Алгоритм принятия решения о способе организации контроля за обработкой персональных данных и введения в штат должности DPO ((data protection officer), менеджера (специалиста, инженера) по защите персональных данных), ответственного за осуществление внутреннего контроля за обработкой персональных данных

Владимир Самосейко
юрист

11.11.2021

15 ноября 2021 г. вступит в силу закон, посвященный персональным данным в Беларуси, который затронет практически каждую компанию. Нанимателям придется принимать кадровые решения по организации внутреннего контроля за обработкой персональных данных. Материал предлагает пошаговый алгоритм решения данного вопроса.

Правовое регулирование

Работу с персональными данными регламентируют:

• ТК;

• Декрет от 15.12.2014 № 5 «Об усилении требований к руководящим кадрам и работникам организаций»;

• Указ от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»;

• Закон от 07.05.2021 № 99-З «О защите персональных данных»;

• Закон от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;

• Закон от 21.07.2008 № 418-З «О регистре населения»;

• приказ ОАЦ от 20.02.2020 № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449» и др.

Общие положения

На оператора возложена обязанность определить структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных (абз.2 п.3 ст.17 Закона № 99-З).

Справочно Оператор - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее - физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных. Закон № 99-З напрямую не отвечает на вопрос, кто именно может быть таким ответственным лицом. По мнению автора, есть три варианта: 1) ввести производную, но отдельную должность служащего, трудовой функцией которого было бы исключительно осуществление внутреннего контроля за обработкой персональных данных; 2) ввести базовые должности, которые уже предусмотрены выпуском 1 ЕКСД (начальник отдела, специалист и инженер по защите информации), и конкретизировать их обязанности под осуществление внутреннего контроля за обработкой персональных данных; 3) дополнить должностные обязанности по уже существующим штатным единицам, например, юрисконсульта, с поручением ему работы по осуществлению внутреннего контроля за обработкой персональных данных. Таким ответственным лицом может быть, например, менеджер по защите персональных данных (отдельная должность руководителя). Либо можно возложить преимущественно на юрисконсульта работу по осуществлению внутреннего контроля за обработкой персональных данных. В этой ситуации важно соблюдение принципов контроля, чтобы не было конфликта интересов, когда одно и то же лицо осуществляет обработку персональных данных и одновременно контролирует себя в части соблюдения установленного порядка такой обработки. В связи с этим предлагаем рассмотреть вариант, когда оператор (наниматель) вводит в штат (штатное расписание) штатную единицу, по которой не предусмотрена соответствующая квалификационная характеристика или профстандарт в ЕКСД и по которой работнику поручается работа (трудовая функция) исключительно в части осуществления внутреннего контроля за обработкой персональных данных.

Алгоритм принятия решения о способе организации контроля за обработкой персональных данных и введения в штат должности менеджера по защите персональных данных

Шаг 1. Определяем форму работ по осуществлению внутреннего контроля за обработкой персональных данных (в виде структурного подразделения или в виде отдельных штатных единиц (штатной единицы))

Обязательными мерами по обеспечению защиты персональных данных являются в том числе назначение оператором (уполномоченным лицом) структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (абз.2 п.3 ст.17 Закона № 99-З).

Иными словами, оператор может либо создать соответствующее структурное подразделение, либо определить лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.

Структурное подразделение

Трудовое законодательство не приводит единого определения структурного подразделения, но содержит определение обособленного подразделения организации, согласно которому - это филиал, представительство, структурное подразделение организации, расположенное вне места ее нахождения либо по месту ее нахождения, которым для совершения операций организацией открыт текущий (расчетный) банковский счет с предоставлением права распоряжаться денежными средствами на счете должностным лицам этих обособленных подразделений на основании доверенности (абз.8 ч.1 ст.1 ТК).

Автор полагает, что в качестве ориентировочного определения структурного подразделения можно воспользоваться следующими определениями:

• под структурным подразделением организации понимается официально выделенная ее самостоятельная часть, в том числе обособленное подразделение, возглавляемая руководителем, подчиненным непосредственно руководителю организации (его заместителям), главным специалистам организации (абз.4 ч.2 подп.9.1 п.9 Положения о порядке и условиях исчисления стажа государственной службы, утв. постановлением Совмина от 13.05.1997 № 471).

