Кто в организациях должен отвечать за внутренний контроль за обработкой персональных данных [1], рассказал журналистам директор Национального центра защиты персональных данных Андрей Гаев, передает корреспондент БЕЛТА. [2]
“Несмотря на рискоориентированный подход, воспринятый в нашем законодательстве, есть ряд обязательных, четко предусмотренных законодательством мер, которые должны выполнить работники, входящие в структуру каждого конкретного оператора. Надо определиться с тем, кто будет являться ответственным за внутренний контроль, то есть за тем, как в целом в организации налажена работа с персональными данными”, – сказал Андрей Гаев.
Согласно закону каждый оператор должен назначить ответственное лицо или структурное подразделение. Будет это целое структурное подразделение или достаточно ответственного лица (нескольких лиц), решается в каждом конкретном случае индивидуально, исходя из объема бизнес-процессов, количества персональных данных о гражданах, которые обрабатываются организациями.
“Примерно 80% той работы, которая должна осуществляться ответственным лицом, – юридическая составляющая. Поэтому категорически неверно определять единственным ответственным лицо, которое отвечает за вопросы информационной безопасности или администрирование сетей, ресурсов в организации. Этот человек не справится с работой, которую необходимо выполнить по нормам закона. Неправильно возлагать эти функции на тех лиц, которые непосредственно обрабатывают персональные данные, например на работников кадровых служб, потому что возникает конфликт интересов”, – пояснил директор центра.
Кстати, по результатам социологического опроса, проведенного во взаимодействии с Институтом социологии Национальной академии наук, оказалось, что во многих организациях контролем за обработкой персональных данных занимается именно специалист по кадрам. “Конфликта интересов быть не должно”, – подчеркнул Андрей Гаев.
По его словам, требований к образованию такого ответственного лица не установлено. Речь идет о ситуациях, если это не структурное подразделение. Вместе с тем желательно, чтобы это был юрист. Вторым ответственным может быть лицо, которое отвечает за безопасность сетей, ведение информационных ресурсов. “Может быть несколько ответственных, может быть один. В нашем центре это один человек, который имеет базовое юридическое образование и у которого сфера профессиональных интересов перекликается с IT-сферой”, – отметил Андрей Гаев.
Он также назвал обязательные требования, которые необходимо выполнить в организации. Так, нужно определить документы, которые бы четко описывали процессы обработки персональных данных в организациях, так называемые политики в отношении обработки персональных данных. Их может быть несколько, например об общих подходах к обработке персональных данных, организации видеонаблюдения, работе с файлами cookie.
Кроме того, следует определить требования к технической и криптографической защите информации внутри организации. “Определив, кто в организации имеет доступ к персональным данным и в каком объеме, это нужно реализовать техническими средствами. То есть, простым языком говоря, настроить информационные ресурсы таким образом, чтобы конкретный работник получал доступ только к той информации, которая необходима ему для той же трудовой функции”, – пояснил директор центра.
Ссылки в статье:
[1] персональных данных: https://vitebsk.1prof.by/news/chto-vazhno-znat-o-zashhite-personalnyx-dannyx/
[2] передает корреспондент БЕЛТА.: https://www.belta.by/society/view/kto-v-organizatsijah-dolzhen-otvechat-za-vnutrennij-kontrol-za-obrabotkoj-personalnyh-dannyh-546254-2023/