НЦЗПД операторам персональных данных: функции специалиста по внутреннему контролю прописали в ЕКСД
Фото: freepik.com
ЕКСД дополнен квалификационной характеристикой специалиста по внутреннему контролю за обработкой персональных данных. Свой комментарий и рекомендации для операторов опубликовал Национальный центр защиты персональных данных.
Законом от 07.05.2021 № 99–З «О защите персональных данных» (далее – Закон) в качестве обязательной меры по обеспечению защиты персональных данных (ПД) как для операторов, так и для уполномоченных лиц предусмотрено назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой ПД (абз. 2 п. 3 ст. 17 Закона).
По инициативе НЦЗПД в целях единообразной практики применения в республике института ответственных за осуществление контроля за обработкой персональных данных постановлением Минтруда и соцзащиты от 31.10.2022 № 62 «Об изменении постановлений Министерства труда Республики Беларусь от 30 декабря 1999 г. № 159 и Министерства труда и социальной защиты Республики Беларусь от 2 января 2012 г. № 1», выпуск 1 ЕКСД «Должности служащих для всех видов деятельности», утв. постановлением Минтруда от 30.12.1999 № 159, дополнен квалификационной характеристикой специалиста по внутреннему контролю за обработкой персональных данных.
Данное постановление вступает в силу с 19 января 2023 г.
Справочно: в соответствии с ч. 6 п. 1 Общих положений ЕКСД, утв. постановлением Минтруда и соцзащиты от 02.01.2012 № 1, ЕКСД обязателен к применению в организациях независимо от их организационно-правовых форм, в которых трудовые отношения основаны на трудовом договоре (контракте).
Квалификационная характеристика содержит перечень должностных обязанностей, возлагаемых на специалиста по внутреннему контролю за обработкой персональных данных, а также предъявляемые к такому работнику квалификационные требования.
Так, на специалиста по внутреннему контролю за обработкой персональных данных возлагаются следующие функции:
-
организационные (изучение и анализ процессов обработки ПД, определение рисков, связанных с процессами обработки данных, выработка предложений по их минимизации, разработка и поддержание в актуальном состоянии документов, определяющих политику оператора в отношении обработки ПД, порядка доступа к данным, иных документов (форм) по вопросам обработки данных, разработка формы реестра ПД и координация его ведения, участие в определении и осуществлении мер технической и криптографической защиты ПД и т.п.);
-
консультативные (консультирование работников и уполномоченных лиц по вопросам обработки и защиты ПД, согласование локальных правовых актов, договоров на предмет их соответствия законодательству о персональных данных, ознакомление работников с законодательством о ПД, в том числе с требованиями по защите данных, документами, определяющими политику оператора в отношении обработки ПД и т.п.);
-
контрольные (осуществление контроля за своевременным внесением работниками изменений в ПД, которые являются неполными, устаревшими или неточными, прекращением обработки ПД, а также осуществлением их удаления или блокирования при отсутствии оснований для обработки данных, предусмотренных законодательными актами; проведение проверки по соблюдению требований законодательства о персональных данных в структурных подразделениях организации для выявления нарушений и предупреждения их возникновения, проведение расследования по нарушениям работниками требований обработки ПД, внесение предложений по привлечению виновных к ответственности и т.п.);
-
информационно-образовательные (организация прохождения обучения работников, осуществляющих обработку ПД, по вопросам обработки и защиты данных в порядке, установленном законодательством, поиск оптимальных форм обучения работников, исходя из их трудовых функций и т.п.);
-
иные функции, связанные с обеспечением комплексной работы по соблюдению законодательства о персональных данных (рассмотрение (участие в рассмотрении) заявлений и жалоб субъектов ПД по вопросам обработки данных, принятие необходимых мер по восстановлению их нарушенных прав, обеспечение взаимодействия с НЦЗПД, в том числе по вопросам уведомления о нарушениях систем защиты ПД, исполнения требований по защите прав субъектов ПД об устранении нарушений законодательства о персональных данных и т.п.).
Учитывая, что принимаемые меры по обеспечению защиты ПД зависят в том числе от сферы деятельности, объема обрабатываемых данных, требования к наличию у лица, ответственного за осуществление внутреннего контроля за обработкой ПД, конкретного направления образования Законом не установлены.
В соответствии с квалификационной характеристикой специалист по внутреннему контролю за обработкой персональных данных должен иметь высшее образование. При этом требования к стажу работы не предъявляются.
Вместе с тем, для присвоения II квалификационной категории наряду с высшим образованием требуется наличие стажа работы в должности служащего «Специалист по внутреннему контролю за обработкой персональных данных» не менее 2 лет, а I квалификационной категории – стажа работы в должности служащего «Специалист по внутреннему контролю за обработкой персональных данных» со II квалификационной категорией не менее 3 лет.