От редакции «Бизнес-Инфо» С 1 января 2023 г. Положение № 471 изложено в новой редакции постановлением Совмина от 30.12.2022 № 984;

• под структурным подразделением аппарата управления организации понимается официально выделенная обособленная его часть, выполняющая одну или несколько функций, либо часть функции управления, возглавляемая руководителем (п.8 Рекомендаций по разработке примерных структур и штатных нормативов численности работников аппарата управления коммерческих организаций государственной формы собственности и организаций с долей собственности государства в их уставных фондах более 50 процентов, утв. постановлением Минтруда и соцзащиты от 09.03.2004 № 25).

В профессиональной литературе есть разные классификации структурных подразделений (обособленные и внутренние в зависимости от места нахождения, производственные и функциональные и т. п.). В данном случае (для составления штатного расписания, а точнее, норм управляемости (при ведении такого документа)) это не принципиально.

Важно различать именно структурные подразделения, которые отражаются в трудовом договоре согласно п.2 ч.2 ст.19 ТК, в трудовой книжке, форме ПУ-2 и т. п., и просто группировку штатных единиц, например, «Администрация», «Ремонт» и т. п.

Если исходить из имеющихся определений в законодательстве, норм управляемости (для государственных органов и бюджетных организаций), то, по мнению автора, можно выделить следующие признаки структурного подразделения:

1) это официально выделенная часть организации, отраженная в двух главных документах организации: в организационной структуре и (или) штатном расписании организации;

2) у такой официально выделенной части есть руководитель. Установленные нормы управляемости требуют наличия руководителя, хотя прямого требования о его наличии в законодательстве нет.

Полагаем, что без руководителя структурное подразделение не может надлежащим образом выполнять свои функции.

Законодательство предусматривает возможности руководства работниками и без создания структурного подразделения (например, в отношении производных должностей «Ведущий» и «Старший» согласно п.5 Общих положений Единого квалификационного справочника должностей служащих, утв. постановлением Минтруда и соцзащиты от 02.01.2012 № 1, в случае с рабочими - это производное наименование профессии «Старший» согласно п.28 Общих положений ЕТКС).

Также многие должности руководителей, предусмотренные ЕКСД, не предусматривают обязательного создания структурного подразделения, например, менеджер, мастер, руководитель проекта и т. п.

Именно последний критерий позволяет решить вопрос о том, является ли, например, склад структурным подразделением, если есть только штатная единица кладовщика. По мнению автора, нет, так как нет руководителя для такого подразделения. Это будет рабочее место, но не структурное подразделение.

Этот же признак позволяет отличить структурное подразделение от простой группировки штатных единиц в штатном расписании. Так «Администрация» («Руководство», «Аппарат управления» и т. п.) не является структурным подразделением, даже если такое выделение есть в штатном расписании;

3) наличие руководителя подразумевает, что есть и подчиненные. При отсутствии подчиненных руководитель не будет выполнять руководящие функции;

4) наличие положения о структурном подразделении.

Права, обязанности, полномочия и ответственность руководителей структурных (обособленных) подразделений определяются в положениях об этих подразделениях (ч.5 п.10 Общих положений ЕКСД).

По рассмотренным критериям, например, бухгалтерию можно отнести к структурному подразделению, если она отдельно выделена в штатном расписании, есть должность главного бухгалтера, а также положение о бухгалтерии.

Создание структурных подразделений - это право нанимателя.

Законодательство не обязывает нанимателей создавать структурные подразделения (за исключением государственных органов и бюджетных организаций).

Таким образом, создавать или нет структурные подразделения - это право нанимателя.

Нормы управляемости и условия для создания подразделения

Обязательные, императивные нормы управляемости существуют только в отношении государственных органов и бюджетных организаций.

При создании структурных подразделений (управление (служба), отдел, сектор (бюро, группа), иные) нормы управляемости определяются нанимателем в локальном правовом акте, если иное не установлено актами законодательства (ч.9 п.10 Общих положений ЕКСД). Иными словами, наниматель может установить свои нормы управляемости (актуально в первую очередь для коммерческих организаций).

В случае если организация небольшая и (или) имеет место обработка небольшого объема персональных данных, то оператор может не вводить в штат отдельное структурное подразделение, а предусмотреть одну или несколько штатных единиц.

