Закон о персональных данных – это первый законодательный акт, специально принятый для обеспечения защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных.
Оператор и уполномоченное лицо
Законом о персональных данных введены новые категории субъектов в сфере обработки и защиты персональных данных – оператор и уполномоченное лицо.
Любой субъект, который самостоятельно или совместно с кем-либо организует и (или) осуществляет обработку персональных данных, является оператором (абз. 8 ст. 1 Закона о персональных данных). То есть оператором может стать любое лицо, которое осуществляет обработку персональных данных в связи с профессиональной или предпринимательской деятельностью (госорган, юрлица, ИП и иные организации). При этом не важно, как именно обрабатываются данные: с помощью автоматизированных средств или без них (например, картотеки, списки и т.п.) (п. 1 ст. 2 Закона о персональных данных).
Поскольку не всегда непосредственную обработку персональных данных осуществляет оператор, законодателем введена такая категория, как уполномоченное лицо – это субъект, который осуществляет обработку персональных данных от имени оператора или в его интересах в соответствии с актом законодательства или на основании договора (абз. 16 ст. 1 Закона о персональных данных).
Какие меры должны быть приняты организациями для обеспечения защиты персональных данных?
Обязательные меры по обеспечению защиты персональных данных перечислены в ст. 17 Закона о персональных данных. К ним относятся:
- ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в т.ч. с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
- установление порядка доступа к персональным данным, в т.ч. обрабатываемым в информационном ресурсе (системе).
Таким образом, в организации должен быть определен перечень лиц (работников), имеющих право допуска к персональным данным и к их обработке.
Обязательными мерами по обеспечению защиты персональных данных являются в т.ч. назначение оператором (уполномоченным лицом), являющимся государственным органом, юридическим лицом Республики Беларусь, иной организацией, структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (п. 3 ст. 17 Закона о персональных данных).
Обязанности по защите персональных данных должны быть предусмотрены в трудовом договоре и (или) должностной инструкции. Также должны быть изданы приказы о назначении ответственных лиц за обеспечение, внутренний контроль обработки персональных данных и лиц, допущенных к обработке персональных данных.
Этапы организационно-правовых действий оператора (организации)
Этап 1. Устанавливаем перечень персональных данных, которые обрабатываются (используются, хранятся) у оператора. В любой организации это данные о работниках, контрагентах, клиентах и т.п.
На этом же этапе определите категории персональных данных, которые могут собираться без получения согласия субъекта данных в силу прямого указания закона.
Этап 2. Определяем лиц (либо формируем структурное подразделение), ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, у которых будет право допуска к обработке персональных данных.
Этап 3. Вносим дополнения в трудовые договоры и должностные инструкции лиц, которые согласно перечням будут допущены к работе с персональными данными.
Этап 4. Разрабатываем и утверждаем ЛПА по защите персональных данных (политики организации в отношении обработки персональных данных и т.п.) и ознакамливаем работников под роспись.
Этап 5. Разрабатываем формы документов, касающихся защиты персональных данных.
Этап 6. Определяем и обеспечиваем условия защиты персональных данных.
Этап 7. При необходимости обучите сотрудников работе с персональными данными.
Все лица, работающие с персональными данными, должны четко знать, какую информацию они вправе раскрывать третьим лицам, как следует реагировать на случаи, связанные с угрозой безопасности персональным данным, и т.д.
Не лишним будет проводить периодический аудит собираемых и хранимых персональных данных.
Ответственное лицо за осуществление внутреннего контроля за обработкой персональных данных
В ст. 17 Закона о персональных данных говорится об ответственном лице за осуществление внутреннего контроля за обработкой персональных данных.
Также законодатель допускает возможность создания отдельного структурного подразделения, задачей которого будет осуществление внутреннего контроля за обработкой персональных данных. Получается, что в организации может быть сразу несколько ответственных лиц в рамках структурного подразделения. Вопрос распределения ответственности между работниками в таком случае остается открытым.
Этот вопрос можно урегулировать в положении подразделения.
Организация обработки персональных данных – это больше обязанность руководителя организация и возложение, например, такой обязанности на специалиста будет выходить за пределы полномочий специалиста или иного служащего.
Следует также различать организационно-правовой контроль от ответственности (контроля) за эксплуатацию средств защиты информации. Второй вид контроля – это зона ответственности специалистов с техническим (инженерным) образованием (администратора сетей, инженера-программиста и т.п.).
Технический и правовой аспекты защиты персональных данных
Правовой аспект: когда определяется перечень лиц уполномоченных на обработку персональных данных, правила такой обработки (т.е. необходимость получения согласия субъекта персональных данных, информирование его о целях и основаниях такой обработки, достаточности и допустимости обработки определенных персональных данных с учетом целей такой обработки и т.п.).
Технический аспект: в частности, определение необходимых требований к информационным сетям, их защиты и т.п.
Следует отличать лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, и лиц, допущенных к обработке персональных данных
Например, бухгалтер по заработной плате в силу своей трудовой функции участвует в обработке персональных данных работников, лиц, работающих по гражданско-правовым договорам. Бухгалтер должен быть допущен к обработке персональных данных после соответствующего обучения и подписания обязательства о неразглашении персональных данных. При этом бухгалтер не является ответственным лицом за осуществление внутреннего контроля за обработкой персональных данных. Ответственным лицом может быть, например, заместитель руководителя организации по кадровым и правовым вопросам, начальник отдела кадров или юридического отдела.
При наличии обособленных подразделений (филиалов), можно назначать ответственных в данных подразделениях.
Это важно! Если в организации нет сотрудника, на которого можно возложить ответственность за осуществление внутреннего контроля за обработкой персональных данных, то такую обязанность может взять на себя руководитель организации.
Специалист по кадрам как лицо, имеющее допуск к персональным данным
Следует отличать лиц, имеющих право допуска к персональным данным, и лиц, имеющих право на их обработку. Ко второй категории относится специалист по кадрам.
К кругу лиц, имеющих право допуска к персональным данным, относятся как сами субъекты персональных данных (в отношении своих персональных данных), так и многочисленные государственные органы (статистические, правоохранительные и т.п.).
Организация же определяет персонал (категории работников), которому предоставлено право на допуск к персональным данным с целью их обработки (выполнения своих должностных (трудовых) обязанностей).
Например, работникам кадровой службы такой допуск необходим для оформления трудовых отношений с физлицами. Данные работников (в объеме, который требуется законодательством) могут собираться без получения от работников на то отдельного согласия. Но некоторые сведения, которые не требуются согласно законодательству о труде для заключения трудового договора, могут быть получены кадровиком только после получения письменного согласия лица. Так, например, от нового работника может быть запрошена информация о его родственниках.
Перечень лиц, доступ которых к персональным данным, обрабатываемым в организации, необходим для выполнения ими своих трудовых обязанностей, лучше определить в приказе (распоряжении).
Ответственные лица за эксплуатацию средств защиты информации
Также можно выделить лиц, которые ответственны за эксплуатацию средств защиты информации, т.е. за технический аспект защиты персональных данных.
В настоящее время предусмотрена ответственность за нарушение порядка обработки персональных данных:
- административная – п. 2 ст. 23.7 КоАП;
- уголовная – ст. 203-1и 203-2 УК;
- дисциплинарная – п. 10 части первой ст. 47, ст. 198 ТК;
материальная – ст. 400 ТК, п. 2 ст. 19 Закона о персональных данных.
