Как и на кого возлагается функция внутреннего контроля за обработкой персональных данных в организации?
С 19.01.2023 постановлением № 62 в выпуск 1 ЕКСД была включена новая должность служащего «специалист по внутреннему контролю за обработкой персональных данных». Это нововведение для многих долгожданное, поскольку после вступления в силу Закона № 99-З должностные обязанности специалиста, на которого возложены функции по защите персональных данных, не были до конца определены на законодательном уровне, а потому у нанимателей возникало много вопросов. Давайте разберемся, как поступать нанимателю в связи с введением новой должности.
Документ: постановление Минтруда и соцзащиты Республики Беларусь от 31.10.2022 № 62 «Об изменении постановлений Министерства труда Республики Беларусь от 30 декабря 1999 г. № 159 и Министерства труда и социальной защиты Республики Беларусь от 2 января 2012 г. № 1» (далее – постановление № 62).
Документ: выпуск 1 Единого квалификационного справочника должностей служащих (ЕКСД) «Должности служащих для всех видов деятельности», утвержденный постановлением Минтруда Республики Беларусь от 30.12.1999 № 159 (далее – выпуск 1 ЕКСД).
В первую очередь напомним, что согласно п. 3 ст. 17 Закона № 99-З одной из обязательных мер по обеспечению защиты персональных данных является назначение оператором (уполномоченным лицом), являющимся государственным органом, юридическим лицом Республики Беларусь, иной организацией, структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных.
Документ: Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон № 99-З).
Национальный центр защиты персональных данных (далее – НЦЗПД) в ответе на вопрос о том, какие есть варианты назначения лица, ответственного за внутренний контроль, указывает, что назначение лица, ответственного за осуществление внутреннего контроля, может быть реализовано следующим образом:
Справочно: на сайте НЦЗПД в рубрике «Ответы на часто задаваемые вопросы» размещена группа вопросов по теме «Осуществление внутреннего контроля за обработкой персональных данных» (см. по адресу: https://cpd.by/populyarnoye-na-sayte/otvety-na-chasto-zadavayemyye-voprosy/).
1) освобожденный работник (структурное подразделение) – целесообразно в случае масштабной обработки персональных данных (особенно если цель организации – извлечение прибыли);
2) возложение дополнительных функций на одного из работников организации. Причем для такого лица обработка персональных данных не должна быть основным видом деятельности, что призвано исключить потенциальный конфликт интересов. В связи с этим необходимо исключить назначение ответственного за осуществление внутреннего контроля из числа руководителей организации (их заместителей), а также структурных подразделений или работников, основные функции которых связаны с обработкой большого объема персональных данных (например, кадровые и бухгалтерские службы, структурные подразделения по обращениям граждан и т.п.). Кроме того, у назначенного работника должна быть объективная возможность выполнять соответствующие функции с учетом уже имеющихся должностных обязанностей;
3) возложение дополнительных функций на двух работников: на одного (например, юрисконсульт) – в части организационных и правовых мер, на другого (например, специалист по информационной безопасности) – в части мер по технической и криптографической защите персональных данных. При таком варианте требуется четкое распределение функций между указанными лицами, исключение противоречий в их деятельности. При этом, как и во втором варианте, у назначенного работника должна быть объективная возможность выполнять соответствующие функции с учетом уже имеющихся должностных обязанностей.
Важно! Представляется нецелесообразным возложение соответствующих функций исключительно на ответственного за обеспечение защиты информации или инженера (программиста, системного администратора, специалиста по информационной безопасности и т.п.).
Не соответствует цели введения рассматриваемого института практика тех организаций, в которых лица, ответственные за осуществление внутреннего контроля за обработкой персональных данных, назначаются в каждом структурном подразделении. Это приводит к сложностям при их взаимодействии, конкуренции, возможности появления различных подходов к реализации законодательства о персональных данных в разных подразделениях.
Кроме того, это может породить конфликт интересов, а также потребовать дополнительных временных и финансовых затрат на обучение таких лиц (например, на базе НЦЗПД).
Таким образом, НЦЗПД полагает, что лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, – это всегда штатный работник, т.е. лицо, состоящее с оператором (уполномоченным лицом) в трудовых отношениях на основании трудового договора (см. ст. 1 ТК).
Представляет интерес для рассматриваемой ситуации также ответ НЦЗПД на вопрос о том, требуются ли от нанимателя какие-либо дополнительные усилия для обеспечения деятельности лица, ответственного за осуществление внутреннего контроля.
НЦЗПД отвечает, что в целях надлежащего выполнения организацией возложенных на нее Законом № 99-З обязанностей рекомендуется обеспечить независимость лица, ответственного за осуществление внутреннего контроля, посредством:
– предоставления доступа к документам и информации, в т.ч. обрабатываемой в информационных системах (ресурсах) в объеме, необходимом для выполнения возложенных на него обязанностей;
– организации непосредственной подчиненности руководителю организации или его заместителю.
Иными словами, по мнению НЦЗПД, целесообразно обеспечить независимость лица, ответственного за внутренний контроль, в т.ч. через непосредственную подчиненность руководителю организации или его заместителю (как следствие, это желательно отразить в должностной инструкции, а также учесть при выборе лица, на которое наниматель планирует возложить такие обязанности).