На оператора возложены обязанности по принятию правовых, организационных и технических мер по обеспечению защиты персональных данных (п.1 ст.17 Закона № 99-З). Не в каждой организации есть специалист, который обладал бы нужной квалификацией и в правовом, и в организационном, и в техническом аспектах порядка обработки персональных данных, который бы смог единолично выполнять все эти функции.

Автор полагает, что не будет нарушением ст.17 Закона № 99-З (учитывая, что можно создавать структурное подразделение, то есть фактически распределять обязанности по осуществлению внутреннего контроля за обработкой персональных данных между несколькими работниками) распределение обязанности по осуществлению внутреннего контроля за обработкой персональных данных между двумя работниками. Так, один может отвечать за осуществление внутреннего контроля за обработкой персональных данных с организационно-правовой точки зрения, а второй - с технической.

Шаг 2. Определяем наименования структурного подразделения и должностей служащих, ответственных за осуществление внутреннего контроля за обработкой персональных данных

Каких-либо правил (требований) по наименованию структурных подразделений законодательство не содержит. Можно выделить три основных условия:

• необходимо соблюдать требования законодательства о государственных языках;

• необходимо учитывать базовые наименования должностей руководителей структурных подразделений;

• наименование должно отражать организационно-правовую форму структурного подразделения (если оно есть).

Заметим, что не все структурные подразделения имеют определенную организационно-правовому форму. Например, в постановлении Совмина от 19.03.2018 № 203 «О порядке и условиях создания структурных подразделений в государственных органах и штатном расписании отдельных государственных органов» приведены такие структурные подразделения, как кабинет, склад, база, хозяйство, архив, библиотека, канцелярия, экспедиция и т. п.

Таким образом, оператор самостоятельно определяет вид и наименование структурного подразделения, ответственного за осуществление внутреннего контроля за обработкой персональных данных.

Вполне допустимо создание отдела (сектора) по защите персональных данных с численностью три или два работника (штатные единицы): начальник (заведующий), инженер по защите персональных данных, специалист по защите персональных данных.

Наименование должности лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных

Единый квалификационный справочник должностей служащих и ОКЗ не содержат должности, которая посвящена исключительно работе по контролю за соблюдением порядка обработки персональных данных у нанимателя.

В выпуске 1 ЕКСД наиболее близкими являются следующие должности служащих по защите информации:

• руководители:

- начальник отдела по защите информации (код должности - 1330-015);

- начальник сектора по защите информации (код должности - 1330-034);

- начальник лаборатории по защите информации (код должности - 1330-009);

• специалисты:

- главный специалист по защите информации (код должности - 2529-002);

- инженер по защите информации (коды должности - 2149-020, 2529-003);

- специалист по защите информации (код должности - 2529-005);

- техник по защите информации (код должности - 3512-002).

Использование таких наименований должностей актуально при разработке должностных инструкций и положения о структурном подразделении.

Эти наименования можно использовать как базовые и уточнить, что работники по ним выполняют работу также и по защите персональных данных (п.4 Общих положений ЕКСД).

В таком случае с учетом пп.4 и 7 Общих положений ЕКСД можно использовать в качестве базовых наименований «Начальник», «Менеджер», «Инженер», «Специалист» и тому подобное с уточнением трудовой функции: «по защите персональных данных».

Например, «Начальник отдела по защите персональных данных», «Менеджер по защите персональных данных», «Инженер по защите персональных данных», «Специалист по защите персональных данных» и т. п.

Если нецелесообразно создавать структурное подразделение, то с учетом п.5 Общих положений ЕКСД можно ввести наименование должности с производной «Ведущий» или «Старший», например, «Ведущий специалист по защите персональных данных».

Шаг 3. Вносим дополнения в штатное расписание

После выбора организационной формы осуществления внутреннего контроля за обработкой персональных данных (с созданием или без создания структурного подразделения), определения наименований, объема работ (на полную ставку или на часть ставки) вносятся дополнения в штатное расписание.

В штатном расписании следует отразить структурное подразделение, его наименование, а также наименование должностей служащих.

