Кто он — специалист по внутреннему контролю за обработкой персональных данных

Постановлением Министерства труда и социальной защиты Республики Беларусь от 31.10.2022 № 62 «Об изменении постановлений Министерства труда Республики Беларусь от 30 декабря 1999 г. № 159 и Министерства труда и социальной защиты Республики Беларусь от 2 января 2012 г. № 1» (далее — постановление № 62) в выпуск 1 ЕКСД включена новая должность служащего «Специалист по внутреннему контролю за обработкой персональных данных».

Справочно: образец должностной инструкции специалиста по внутреннему контролю за обработкой персональных данных размещен на сайте Национального центра защиты персональных данных (далее — НЦЗПД) 11 мая 2022 г. в разделе «Портфель оператора» (короткая ссылка — clck.ru/33ScXR).

Согласно п. 3 ст. 17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (в ред. от 01.06.2022) одной из обязательных для оператора мер по обеспечению защиты персональных данных (далее — ПД) является назначение лица, ответственного за осуществление внутреннего контроля за обработкой ПД.

Это важно
В законодательстве не указано, каким образом должна быть реализована мера по назначению ответственного за осуществление внутреннего контроля за обработкой ПД.

Перед оператором может возникнуть выбор: назначить такое лицо в рамках трудовых отношений или же передать соответствующие функции на аутсорсинг.

Кто может быть ответственным

Как указал НЦЗПД, назначение лица, ответственного за осуществление внутреннего контроля, может быть реализовано одним из следующих способов:

1) назначить освобожденного работника или структурное подразделение. Это целесообразно в случае масштабной обработки ПД;

2) возложить дополнительные функции на одного из работников организации. Для такого лица обработка ПД не должна быть основным видом деятельности, чтобы исключить потенциальный конфликт интересов.

Это важно
Не следует назначать ответственного за осуществление внутреннего контроля из числа руководителей и их заместителей, а также лиц, которые связаны с обработкой большого объема ПД (например, кадровые и бухгалтерские службы, структурные подразделения по обращениям граждан и т. д.).

У назначенного работника должна быть объективная возможность выполнять соответствующие функции с учетом уже имеющихся должностных обязанностей;

3) возложить дополнительные функции на двух работников. На одного работника, например юрисконсульта, можно возложить обязанности в части организационных и правовых мер, а на другого, например специалиста по информационной безопасности, — в части мер по технической и криптографической защите ПД.

При таком варианте требуется четкое распределение функций между указанными лицами, чтобы исключить противоречия в их деятельности. При этом, как и в предыдущем варианте, у назначенного работника должна быть объективная возможность выполнять соответствующие функции с учетом уже имеющихся должностных обязанностей.

Мнение автора

Нецелесообразно возлагать соответствующие функции исключительно на ответственного за обеспечение защиты информации или инженера (программиста, системного администратора, специалиста по информационной безопасности и т. п.).

Проблематика назначения

Не совсем правильной является практика тех организаций, в которых лица, ответственные за осуществление внутреннего контроля за обработкой ПД, назначаются в каждом структурном подразделении.

Это приводит к сложностям при их взаимодействии, конкуренции, появлению различных подходов к реализации законодательства о ПД в различных подразделениях. Кроме того, это может приводить к конфликту интересов, а также потребовать дополнительных временны́х и финансовых затрат на обучение таких лиц (например, на базе НЦЗПД).

Как полагает НЦЗПД, лицо, ответственное за осуществление внутреннего контроля за обработкой ПД, — это всегда штатный работник, т. е. лицо, состоящее с оператором (уполномоченным лицом) в трудовых отношениях на основании трудового договора.

Требования и функционал

По мнению НЦЗПД, к основным функциям лица, ответственного за осуществление внутреннего контроля, могут относиться следующие:

• осуществление (участие в осуществлении) внутреннего контроля за обработкой ПД;

На заметку руководителю
Для организации работы специалиста целесообразно иметь в организации положение о порядке проведения внутреннего контроля обработки ПД.

• консультирование руководителя и работников по вопросам применения законодательства о ПД;
• участие в разработке (поддержании в актуальном состоянии) документов, определяющих политику организации в отношении обработки ПД;
• ведение (координация ведения) ре­естра обработки ПД;
• участие в обучении работников организации и иных лиц, непосредственно осуществляющих обработку ПД, по вопросам защиты ПД (в т. ч. разработка тестов, иных заданий, их проверка и т. п.);
• участие в рассмотрении заявлений субъектов ПД;
• взаимодействие с уполномоченным органом по защите прав субъектов ПД — НЦЗПД.

Оператору рекомендуется обеспечить независимость лица, ответственного за осуществление внутреннего контроля, посредством:

• предоставления доступа к документам и информации, в т. ч. обрабатываемой в информационных системах (ресурсах), в объеме, необходимом для выполнения возложенных на него обязанностей;
• организации непосредственной подчиненности руководителю организации или его заместителю.

Справочно: чтобы обеспечить независимость лица, ответственного за осуществление внутреннего контроля, за счет непосредственной подчиненности руководителю организации или его заместителю, важно отразить это в должностной инструкции работника, на которого планируется возложить такие обязанности.

