Ответственный за персональные данные: кто это и как назначить

Ответственный за защиту персональных данных: кто это и его функции

Кто такой ответственный за защиту персональных данных

Это работник, которому организация-оператор поручает следить за законностью обработки сведений о людях. Его задача не вносить и не править записи, а проверять, что компания действует по правилам Закона №99-З. Фактически это внутренний контролёр процесса, а не его исполнитель.

Роль появилась вместе с законом о персональных данных, который действует в Беларуси с 2021 года. Раньше защита личной информации держалась на общих нормах, теперь у каждого оператора должен быть конкретный человек, отвечающий за порядок внутри компании. Без него организация формально не выполняет одно из базовых требований регулятора.

Зачем оператору назначать такое лицо

Защищённые документы с персональными данными в запертом шкафу

Назначить контролёра требует сам закон: это прямая обязанность оператора, а не вопрос доброй воли. Если в штате никого не закрепили за этой задачей, проверка зафиксирует нарушение даже при идеальном порядке с документами.

Практический смысл шире формальности. Назначенный специалист собирает в одних руках всю работу с личными сведениями: политику обработки, согласия, ответы на обращения. Когда за участок отвечает конкретный сотрудник, у компании меньше шансов пропустить запрос человека или сорвать срок ответа регулятору.

Кого можно назначить: работника или подразделение

Закон даёт оператору выбор: закрепить функцию за одним сотрудником или создать отдельное структурное подразделение. Ориентир простой — объём обработки. Чем больше людей, чьи данные вы храните, тем тяжелее справиться в одиночку.

Отдельный отдел заводить не обязательно. В небольшой фирме достаточно поручить контроль одному работнику, который совмещает задачу с основной должностью. В крупных структурах поток обращений и проверок такой, что без выделенной команды не обойтись.

ВариантКогда подходитВ чём плюс
Один работник по совмещениюМалый бизнес, личных сведений немногоДешевле, проще оформить
Отдельный специалистСредний объём, регулярные запросы людейПолное внимание участку
Структурное подразделениеБанки, страховые, крупные операторыРесурс под большой поток обращений

Чем контролёр отличается от допущенного к обработке

Главная путаница возникает между тем, кто работает с записями о клиентах, и тем, кто этот процесс проверяет. Это две разные роли, и держать их в одном человеке нельзя.

Допущенный сотрудник напрямую обрабатывает информацию: вносит, правит, передаёт её по работе. Назначенное лицо такие действия не выполняет, а оценивает их законность и ведёт надзор. Если совместить обе функции, появляется конфликт интересов: человек, который сам принимает решения об обработке, не может беспристрастно проверять собственную работу.

Из-за этого регулятор смотрит на кандидатуру внимательно. У специалиста должна быть и реальная возможность выполнять надзор, и нужные знания. Формальное назначение «для галочки» сотрудника, который физически не в состоянии заниматься контролем, проверку не устроит.

Какие функции выполняет назначенный специалист

Главная функция — внутренний контроль за тем, как организация и привлечённые исполнители соблюдают законодательство о личных сведениях. Это набор процедур, который помогает вовремя находить и устранять нарушения.

В типовой круг задач обычно входит:

  • организация внутреннего контроля за обработкой и доступом к информации;
  • разработка и поддержка политики, согласий и локальных документов;
  • обучение коллег, которые ежедневно работают с записями о клиентах;
  • приём и отработка обращений субъектов: доступ, уточнение, отзыв согласия;
  • взаимодействие с Национальным центром защиты персональных данных;
  • разбор инцидентов и оценка рисков утечки.

Объём задач зависит от размера компании. У небольшой фирмы это несколько процедур в год, у крупного оператора — постоянная работа с проверками, аудитами и обучением персонала.

Как назначить: приказ, инструкция, положение

Подписанный приказ о назначении ответственного за защиту персональных данных

Назначение оформляется тремя документами, а не одной устной договорённостью. Без бумаг проверка решит, что контролёра нет, даже если по факту человек этим занимается.

Базовый порядок выглядит так:

  1. Издать приказ руководителя о назначении конкретного сотрудника.
  2. Прописать новые обязанности в его должностной инструкции.
  3. Утвердить положение об организации внутреннего контроля.
  4. Ознакомить работника с документами под подпись.