Штатное расписание, как правило, утверждается. Документ, подлежащий утверждению, приобретает юридическую силу только с момента его утверждения. Документ может утверждаться двумя способами: посредством проставления должностным лицом в грифе утверждения собственноручной подписи или издания распорядительного документа (составления протокола). Оба способа имеют одинаковую юридическую силу (ч.2, 3 п.52 Инструкции по делопроизводству в государственных органах, иных организациях, утв. постановлением Минюста от 19.01.2009 № 4).

От редакции «Бизнес-Инфо» С 1 июля 2024 г. следует руководствоваться Инструкцией № 4 с учетом изменений, внесенных постановлениями Минюста от 10.01.2024 № 2 и от 30.04.2024 № 25. Комментарий см. здесь.

Таким образом, наниматель либо утверждает штатное расписание в новой редакции, либо вносит в него соответствующие изменения. Последний вариант возможен, если штатное расписание первоначально было утверждено приказом.

Приказ о внесении дополнений в штатное расписание (пример)

Шаг 4. Разрабатываем и утверждаем должностную инструкцию и положение о структурном подразделении (при его создании)

Полагаем, при данном варианте должностные обязанности по должности определяются исходя из функции по осуществлению внутреннего контроля за обработкой персональных данных, а также исходя из обязанностей оператора, которые закреплены в законодательстве (в том числе в Законе № 99-З).

Также принимая во внимание, что национальный закон разрабатывался в том числе с учетом Общего регламента по защите персональных данных ЕС № 2016/679 (далее - Регламент), при составлении должностной инструкции можно использовать описания работ (должностных функций и обязанностей), которые предусмотрены Регламентом в отношении DPO (инспектора по защите персональных данных).

1. Квалификационные требования.

Инспектор по защите персональных данных (data protection officer) должен назначаться на основе профессиональных качеств и, в частности, на основе экспертного знания законодательства и практики в сфере защиты персональных данных, а также способности выполнять задачи, указанные в ст.39 Регламента (п.5 ст.37 Регламента).

1. Инспектор по защите персональных данных должен выполнять следующие задачи (ст.39 Регламента):

a) информировать и консультировать контролера (оператора) или процессора (уполномоченное лицо) и работников, которые обрабатывают персональные данные, о возложенных на них обязанностях в соответствии с Регламентом и иными нормами ЕС или государств-членов в сфере защиты персональных данных;

b) осуществлять мониторинг соблюдения Регламента, других норм ЕС или государств-членов в сфере защиты персональных данных, а также локальных правовых актов контролера (оператора) или процессора (уполномоченное лицо) в области защиты персональных данных, в том числе осуществлять распределение обязанностей, повышение осведомленности, обучение персонала, участвующего в операциях по обработке, и соответствующие аудиторские проверки;

c) предоставлять запрашиваемые рекомендации касательно оценки воздействия на защиту персональных данных и контролировать ее осуществление в соответствии со ст.35 Регламента;

d) взаимодействовать с надзорным органом;

e) выступать в качестве контактного лица для надзорного органа по вопросам, связанным с обработкой, в том числе с предварительной консультацией, упомянутой в ст.36 Регламента, и при необходимости консультировать по любому другому вопросу.

2. При выполнении своих задач инспектор по защите персональных данных должен уделять должное внимание риску, связанному с операциями по обработке данных, с учетом характера, масштаба, контекста и целей обработки.

3. В пп.4 и 5 ст.38 Регламента также упомянуто, что субъекты данных могут обращаться к инспектору по защите персональных данных относительно всех вопросов, связанных с обработкой их персональных данных и осуществлением их прав согласно Регламенту.

Инспектор по защите персональных данных при выполнении своих задач обязан соблюдать тайну или конфиденциальность в соответствии с правом ЕС или государства-члена.

Таким образом, с учетом Регламента основные должностные обязанности DPO - это:

1) консультирование;

2) осуществление контроля (мониторинга);

3) связь с надзорным органом НЦЗПД.

1. Функция консультирования заключается в том, что DPO представляет информацию и пояснения о Регламенте (законодательстве о персональных данных в целом) и его соблюдении контролеру и процессору (оператору или уполномоченному лицу), а также работникам контролера и процессора, которые вовлечены в обработку персональных данных (работникам, которые непосредственно осуществляют обработку персональных данных у оператора и уполномоченного лица).

