Новая профессия в Беларуси — специалист по защите данных. Кому подходит?

14.08.2023

Вопрос защиты персональных данных остро стоит перед белорусским бизнесом. Только за последнее время стало известно о трех громких случаях утечки данных клиентов крупных компаний в Беларуси. С ноября 2021 года, когда вступил в силу закон «О защите персональных данных», у каждого предприятия появилась обязанность — назначить структурное подразделение или лицо, которое контролирует обработку этих данных. Такая профессия — аналог востребованной должности data protection officer (DPO), которая давно существует в европейских и других странах. Это ответственное лицо играет ключевую роль в обработке организацией персональных данных. Его цель — предотвратить возможные нарушения законодательства о защите персональных данных со стороны компании.

Всегда ли нужен главный по персональным данным?

Подчеркиваем: ответственное лицо назначается в каждой организации, в том числе в госорганах.

Сегодня не предусмотрено каких-либо исключений — к примеру, для организаций с небольшим количеством работников или организаций, которые не делают масштабную обработку.

Эти требования не распространяются только на физлиц, ИП, адвокатов, нотариусов, ремесленников, репетиторов и медиаторов.

Как организовать работу по защите персональных данных. Варианты.

В зависимости от масштаба обработки персональных данных у компаний есть несколько вариантов решения вопроса.

Вариант первый: Создать отдельное структурное подразделение

Кому подходит: крупным организациям, которые обрабатывают большие массивы персональных данных, а также в случаях, если такая обработка предусматривает существенные риски для субъектов персональных данных.

В состав такого подразделения рекомендуется включать не только юрисконсультов, но и лиц, имеющих техническое образование для комплексного анализа процессов. Количество таких работников зависит от масштабов обработки данных.

Вариант второй: ввести в штат отдельного специалиста

Кому подходит: организациям, которые осуществляют масштабную обработку персональных данных, но при условии, что одно лицо все-таки сможет контролировать все процессы обработки.

Такой специалист должен подчиняться непосредственно директору компании. Это обеспечит независимость сотрудника и позволит ему эффективно выполнять свои обязанности.

Вариант третий: передать эти функции кому-то из работников

Кому подходит: тем, кто работает с небольшим количеством персональных данных.

Однако таким работником не может быть любой человек в компании.

Вот требования, которые нужно соблюсти:

• обработка персональных данных не должна быть основным видом деятельности для этого лица, чтобы исключить конфликт интересов. Например, это не могут быть сотрудники отдела кадров или бухгалтерии;
• работник должен иметь объективную возможность выполнять свои функции с учетом своих текущих обязанностей. Нельзя назначить на такую должность того, кто работает на небольшую ставку, если организация обрабатывает большие объемы данных.

Вариант четвертый: возложить эти функции на нескольких работников

Например, контроль за выполнением организационных и правовых мер по обработке персональных данных лучше всего возложить на юриста. А вот контроль за обеспечением мер по технической и криптографической защите персональных данных лучше доверить специалисту по информационной безопасности. Он будет отвечать за разработку и внедрение технических мер безопасности, контроль доступа к данным, а также за обнаружение и реагирование на возможные угрозы и нарушения.

А можно нанять специалиста по защите данных по договору подряда?

К сожалению, нельзя. Функции ответственного лица может выполнять только работник организации, который работает по трудовому договору.

Но при этом организация может обращаться к внешним консультантам: например, за помощью в организации построения системы защиты персональных данных.

Что делает специалист по защите данных: функционал

• Организационные функции: изучение и анализ процессов обработки персональных данных, определение рисков, связанных с такой обработкой, разработка и поддержание в актуальном состоянии документов.
• Консалтинг: консультации и знакомство работников с законодательством о персональных данных.
• Контроль: проведение проверки по соблюдению требований законодательства о персональных данных в организации;
• Организация обучения работников по вопросам обработки и защиты персональных данных;
• Кроме того, такой работник может рассматривать заявления и жалобы субъектов персональных данных (например, клиентов компании), а также взаимодействовать с Национальным центром защиты персональных данных.

А если специалиста по защите данных не будет?

Национальный центр защиты персональных данных при проверках в 2022 году часто выявлял такие нарушения, как отсутствие на предприятии ответственного лица или формальное возложение обязанностей на кого-то из работников, который не может их выполнять.

За такие нарушения предусмотрен штраф в размере до 50 базовых величин (ч. 4 ст. 23.7 КоАП).

Помимо этого, обращаем внимание и на такой важный момент: назначение специалиста по защите данных не освобождает компанию от ответственности при нарушении закона «О защите персональных данных». Если просто: эта ответственность лежит на предприятии в целом, а ответственное лицо отвечает за выполнение своих обязанностей.

Читать оригинал на Office Life

---

Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения. 

Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/PR_revera