Кто в организациях должен отвечать за внутренний контроль за обработкой персональных данных

Кто в организациях должен отвечать за внутренний контроль за обработкой персональных данных, рассказал журналистам директор Национального центра защиты персональных данных Андрей Гаев, передает корреспондент БЕЛТА.

“Несмотря на рискориентированный подход, воспринятый в нашем законодательстве, есть ряд обязательных, четко предусмотренных законодательством мер, которые должны выполнить работники, входящие в структуру каждого конкретного оператора. Надо определиться с тем, кто будет являться ответственным за внутренний контроль, то есть за тем, как в целом в организации налажена работа с персональными данными”, – сказал Андрей Гаев.

Согласно закону, каждый оператор должен назначить ответственное лицо или структурное подразделение. Будет это целое структурное подразделение или достаточно ответственного лица (нескольких лиц), решается в каждом конкретном случае индивидуально, исходя из объема бизнес-процессов, количества персональных данных о гражданах, которые обрабатываются организациями.

“Примерно 80% той работы, которая должна осуществляться ответственным лицом, – юридическая составляющая. Поэтому категорически неверно определять единственным ответственным лицо, которое отвечает за вопросы информационной безопасности или администрирование сетей, ресурсов в организации. Этот человек не справится с работой, которую необходимо выполнить по нормам закона. Неправильно возлагать эти функции на тех лиц, которые непосредственно обрабатывают персональные данные, например на работников кадровых служб, потому что возникает конфликт интересов”, – пояснил директор центра.

Кстати, по результатам социологического опроса, проведенного во взаимодействии с Институтом социологии Национальной академии наук, оказалось, что во многих организациях контролем за обработкой персональных данных занимается именно специалист по кадрам. “Конфликта интересов быть не должно”, – подчеркнул Андрей Гаев.

По его словам, требований к образованию такого ответственного лица не установлено. Речь идет о ситуациях, если это не структурное подразделение. Вместе с тем желательно, чтобы это был юрист. Вторым ответственным может быть лицо, которое отвечает за безопасность сетей, ведение информационных ресурсов. “Может быть несколько ответственных, может быть один. В нашем центре это один человек, который имеет базовое юридическое образование и у которого сфера профессиональных интересов перекликается с IT-сферой”, – отметил Андрей Гаев.

Он также назвал обязательные требования, которые необходимо выполнить в организации. Так, нужно определить документы, которые бы четко описывали процессы обработки персональных данных в организациях, так называемые политики в отношении обработки персональных данных. Их может быть несколько, например об общих подходах к обработке персональных данных, организации видеонаблюдения, работе с файлами cookie.

Кроме того, следует определить требования к технической и криптографической защите информации внутри организации. “Определив, кто в организации имеет доступ к персональным данным и в каком объеме, это нужно реализовать техническими средствами. То есть, простым языком говоря, настроить информационные ресурсы таким образом, чтобы конкретный работник получал доступ только к той информации, которая необходима ему для той же трудовой функции”, – пояснил директор центра.

Источник: БЕЛТА