2. Контролирующая (мониторинговая) функция DPO - это контроль соблюдения законодательства о защите данных и ЛПА по защите персональных данных, а также повышение осведомленности по вопросам защиты данных, обучение персонала и проведение внутреннего аудита.

В рамках обязанностей по контролю за соблюдением требований DPO могут:

• собираться информация для выявления деятельности по обработке персональных данных;

• анализироваться и проверяться соответствие этой деятельности;

• информироваться, консультироваться контролер или процессор и выдаваться рекомендации им по конкретным процессам и обработкам и т. п.

Следует также уточнить, что наличие мониторинговой функции у DPO не означает, что именно DPO несет личную ответственность в случаях ее несоблюдения. В Регламенте четко указано, что именно контролер (оператор) обязан принимать надлежащие технические и организационные меры для обеспечения и демонстрации того, что обработка осуществляется в соответствии с Регламентом (ст.24 Регламента).

3. Взаимодействие с надзорным органом означает, что DPO является первым контактным лицом для контролирующих органов и для лиц, чьи данные обрабатываются.

При выполнении своих задач DPO должен принимать во внимание риски (risk-based approach), связанные с обработкой персональных данных, то есть учитывать характер, масштаб, контекст и цели обработки.

В Регламенте также сказано, что контролер или процессор (оператор или уполномоченное лицо) может назначить дополнительные задачи и обязанности для DPO, если только они не приведут к конфликту интересов с основными задачами.

Например, в ЕС на практике DPO часто составляют и ведут реестр деятельности по обработке (в соответствии со ст.30 Регламента), хотя в соответствии с Регламентом именно контролер или процессор, а не DPO, обязаны вести учет операций по обработке под свою ответственность. Однако ничто не мешает возложить эту задачу на DPO.

Должностная инструкция менеджеру по защите персональных данных (с примечаниями по тексту) (пример)

Шаг 5. Ознакамливаем работника с должностной инструкцией

В данном случае применяются общие нормы, а именно:

• при приеме на работу наниматель обязан ознакомить работника под подпись с порученной работой, условиями и оплатой труда, разъяснить права и обязанности (п.2 ч.1 ст.54 ТК);

• при переводе или иной форме изменений трудовых отношений наниматель обязан своевременно оформлять изменения в трудовых обязанностях работника и знакомить его с ними под подпись (пп.10 и 15 ч.1 ст.55 ТК).

Кроме того, наниматель обязан создавать условия для ознакомления работника с локальными правовыми актами, затрагивающими его права и обязанности.

Варианты оформления ознакомления с должностной инструкцией:

1) как правило, подпись работника проставляется на лицевой стороне последнего листа должностной инструкции и может выглядеть следующим образом:

2) могут использоваться листы ознакомления различных форм, которые нумеруются вместе с должностной инструкцией:

Лист ознакомления должен быть рассчитан на количество работников, до сведения которых будет доводиться должностная инструкция в течение времени ее действия;

3) может вестись специальный журнал по ознакомлению работников с локальными правовыми актами:

4) при необходимости осуществляется фиксация факта отказа работника от ознакомления с должностной инструкцией.

Так как обязанность по ознакомлению с изменениями в трудовых обязанностях работника возложена на нанимателя (п.10 ч.1 ст.55 ТК), то, полагаем, что в случае отсутствия по каким-либо причинам возможности получения подписи работника об ознакомлении его с такими изменениями, отказа работника от ознакомления с должностной инструкцией и тому подобного следует оформить соответствующий акт. Унифицированной формы акта нет, следовательно, он составляется в произвольной форме с соблюдением общих требований законодательства о делопроизводстве.

Шаг 6. Оформляем обязательства о соблюдении конфиденциальности

Лицо, ответственное за внутренний контроль за обработкой персональных данных, непосредственно обработкой не занимается. Но он в силу своих должностных обязанностей (сути осуществляемого им контроля) получает допуск к персональных данным, которые обрабатываются оператором (нанимателем).

Законом № 99-З напрямую, в том числе в ст.17, не установлена обязанность по оформлению отдельного документа, в котором работник оператора брал бы на себя обязательство по соблюдению установленного (законодательством или ЛПА организации) порядка обработки персональных данных или сохранения их конфиденциальности.