Шаблоны лучше не брать вслепую из интернета: формулировки должны совпадать с реальными процессами компании. Если своих ресурсов на это нет, оформление и пакет документов можно передать на сопровождение по защите персональных данных, чтобы не собирать комплект с нуля.

Обучение специалиста: как часто и где

Оператор обязан организовать подготовку контролёра не реже одного раза в пять лет. Это не разовое условие при назначении, а регулярная процедура, которую нужно подтверждать документом.

Для части операторов обучение проходит именно в Национальном центре защиты персональных данных. Такой порядок обязателен для банков, страховых и риелторских организаций, а также для компаний, которые обрабатывают сведения о 10 000 человек и больше. Перечень категорий закреплён приказом Оперативно-аналитического центра. Остальные операторы выбирают формат подготовки сами, но игнорировать требование нельзя.

Какие документы готовит и ведёт

За назначенным лицом закрепляется не только надзор, но и документооборот по защите личных сведений. Именно эти бумаги первыми запрашивает регулятор при проверке.

Обычно специалист отвечает за политику обработки, формы согласий, журнал учёта обращений, акты внутренних проверок и материалы по разбору инцидентов. Полнота и актуальность этого комплекта показывают, что контроль ведётся на деле, а не существует на бумаге.

Что будет, если никого не назначить

Отсутствие назначенного работника — это нарушение прямого требования Закона №99-З. Компания попадает под риск проверки и административной ответственности, а руководитель отвечает за организацию защиты лично.

Есть и практическая сторона. Без закреплённого сотрудника некому отслеживать законность обработки, готовить ответы людям и регулятору, разбирать инциденты. По нашему опыту именно пустой участок контроля всплывает первым, когда поступает жалоба субъекта или происходит утечка.

Как подобрать решение под вашу компанию

Выбор начинается с одного вопроса: сколько личных сведений вы обрабатываете и кто внутри готов взять надзор без конфликта интересов. От ответа зависит, хватит ли одного работника по совмещению или нужна отдельная штатная единица.

Мы помогаем подобрать кандидатуру, оформить приказ и инструкции, выстроить внутренний контроль и подготовить пакет под проверку. Если своего специалиста нет, функцию можно вынести на внешнее сопровождение: оставьте заявку, и мы рассчитаем объём работ под ваш масштаб.

Часто задаваемые вопросы

Чем контролёр отличается от сотрудника, допущенного к обработке?

Главное отличие — в роли. Допущенный сотрудник сам работает со сведениями о клиентах: вносит, правит и передаёт их. Назначенное лицо эти действия не выполняет, а проверяет их законность и ведёт надзор. Совмещать обе роли в одном человеке нельзя: возникает конфликт интересов, и контролёр фактически проверяет сам себя.

Можно ли назначить ответственным самого директора?

Да, формально руководитель вправе взять функцию на себя, но на практике так делают редко. Директор обычно сам принимает решения об обработке информации, поэтому не может беспристрастно оценивать их законность. В малом бизнесе участок чаще поручают юристу, кадровику или специалисту по безопасности, у которого нет конфликта интересов.

Как часто такой специалист должен проходить обучение?

Не реже одного раза в пять лет. Для банков, страховых и риелторских организаций, а также для операторов со сведениями о 10 000 человек и больше подготовка проходит в Национальном центре защиты персональных данных. Остальные компании выбирают формат сами, но факт обучения лучше подтверждать документом.

Что делать, если в штате нет подходящего работника?

Привлеките стороннего специалиста по договору. Закон допускает передачу функции уполномоченному лицу — внешнему исполнителю, который ведёт надзор на аутсорсе. Это удобно небольшим фирмам, где держать отдельного работника невыгодно. Главное закрепить обязанности в договоре и убедиться, что у исполнителя есть нужная квалификация.

Чем рискует компания, если никого не назначила?

Компания нарушает прямое требование Закона №99-З и попадает под риск проверки и административной ответственности. Без закреплённого контролёра некому отслеживать законность обработки, готовить ответы людям и регулятору. На практике именно пустой участок надзора всплывает первым при разборе жалоб и инцидентов с утечкой.

Нужно ли создавать отдельный отдел или хватит одного человека?

Зависит от объёма обработки. Небольшой организации хватает одного назначенного работника, который совмещает контроль с основной должностью. Отдельное подразделение оправдано там, где личных сведений много: банки, страховщики, крупные интернет-магазины, медицинские центры. Закон не навязывает форму, а оставляет решение оператору исходя из его масштаба.

Вверх