Наименование должности, квалификационные требования и должностные обязанности в выпуске 1 ЕКСД и должностной инструкции от НЦЗПД имеют некоторые различия.

Основные из них представлены в табл.

Таблица

Различия в части требований и функционала специалиста по внутреннему контролю за обработкой ПД

До внесения изменений в выпуск 1 ЕКСДНЦЗПД указывал, что конкретные квалификационные требования к работникам, на которых возлагаются функции ответственного за осуществление внутреннего контроля, Законом не определены. Однако с учетом возлагаемых на данных лиц функций такое лицо должно назначаться c учетом знания им законодательства о ПД (что, как правило, предполагает наличие юридического образования) и практики его применения, а также способности выполнять функции, возложенные на данное лицо.

На заметку руководителю
Новая квалификационная характеристика не внесла ничего принципиального нового в квалификационные требования к специалисту по внутреннему контролю за обработкой ПД.

Однако что касается должностных обязанностей, то они после внесения изменений в выпуск 1 ЕКСД по сравнению с обязанностями в должностной инструкции, предложенной НЦЗПД, все-таки изменились.

Также вы можете скачать сравнительную таблицу должностных обязанностей специалиста по внутреннему контролю за обработкой ПД.

Действия в связи с нововведениями

Можно выделить несколько ситуаций и вариантов кадровых действий в зависимости от того, как организован внутренний контроль в организации:

• есть структурное подразделение по защите ПД;
• есть штатная единица специалиста по защите ПД;
• отсутствует отдельная единица специалиста по защите ПД.

Наличие структурного подразделения

В данном случае фактические изменения будут такими же, как в ситуации, когда в штате есть специалисты по защите ПД.

Наличие штатного специалиста

В данном случае могут быть две ситуации — когда в штатном расписании организации:

• наименование должности основано на ином базовом наименовании, нежели «Специалист»;
• наименование должности основано на базовом наименовании должности «Специалист».

Это важно
Так как с 19 января 2023 г., после вступления в силу постановления № 62, появилась новая должность служащего, уже нет правовых оснований с учетом п. 7 Общих положений ЕКСД использовать в качестве базового наименования «специалист».

В данном случае возникает вопрос, что имеет место:

• перевод согласно ст. 30 ТК в связи с изменением трудовой функции работника или
• приведение трудовых отношений, в т. ч. наименования должности специалиста, в соответствие с законодательством о труде, в данном случае — с Общими положениями ЕКСД (п. 7) и выпуском 1 ЕКСД?

Справочно: согласно ч. 4 ст. 19 ТК в случае изменения законодательства о труде условия трудового договора должны быть приведены в соответствие с законодательством о труде.

Перевод и приведение в соответствие с законодательством о труде — кардинально разные кадровые действия.

Так, перевод может быть только с письменного согласия работника (ч. 2 ст. 30 ТК), а единственный вариант без такого согласия — это увольнение по сокращению (п. 1 ст. 42 ТК).

Мнение автора

В данном случае это не соответствует фактическим обстоятельствам и правовой природе изменений. Потребность нанимателя в специалисте по внутреннему контролю никак не исчезает в силу сохранения требований п. 3 ст. 17 Закона о защите персональных данных, т. е. нет оснований для сокращения.

Поскольку с учетом ч. 4 ст. 19 ТК наниматель должен привести трудовые отношения в соответствие с законодательством о труде, целесообразно внести изменения в должностную инструкцию и привести наименование должности служащего в соответствие с выпуском 1 ЕКСД.

Справочно: в настоящее время в выпус­ке 1 ЕКСД по новой должности нет отдельного кода должности, но полагаем, что со временем он должен появиться, что повлечет за собой отражение таких сведений в форме ПУ‑2. Подача ПУ‑2 может понадобиться и при изменении наименования должности служащего.

Отсутствие штатного специалиста

Согласно ч. 3 п. 10 Общих положений ЕКСД по решению нанимателя трудовая функция (должностные обязанности) служащего может предусматривать выполнение обязанностей, содержащихся в квалификационных характеристиках других должностей служащих, близких по содержанию работ, равных по сложности и не требующих изменения квалификации служащего.

Так как до 19 января 2023 г. ЕКСД не содержал обязанностей по внутреннему контролю за обработкой ПД, в такой ситуации применялись, как правило, ст. 20 и 32 ТК. Если изначально условия трудового договора не содержали обязанности работника осуществлять внутренний контроль за обработкой ПД, то наниматель их мог возложить на работника либо с его согласия (ч. 4 ст. 19 ТК), либо в порядке изменения существенных условий труда (ст. 32 ТК).

Мнение автора

Сейчас ситуация значительно изменилась, и, возможно, что как Министерство труда и социальной защиты, так и НЦЗПД посчитают допустимым возлагать такие обязанности без согласия работника на основании п. 10 Общих положений ЕКСД.

Исходя из разъяснения НЦЗПД, близкой по содержанию работой, равной по сложности и не требующей изменения квалификации служащего в отношении внутреннего контроля за обработкой ПД, является трудовая функция юрисконсульта.