Наши специалисты ответят на любой интересующий вопрос по услуге
Задать вопрос“Несмотря на рискоориентированный подход, воспринятый в нашем законодательстве, есть ряд обязательных, четко предусмотренных законодательством мер, которые должны выполнить работники, входящие в структуру каждого конкретного оператора. Надо определиться с тем, кто будет являться ответственным за внутренний контроль, то есть за тем, как в целом в организации налажена работа с персональными данными”, – сказал Андрей Гаев.
Согласно закону каждый оператор должен назначить ответственное лицо или структурное подразделение. Будет это целое структурное подразделение или достаточно ответственного лица (нескольких лиц), решается в каждом конкретном случае индивидуально, исходя из объема бизнес-процессов, количества персональных данных о гражданах, которые обрабатываются организациями.
“Примерно 80% той работы, которая должна осуществляться ответственным лицом, – юридическая составляющая. Поэтому категорически неверно определять единственным ответственным лицо, которое отвечает за вопросы информационной безопасности или администрирование сетей, ресурсов в организации. Этот человек не справится с работой, которую необходимо выполнить по нормам закона. Неправильно возлагать эти функции на тех лиц, которые непосредственно обрабатывают персональные данные, например на работников кадровых служб, потому что возникает конфликт интересов”, – пояснил директор центра.
Кстати, по результатам социологического опроса, проведенного во взаимодействии с Институтом социологии Национальной академии наук, оказалось, что во многих организациях контролем за обработкой персональных данных занимается именно специалист по кадрам. “Конфликта интересов быть не должно”, – подчеркнул Андрей Гаев.
По его словам, требований к образованию такого ответственного лица не установлено. Речь идет о ситуациях, если это не структурное подразделение. Вместе с тем желательно, чтобы это был юрист. Вторым ответственным может быть лицо, которое отвечает за безопасность сетей, ведение информационных ресурсов. “Может быть несколько ответственных, может быть один. В нашем центре это один человек, который имеет базовое юридическое образование и у которого сфера профессиональных интересов перекликается с IT-сферой”, – отметил Андрей Гаев.
Он также назвал обязательные требования, которые необходимо выполнить в организации. Так, нужно определить документы, которые бы четко описывали процессы обработки персональных данных в организациях, так называемые политики в отношении обработки персональных данных. Их может быть несколько, например об общих подходах к обработке персональных данных, организации видеонаблюдения, работе с файлами cookie.
Кроме того, следует определить требования к технической и криптографической защите информации внутри организации. “Определив, кто в организации имеет доступ к персональным данным и в каком объеме, это нужно реализовать техническими средствами. То есть, простым языком говоря, настроить информационные ресурсы таким образом, чтобы конкретный работник получал доступ только к той информации, которая необходима ему для той же трудовой функции”, – пояснил директор центра.
Источник https://vitebsk.1prof.by/news/kto-v-organizaciyax-dolzhen-otvechat-za-vnutrennij-kontrol-za-obrabotkoj-personalnyx-dannyx/