Наши специалисты ответят на любой интересующий вопрос по услуге
Задать вопросВ начале 2023 г. в Едином квалификационном справочнике должностей служащих появилась квалификационная характеристика новой профессии – специалист по внутреннему контролю за обработкой персональных данных. Одновременно на рынке труда возникла профессия «специалист по защите персональных данных». Нужно ли нанимать такого сотрудника в компанию? Какие обязанности он должен выполнять и кому подчиняться? Национальный центр защиты персональных данных выпустил подробное разъяснение по этим вопросам.
В центре отметили, что в любой организации, где есть работники и обрабатываются их персональные данные, а также данные других лиц (клиентов, партнеров) должен быть назначен человек, ответственный за внутренний контроль над обработкой персональных данных. Для решения этих вопросов внутри организации можно также создать структурное подразделение. Тем более, что согласно п. 3 ст. 17 Закона «О защите персональных данных», назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных является обязательным.
Центр предлагает три варианта реализации этого требования:
создание структурного подразделения или назначение работника – лучший вариант при масштабной обработке персональных данных, а также если организация имеет дело с большим объемом чувствительных материалов – медицинских, генетических, биологических и т.п.;
возложение дополнительных функций на одного работника – для такого работника обработка персональных данных не должна быть основным видом деятельности. Центр рекомендует назначать ответственного из числа руководителей (их заместителей) организации или ее структурных подразделений, а также работников, которые ввиду специфики должности имеют дело с обработкой больших объемов персональных данных. Это могут быть сотрудники кадровых, бухгалтерских служб, отдела по работе с обращениями граждан и т.д. При этом формальный подход недопустим – у этих сотрудников реально должно быть время для исполнения основных обязанностей с учетом основной работы;
дополнительные функции возлагаются на нескольких работников – их функционал можно разделить с учетом компетенции. Например, юрисконсульт отвечает за правовые и организационные аспекты защиты персональных данных, а специалист по инфобезопасности – за технические (криптографическая и техническая защита). При этом следует четко разграничить зоны ответственности этих специалистов. Также они должны иметь возможность заниматься дополнительными обязанностями без ущерба для основной работы.
Отдельно Национальный центр защиты персональных данных напоминает, что даже назначение сотрудника, ответственного за внутренний контроль, не освобождает от ответственности за нарушения закона ни оператора, ни уполномоченных лиц, ни работников, которые непосредственно связаны с обработкой персональных данных.
Что должен делать специалист?
Ответственный за внутренний контроль должен:
осуществлять этот контроль;
консультировать руководителя и работников по применению законодательства о защите персональных данных;
участвовать в разработке политики организации в отношении персональных данных;
участвовать в обучении сотрудников организации, которые непосредственно занимаются обработкой персональных данных;
принимать участие в рассмотрении заявлений от субъектов персональных данных;
взаимодействовать с Национальным центром защиты персональных данный при необходимости.
Полная квалификационная характеристика специалиста изложена в Едином квалификационном справочнике должностей служащих.
Требования к образованию и опыту
Ввиду того, что эта специальность новая, подготовка специалистов на уровне высшего образования пока не проводится. В квалификационной характеристике лишь указано, что специалист должен иметь высшее образование. Требований к стажу работы и специальности нет.
Тем не менее, при назначении кандидата следует учитывать знание им законодательства о защите персональных данных и способность выполнять свои функции. При этом такие специалисты, а также работники, непосредственно занятые обработкой персональных данных, должны не реже одного раза в 5 лет проходить обучение в Национальном центре защиты персональных данных.
Ведомство также напомнило, что персональные данные – это ценный актив, который нужно охранять не меньше, чем материальные активы предприятия. Недостаточное внимание к этому процессу может стать причиной утечки конфиденциальных данных, которая навредит интересам граждан и станет причиной репутационных издержек предприятия.