Материал помещен в архив

Ответственность кадровой службы по защите персональных данных

Владимир Самосейко
юрист

01.09.2021

Автор разъяснил, что ознакомление определенных работников с положениями законодательства о персональных данных и установление порядка доступа к ним - это обязательные меры по обеспечению защиты персональных данных. Также он рассказал, кто будет отвечать и проводить внутренний контроль за обработкой персональных данных.

Обязательные меры обеспечения защиты персональных данных:

1) назначение структурного подразделения или лица, ответственного за внутренний контроль обработки персональных данных;

2) ознакомление лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных;

3) установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе) (абз.1-4 п.3 ст.17 Закона от 07.05.2021 № 99-З «О защите персональных данных»).

То есть необходимо установить перечень лиц (работников), имеющих право допуска к персональным данным, точнее, к их обработке.

Введите обязанность работников по защите персональных данных

Дополнительные обязанности в области защиты персональных данных должны быть предусмотрены условиями трудового договора и (или) должностной инструкции работника.

Вначале конкретизируйте (закрепите) обязанности работников в сфере защиты персональных данных в трудовом договоре и (или) должностной инструкции и только после этого оформляйте приказы о назначении ответственных лиц и лиц, допущенных к обработке персональных данных.

Таких лиц надо вначале обучить поручаемой работе. Правда, на данный момент законодательство не конкретизирует, что понимать под таким обучением.

Пока что действующий ЕКСД не учитывает особенности нового правового института защиты персональных данных, как и нормы труда и т. п.

Однако это не означает, что работники с 15 ноября 2021 г. (даты вступления в силу Закона № 99-З) освобождаются от обязанностей по защите персональных данных.

По факту будет применяться правило ч.4 ст.19 ТК о том, что стороны трудового договора должны привести его условия в соответствие с законодательством.

Алгоритм подготовки к вступлению в силу Закона № 99-З

Как определить ответственного за осуществление внутреннего контроля за обработкой персональных данных

На практике уже возникают вопросы, кто за что отвечает. В абз.2 п.3 ст.17 Закона № 99-З говорится об ответственном за осуществление внутреннего контроля за обработкой персональных данных.

В юридической литературе уже есть примеры (образцы) приказов о назначении такого лица.

В России ответственное лицо - не руководитель организации, к нему не предъявляются какие-либо специальные требования (к квалификации и т. п.), и он указан в единственном числе (ст.22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Аналогичная формулировка ответственного лица есть и в ст.25 Закона Республики Казахстан от 21.05.2013 № 94-V «О персональных данных и их защите».

Закон № 99-З по-другому подходит к ответственному лицу:

• в нем сказано только об ответственности за осуществление внутреннего контроля за обработкой персональных данных, отдельной статьи нет;

• допускает создание отдельного структурного подразделения.

То есть возможно наличие нескольких ответственных лиц (в рамках структурного подразделения). Вопрос распределения ответственности в этом случае пока остается открытым, но полагаем, что он будет регулироваться положением о таком подразделении с учетом абз.6-8 п.10 Общих положений ЕКСД, а основная ответственность будет возлагаться на руководителя такого подразделения.

От редакции «Бизнес-Инфо» С 8 сентября 2021 г. следует руководствоваться п.10 Общих положений ЕКСД, изложенных в новой редакции постановлением Минтруда и соцзащиты от 22.07.2021 № 55.

Защита персональных данных имеет 2 разных аспекта:

1) организационно-правовой, когда определяются перечень уполномоченных на обработку персональных данных лиц, правила такой обработки:

- необходимость получения согласия субъекта персональных данных;

- информирование его о целях и основаниях такой обработки, достаточности и допустимости обработки определенных персональных данных с учетом целей такой обработки и т. п.;

2) технический: определение необходимых требований к информационным сетям, их защиты и т. п.

Полагаем, что допустима формулировка - «лицо, ответственное за обработку персональных данных» (то есть без «обеспечения»). Хотя лучше использовать терминологию абз.2 п.3 Закона № 99-З.

Обратите внимание! В любом случае рекомендуем следить за разъяснениями уполномоченного органа по защите прав субъектов персональных данных по данному вопросу как органа, которому предоставлено право давать официальные разъяснения по вопросам применения законодательства о персональных данных, проводить иную разъяснительную работу о законодательстве о персональных данных (абз.8 п.3 ст.18 Закона № 99-З).

Следует отличать лиц, ответственных за обеспечение, внутренний контроль обработки персональных данных, и лиц, которые допущены к обработке персональных данных.

Например, бухгалтер по заработной плате в силу своей трудовой функции участвует в обработке персональных данных физических лиц (работников, лиц, работающих по гражданско-правовым договорам и т. п.). То есть он должен быть допущен к обработке персональных данных (конечно, после соответствующего обучения и дачи обязательства о неразглашении персональных данных). Но такой работник, как правило, не является ответственным за осуществление внутреннего контроля за обработкой персональных данных. Ответственным может быть, например, заместитель руководителя организации (по кадровым и правовым вопросам и т. п.), начальник отдела кадров или юридического отдела.

Приказ о назначении лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (пример)

В обособленных подразделениях можно назначать ответственными и данные подразделения, а в головной организации можно конкретизировать, за что отвечает лицо, ответственное за внутренний контроль в головном офисе.

Примечание. Если в организации нет работника (лица), на которого можно возложить ответственность за осуществление внутреннего контроля за обработкой персональных данных, то такую ответственность берет на себя руководитель организации.

Утвердите перечень лиц, имеющих доступ к обработке персональных данных для их обработки

Надо различать лиц, имеющих право допуска к персональным данным и право допуска на их обработку.

Круг лиц, имеющих право допуска к персональным данным, широкий: это сами субъекты персональных данных (в отношении своих персональных данных) и многочисленные государственные органы (статистические, правоохранительные и т. п.). Организация определяет перечень работников, которые имеют право на допуск к персональным данным для их обработки (выполнения своих должностных (трудовых) обязанностей). Например, работникам кадровой службы такой допуск нужен для оформления трудовых отношений с физлицами, работникам бухгалтерии - для начисления заработной платы, производства налоговых и иных удержаний и т. п.

Иными словами, приказ или распоряжение об утверждении списка лиц, доступ которых к персональным данным, обрабатываемым в организации, необходимы для выполнения ими своих трудовых обязанностей.

Перечень может быть:

• включен в ЛПА (например, положение о работе с персональными данными);

• издан как отдельный приказ.

Удобнее оформлять в виде приказа, тогда будет проще вносить в него изменения и дополнения при смене уполномоченных лиц.

Приказ об определении лиц, имеющих право доступа к персональным данным работников, обрабатываемым организацией (пример)

Назначьте ответственного за эксплуатацию средств защиты информации

Определите лиц, ответственных за эксплуатацию средств защиты информации, то есть за технический аспект защиты персональных данных.

Приказ о назначении лица, ответственного за эксплуатацию средств защиты информации (пример)