Современное деловое сообщество все более осознает важность соблюдения нормативных требований в области защиты персональных данных. Одно из таких требований — назначение лица, ответственного за обеспечение внутреннего контроля за обработкой персональных данных. В европейской практике по защите персональных данных такое лицо называется Data Protection Officer — DPO. В данной статье мы рассмотрим обязанности компании по назначению DPO, требования к DPO, его задачи и другие вопросы, связанные с внутренним контролем за обработкой персональных данных в компании.
Обязанности компаний в сфере назначения ответственного лица
1. Назначение ответственных за внутренний контроль за обработкой персональных данных: Компании, которые имеют дело с персональными данными физических лиц, обязаны организовать внутренний контроль за обработкой таких данных. Для этого компания может выбрать один из путей:
- Назначить подразделение, ответственное за внутренний контроль за обработкой персональных данных.
- Назначить лицо, ответственное за внутренний контроль за обработкой персональных данных. Когда принято решение не создавать структурное подразделение, ответственное за внутренний контроль за обработкой персональных данных, функции DPO можно распределить следующим образом:
- Нанять сотрудника-DPO.
- Возложить функции DPO на нескольких сотрудников в дополнение к их функциям.
- Возложить функции DPO на одного сотрудника в качестве дополнительных к его трудовым функциям.
2. Определение должностных обязанностей DPO и оформление документов: В зависимости от того, нанят ли отдельный сотрудник, или обязанности DPO возложены на определенного действующего сотрудника или нескольких сотрудников, нужно определить или дополнить должностные обязанности. Для отдельного сотрудника составляют Должностную инструкцию специалисту по осуществлению внутреннего контроля за обработкой персональных данных и знакомят его с Инструкцией.
При приеме на работу DPO или при распределении функций DPO среди нескольких сотрудников оформляют соответствующие документы отдела кадров.
Рекомендуем заранее рассмотреть кандидатуру сотрудника, который будет замещать DPO во время его отсутствия. Такого специалиста потребуется обучить компетенциям DPO.
3. Обучение DPO: Не реже 1 раза в 5 лет компании, которые назначили DPO, обязаны организовать обучение этих сотрудников по вопросам защиты персональных данных. Отправлять DPO на обучение можно:
- в организации, которые имеют образовательную лицензию и могут организовать повышение квалификации сотрудников. Обычно это образовательные учреждения.
- В организации, которые не имеют образовательной лицензии, а проводят обучающие курсы, тренинги, лекции.
Вместо направления в такие организации DPO может обучаться в своей компании. Для этого он изучает требования по защите персональных данных и проходит проверку знаний по эти вопросам. Проверка знаний может быть в форме собеседования, тестирования и других. Компания может пригласить специалистов, которые имеют право проводить обучение в сфере обработки персональных данных.
Обучение в Национальном центре защиты персональных данных: В ряде организаций DPO проходят обучение только в в Национальном центре защиты персональных данных. К таким организациям относятся в частности, банки и небанковские кредитно-финансовые организации, страховые компании, операторы электросвязи, риэлтерские организации, кадровые агентства, компании, которые обрабатывают персональные данные не менее, чем 10 000 физических лиц.
Когда в обязанности DPO входит обеспечение информационной безопасности, и компания владеет некоторыми информационными системами, кроме систем, которыми пользуются компании-резиденты Парка высоких технологий в деятельности, связанной с блокчейн или созданными с участием резидентов Парка, то обучать DPO в Национальном центре защиты персональных данных нужно не реже, чем один раз в три года.
4. Отчетность компании по DPO: Каждый год до 15 ноября компании предоставляют в Национальный центр защиты персональных данных информацию:
- О количестве DPO, которым нужно пройти обучение в Национальном центре.
- О количестве лиц, в обязанности которых входит обеспечение информационной безопасности, для повышения квалификации этих лиц.
Также в случаях, когда компания зарегистрирована в Реестре операторов персональных данных, в Реестр нужно внести сведения о DPO: его фамилию, имя, отчество, контактный телефон, адрес электронной почты. Напомним, что в Реестре нужно регистрироваться не всем компаниям, которые обрабатывают персональные данные. Есть определенные случаи, когда компания должна зарегистрироваться в этом Реестре. В частности, когда она обрабатывает биометрические и (или) генетические персональные данные, персональные данные более 100 000 физических лиц.
Что делает DPO в компании
Функционал DPO достаточно широк и включает в частности:
- Изучение бизнес-процессов, связанных с обработкой персональных данных и определение рисков, связанных с этими процессами.
- Предложение мер по минимизации рисков, связанных с бизнес-процессами по обработке персональных данных.
- Разработка документов компании в сфере персональных данных, их актуализация и согласование.
- Участие в принятии мер по технической и криптографической защите персональных данных.
