Кто в организациях должен отвечать за внутренний контроль за обработкой персональных данных, рассказал журналистам директор Национального центра защиты персональных данных Андрей Гаев, передает корреспондент БЕЛТА.
«Несмотря на рискориентированный подход, воспринятый в нашем законодательстве, есть ряд обязательных, четко предусмотренных законодательством мер, которые должны выполнить работники, входящие в структуру каждого конкретного оператора. Надо определиться с тем, кто будет являться ответственным за внутренний контроль, то есть за тем, как в целом в организации налажена работа с персональными данными», – сказал Андрей Гаев.
Согласно закону каждый оператор должен назначить ответственное лицо или структурное подразделение. Будет это целое структурное подразделение или достаточно ответственного лица (нескольких лиц), решается в каждом конкретном случае индивидуально, исходя из объема бизнес-процессов, количества персональных данных о гражданах, которые обрабатываются организациями.
«Примерно 80 % той работы, которая должна осуществляться ответственным лицом, – юридическая составляющая. Поэтому категорически неверно определять единственным ответственным лицо, которое отвечает за вопросы информационной безопасности или администрирование сетей, ресурсов в организации. Этот человек не справится с работой, которую необходимо выполнить по нормам закона. Неправильно возлагать эти функции на тех лиц, которые непосредственно обрабатывают персональные данные, например на работников кадровых служб, потому что возникает конфликт интересов», – пояснил директор центра.
Кстати, по результатам социологического опроса, проведенного во взаимодействии с Институтом социологии Национальной академии наук, оказалось, что во многих организациях контролем за обработкой персональных данных занимается именно специалист по кадрам. «Конфликта интересов быть не должно», – подчеркнул Андрей Гаев.
По его словам, требований к образованию такого ответственного лица не установлено. Речь идет о ситуациях, если это не структурное подразделение. Вместе с тем желательно, чтобы это был юрист. Вторым ответственным может быть лицо, которое отвечает за безопасность сетей, ведение информационных ресурсов. «Может быть несколько ответственных, может быть один. В нашем центре это один человек, который имеет базовое юридическое образование и у которого сфера профессиональных интересов перекликается с IT-сферой», – отметил Андрей Гаев.
Он также назвал обязательные требования, которые необходимо выполнить в организации. Так, нужно определить документы, которые бы четко описывали процессы обработки персональных данных в организациях, так называемые политики в отношении обработки персональных данных. Их может быть несколько, например об общих подходах к обработке персональных данных, организации видеонаблюдения, работе с файлами cookie.
Кроме того, следует определить требования к технической и криптографической защите информации внутри организации. «Определив, кто в организации имеет доступ к персональным данным и в каком объеме, это нужно реализовать техническими средствами. То есть, простым языком говоря, настроить информационные ресурсы таким образом, чтобы конкретный работник получал доступ только к той информации, которая необходима ему для той же трудовой функции», – пояснил директор центра.
По информации БЕЛТА
Источник: pravo.by