В наших статьях «Часть первая – подготовительные действия» и «Часть вторая – разработка политики оператора в отношении обработки персональных данных» мы рассказали о первых шагах, которые следует предпринять компании, обрабатывающей персональные данные, а также об особенностях разработки политики оператора и рекомендациях Национального центра защиты персональных данных (далее - «НЦЗПД») в этой области.
Еще одной важной мерой по обеспечению защиты персональных данных является назначение оператором (уполномоченным лицом) (далее – совместно «оператор») структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (далее – «Ответственное лицо»).
Читая Закон Республики Беларусь «О защите персональных данных» (далее – «Закон о ПД»), может сложиться ложное впечатление о том, что так как законодательный акт не предусматривает каких-либо требований к Ответственному лицу, не определяет круг обязанностей, задач данного лица, то достаточным будет назначить какого-либо работника оператора Ответственным лицом и тем самым соблюсти предусмотренное требование.
Вместе с тем, как и при выполнении любой меры по обеспечению защиты персональных данных, при назначении Ответственного лица необходимо исключить формальный подход. По-нашему мнению, назначая Ответственное лицо, важно понимать, что основной функцией Ответственного лица является реальное осуществление внутреннего контроля у оператора, из чего вытекает основное правило: кандидат на данную должность должен иметь практическую возможность выполнять функции и задачи Ответственного лица и обладать необходимыми знаниями для этого.
В комментарии к Закону о ПД, который был подготовлен, среди прочего, работниками НЦЗПД и размещен на его официальном сайте (далее – «Комментарий»), подчеркивается, что формальное выполнение меры по назначению Ответственного лица без реальной деятельности такого лица не рассматривается как надлежащее выполнение обязанности, и является основанием для привлечения юридического лица к административной ответственности за несоблюдение мер обеспечения защиты персональных данных физических лиц (ч. 4 ст. 23.7 Кодекса Республики Беларусь об административных правонарушениях).
Ниже мы разработали алгоритм основных действий оператора при назначении Ответственного лица. Итак, он включает следующее:
1. Определить, входит ли оператор в круг лиц, для которых предусмотрена обязанность назначить Ответственное лицо
В соответствии с Законом о ПД Ответственное лицо должно быть назначено оператором, который является:
▶ государственным органом
▶ юридическим лицом Республики Беларусь
▶ иной организацией.
Таким образом, данное требование не распространяется, например, на индивидуальных предпринимателей, физических лиц, осуществляющих ремесленную деятельность.
2. Выбрать подходящую модель Ответственного лица
В соответствии с положениями Закона о ПД, на основании разъяснений НЦЗПД, а также учитывая складывающуюся практику, можно выделить следующие модели Ответственного лица:
▶ Назначение отдельного работника оператора
▶ Назначение нескольких работников оператора
▶ Создание отдельного структурного подразделения у оператора.
Выбор модели зависит от масштабов обработки персональных данных у конкретного оператора. Подробнее о том, в каких ситуациях целесообразно выбрать ту или иную модель, можно почитать на официальном сайте НЦЗПД.
Следует отметить, что на работников могут быть возложены как дополнительные трудовые обязанности к их основной работе, т.е. предусмотрено совмещение должностей, так и отдельный работник может быть принят, переведен на новую должность, а именно специалиста по внутреннему контролю за обработкой персональных данных.
Несмотря на то, что Закон о ПД прямо не предусматривает, что Ответственное лицо должно быть назначено из числа работников оператора, таким образом не ограничивает возможность передачи таких функций сторонней организации или физическому лицу по гражданско-правовому договору, в Комментарии по данному вопросу выражена противоположная позиция: такая модель (назначение Ответственного лица по гражданско-правовому договору) не согласуется с Законом о ПД. Полагаем, данную позицию следует учитывать при назначении Ответственного лица.