- Контроль за персональными данными в трудовых отношениях, прекращением их обработки, удаление и блокирование при отсутствии оснований для их дальнейшей обработки.
- Проверка выполнения требований об обработке персональных данных в структурных подразделениях компании.
- Изучение нарушений работниками компании требований к обработке персональных данных и предложения об ответственности виновных лиц.
- Согласование локальных документов компании и договоров в отношении соответствия их требованиям к защите персональных данных.
- Ознакомление работников с требованиями к обработке персональных данных.
- Организация обучения сотрудников, которые непосредственно обрабатывают персональные данные, предложение оптимальной формы обучения.
- Взаимодействие по вопросам, связанным с обработкой персональных данных, с Национальным центром защиты персональных данных.
На что обратить внимание при подборе кандидатуры DPO
Есть ряд обстоятельств, которые полезно учитывать при подборе кандидатуры DPO и определении его функционала. Вот некоторые из них:
1. Не допускать конфликт интересов: Рекомендуем не назначать DPO лицо, которое непосредственно обрабатывает персональные данные, так как в этом случае возникает конфликт интересов: DPO, как лицо, ответственное за внутренний контроль за обработкой персональных данных, придется контролировать самого себя. К конфликту интересов может привести ситуация, когда лицо, которое непосредственно обрабатывает персональные данные и DPO — сотрудники одного подразделения компании.
2. Не рассматривать в качестве DPO фрилансера: Обстоятельства бывают различными. Однако как правило, штатный сотрудник несет большую ответственность перед компанией, чем специалист, привлеченный по гражданско-правовому договору. Кроме этого, при внутреннем контроле за обработкой персональных данных часто требуется погружение в бизнес-процессы и доступ к информации, которая составляет коммерческую тайну компании. По мнению государственного органа, который контролирует защиту персональных данных, DPO должен быть штатным наемным сотрудником.
3. Учитывать квалификационную характеристику должности: Квалификационная характеристика должности специалиста, ответственного за внутренний контроль за обработкой персональных данных, включает требование к образованию: у DPO должно быть высшее образование, независимо от стажа работы. В дальнейшем стаж работы в качестве DPO имеет значение для повышения категории такого специалиста: минимум 2 года — для второй квалификационной категории и 3 года во второй категории — для присвоения первой.
4. Разделить функции: Рекомендуем возложить на разных сотрудников функции технической и криптографической защиты информации и функции внутреннего контроля за обработкой персональных данных. Для качественной технической и криптографической защиты информации требуется техническое образование, а для выполнения других функций DPO такое образование не требуется, их может выполнять например, юрист.
Как DPO контролирует обработку персональных данных
Сотрудник, который выполняет функции DPO, не придет просто так к сотруднику, который обрабатывает персональные данные, с предложением проконтролировать их обработку. Внутренний контроль за обработкой персональных данных — это бизнес-процесс, который нужно проанализировать, простроить и оформить локальным документом.
Национальный центр защиты персональных данных предлагает составить локальный документ: Порядок осуществления внутреннего контроля за обработкой персональных данных. Этот документ разрабатывают на основании других внутренних документов компании по обработке персональных данных, в частности, Политик.
Формы внутреннего контроля за обработкой персональных данных
Внутренний контроль за обработкой персональных данных может проходить в виде мониторинга структурных подразделений компании и внеплановых проверок.
Мониторинг проводится раз в полгода по заранее составленному на год плану мониторинга.
Внеплановые проверки DPO проводит по поручению руководителя компании. Для такой проверки DPO определяет:
- Какое подразделение компании или работу какого сотрудника он будет проверять.
- Какой бизнес-процесс или информационная система будет проверена.
- Период проверки.
- Внеплановую проверку нужно провести в течение трех рабочих дней с даты получения поручения руководителя.
Чем мы можем быть полезны при подборе и оформлении отношений с DPO
Наши юристы и специалисты по информационной безопасности — опытные специалисты в сфере внутреннего контроля за обработкой персональных данных и защиты информации о персональных данных.
Мы можем:
- Проконсультировать вас по вопросам подбора подходящей формы внутреннего контроля за обработкой персональных данных.
- Подобрать кандидатуру DPO, разработать и оформить кадровые документы о приеме на работу, распределении функций DPO между сотрудниками компании.
- Разработать документы по внутреннему контролю за обработкой персональных данных.
- Провести внутреннее обучение по обработке персональных данных и защите информации в вашей компании.
- Представить ваши интересы в государственных органах.
Свяжитесь с нами
Если у Вас возникли вопросы или споры в отношении назначения и функций DPO — мы будем рады Вам помочь! Наш многолетний опыт в области корпоративного права и налогообложения поможет Вам в разрешении и урегулировании любых спорных ситуаций в этой области.
- +37529366-44-77 (WhatsApp, Viber, Telegram)
- info@ambylegal.by