Установлено лишь, что оператор (уполномоченное лицо) обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных (п.1 ст.17 Закона № 99-З).

Перечень таких мер он устанавливает самостоятельно с учетом минимального обязательного перечня мер, который определен в п.3 ст.17 Закона № 99-З. В частности, одной из обязательных мер является установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе).

Иными словами, как оформить порядок допуска в части закрепления обязанностей работников, допущенных к обработке персональных данных, решает наниматель самостоятельно: либо через закрепление таких обязанностей в трудовом договоре (контракте) (с учетом ч.3 ст.19 ТК), либо посредством дачи работником соответствующего обязательства.

Обязательство о соблюдении конфиденциальности персональных данных (пример)

Шаг 7. Назначаем ответственного за осуществление внутреннего контроля за обработкой персональных данных

Одна из минимальных организационных мер, которые оператор должен осуществить в области защиты персональных данных, - это назначить лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных.

Оформляется такое назначение обычно в виде приказа по основной деятельности.

Приказ о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (пример)

Шаг 8. Обучаем ответственное лицо

Операторы (уполномоченные лица) организуют не реже одного раза в 5 лет прохождение обучения по вопросам защиты персональных данных лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных, в том числе:

• категориями лиц, определенными ОАЦ, - в НЦЗПД по образовательной программе повышения квалификации руководящих работников и специалистов;

• иными лицами:

- в учреждениях образования, а также в иных организациях, которым предоставлено право реализации образовательной программы повышения квалификации руководящих работников и специалистов, по образовательной программе повышения квалификации руководящих работников и специалистов;

- в других организациях по образовательной программе обучающих курсов (лекториев, тематических семинаров, практикумов, тренингов, офицерских курсов и иных видов обучающих курсов);

- у оператора (уполномоченного лица) путем изучения установленных требований в области защиты персональных данных и проверки им знаний по вопросам защиты персональных данных (в форме собеседования, опроса, тестирования и других формах контроля знаний) (подп.3.3 п.3 Указа № 422).

Категории лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которые обязаны проходить обучение в НЦЗПД, определяются ОАЦ.

Шаг 9. Информируем НЦЗПД и ОАЦ об ответственном лице

Операторы (уполномоченные лица) до 15 декабря 2021 г., а в последующие годы - до 15 ноября обеспечивают представление НЦЗПД информации о количестве лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также лиц, непосредственно осуществляющих обработку персональных данных, которым необходимо пройти обучение в НЦЗПД (ч.2 п.3.3 Указа № 422).

Указом № 422 в Единый правовой классификатор Республики Беларусь, утв. Указом от 04.01.1999 № 1, были внесены изменения, и данный классификатор пополнен новой позицией «10.03.08.05 Персональные данные и их защита».

Таким образом, рассматриваемая классификация законодательства (от общего к конкретному):

• «10 Законодательство в области образования, научной, научно-технической и инновационной деятельности, информации и информатизации, культуры, физической культуры и спорта, туризма»;

• «10.03 Законодательство об информации, информатизации и защите информации»;

• «10.03.08 Информатизация. Информационные технологии».

С учетом вышеизложенного, полагаем, можно рассматривать ближайшие руководящие должности - «Начальник отдела по защите информации», «Начальник сектора по защите информации», «Начальник лаборатории по защите информации», которые входят в состав начальной группы 1330 «Руководители структурных подразделений в сфере информационно-коммуникационных технологий».

В данной начальной группе есть базовое наименование должности «Менеджер» с кодом должности 1330-002.

Так как должность менеджера по защите персональных данных исходя из п.4 Общих положений ЕКСД является полной должностью, образованной от базовой должности «Менеджер», то код будет такой же, то есть 1330-002.

Дополнительно по теме • Персональные данные: что нужно знать с 15 ноября 2021 года. • Персональные данные, на обработку которых нанимателю не надо получать согласие работников. • Персональные данные работников организации. • Трансграничная передача персональных данных. • На оператора (уполномоченное лицо) возложена обязанность определить структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных (абз.2 п.3 ст.17 Закона от 07.05.2021 № 99-З «О защите персональных данных»). Кого в организации можно назначить для выполнения этой функции? • Персональные данные: изменение должностных инструкций работников.