения им своих функций. Кроме того, нужно определить порядок осуществления внутреннего контроля и действий такого лица в конкретных служебных ситуациях.