3. Определить работника (работников), который будет выполнять функции Ответственного лица
При выполнении данного шага следует учитывать, что у назначаемого лица должен отсутствовать конфликт интересов, т.е. если работник при выполнении своей трудовой функции осуществляет обработку персональных данных у оператора, оно не может проверять самого себя, соответственно, не может быть назначено Ответственным лицом. Требование об отсутствии конфликта интересов прямо не предусмотрено законодательством, однако о применении данного принципа указано в разъяснениях НЦЗПД.
Также при назначении Ответственного лица, как отмечалось выше, важно руководствоваться основным правилом: кандидат на данную должность должен иметь практическую возможность выполнять функции и задачи Ответственного лица и обладать необходимыми знания для этого. В нашем понимании практическая возможность заключается в том, чтобы у Ответственного лица были:
▶ достаточно времени для выполнения функций Ответственного лица, в особенности, если работнику устанавливается совмещение или в компании имеет место масштабная обработка персональных данных (например, крупные торговые компании, банки, страховые организации, в которых одному работнику исполнять функции Ответственного лицу будет затруднительно);
▶ доступ к документам, регулирующим вопросы обработки, защиты персональных данных, а также к документам, формируемым в ходе деятельности компании, которые содержат персональные данные, в необходимом объеме;
▶ возможность коммуникации с работниками других отделов, в т.ч. с работниками, отвечающими за информационную безопасность, для проведения консультаций, разработки документов, размещения необходимых документов на интернет - ресурсах, проведения внутреннего контроля за обработкой персональных данных и т.д.
Как уже упоминалось ранее, Закон о ПД не содержит описания функций и задач Ответственного лица. При этом с 2023 года в Едином квалификационном справочнике должностей служащих, утвержденном Постановлением Министерства труда Республики Беларусь от 30.12.1999 № 159 (далее – «ЕКСД»), появилась такая должность, как специалист по внутреннему контролю за обработкой персональных данных. В ЕКСД указаны должностные обязанности, требования к знаниям такого специалиста, а также квалификационные требования. Полагаем, при определении функций, полномочий Ответственного лица необходимо руководствоваться положениями ЕКСД.
4. Разработать необходимые документы, связанные с назначением и деятельностью Ответственного лица
Во-первых, при назначении нового работника, переводе или установлении совмещения необходимо оформить кадровые документы в зависимости от ситуации, в т.ч. внести изменения в штатное расписание, разработать должностную инструкцию или внести изменения в действующую и принять соответствующий приказ руководителя о назначении Ответственного лица.
Во-вторых, разработать положение о порядке осуществления внутреннего контроля за обработкой персональных данных. Разработка такого положения не является требованием законодательства, однако практически целесообразна и рекомендуется НЦЗПД, на сайте которого можно найти примерную форму такого положения.
5. Обеспечить обучение Ответственного лица
В соответствии с Указом от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», а также Приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12.11.2021 № 194 (далее – «Приказ № 194»), операторы обязаны не реже одного раза в 5 лет организовать обучение Ответственного лица по вопросам защиты персональных данных в следующих организациях:
▶ НЦЗПД – если оператор относится к одной из категорий, указанных в Приказе № 194 (например, банки, страховые организации, риэлтерские организации);
Обращаем внимание, что с 01.01.2024 перечень таких категорий будет дополнен такими организациями, как организации, осуществляющие гостиничное обслуживание, туристическую деятельность, обработку биометрических и (или) генетических персональных данных или оказывающие услуги по содействию в трудоустройстве.
▶ в учреждениях образования, в других организациях, у оператора – если оператор не относится к категориям, указанным в Приказе № 194.
Если обучение в НЦЗПД обязательно, то до 15 ноября соответствующего года необходимо уведомить НЦЗПД о количестве лиц, которым требуется пройти обучение.
Подытоживая, хотели бы отметить, что назначение Ответственного лица не освобождает от ответственности оператора, его работников за несоблюдение мер обеспечения защиты персональных данных, незаконное распространение персональных данных и иные правонарушения, действия, причинившие ущерб субъектам персональных данных. Напоминаем, осуществление мер по обеспечению защиты персональных данных должно носить практический характер и сами меры должны быть достаточными для того, что обеспечить надлежащую защиту персональных данных в Вашей компании.