Работники, осуществляющие обработку персональных данных
Под работниками, осуществляющими обработку персональных данных, в первую очередь понимаются работники, трудовая функция которых преимущественно связана с обработкой персональных данных, и во вторую очередь — иные работники, осуществляющие обработку персональных данных эпизодически.
В п. 6 алгоритма приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями Закона* (далее — Алгоритм) в качестве примера работников, трудовая функция которых в основном связана с обработкой персональных данных, названы работники кадровых, бухгалтерских служб, работники, ответственные за функционирование информационного ресурса (системы)). Кроме того, это работники иных структурных подразделений, чья трудовая функция связана со сбором (получением), хранением, использованием, предоставлением, распространением и совершением иных действий с персональными данными, в т. ч. работники, которые получают согласие субъектов на обработку персональных данных.
* С алгоритмом приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями Закона можно ознакомиться на сайте НЦЗПД.
Следует учитывать, что обработка персональных данных работниками может осуществляться как в информационном ресурсе (системе), так и без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
Справочно: в качестве примера наиболее распространенных информационных ресурсов (систем) в п. 5 Алгоритма указаны корпоративная электронная почта, программное обеспечение для ведения бухгалтерского учета и отчетности, сайты учреждений, автоматизированные системы контроля и управления доступом, системы видеонаблюдения, электронного документооборота и т. п.
Одной из предусмотренных в п. 5 Алгоритма мер по приведению деятельности оператора (уполномоченного лица) в соответствие с требованиями Закона является определение порядка доступа к персональным данным, включающего перечень работников, непосредственно осуществляющих обработку персональных данных, в соответствии с целями их обработки и категориями персональных данных. В связи с этим целесообразно, опираясь на штатное расписание и должностные инструкции работников, определить перечень должностей работников (без указания ФИО), трудовая функция которых преимущественно связана с обработкой персональных данных, и закрепить его в приказе.
Это позволит обеспечить ознакомление всех таких работников с обязательными требованиями по обработке и защите персональных данных (положениями законодательства, локальными правовыми актами и организационно-распорядительными документами), а также организовать обучение работников как в процессе их трудовой деятельности, так и при приеме на работу новых работников.
Условия допуска сотрудника к работе с персональными данными
Среди обязательных для оператора (уполномоченного лица), в т. ч. и учреждения дошкольного образования, мер по обеспечению защиты персональных данных в п. 3 ст. 17 Закона названы:
1) ознакомление работников и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в т. ч. с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных.
В п. 7 Алгоритма определено, что оператор (уполномоченное лицо) вправе избрать любой способ подтверждения ознакомления (например, под роспись в журнале), позволяющий в дальнейшем продемонстрировать выполнение обязанности;
2) обучение указанных работников и иных лиц.
При организации обучения работников необходимо руководствоваться Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» и приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных».
По решению нанимателя работники, непосредственно осуществляющие обработку персональных данных, могут проходить обучение:
- с направлением за пределы своей организации;
- без направления — в своей организации путем изучения требований в области защиты персональных данных и проверки знаний по вопросам защиты персональных данных (в форме опроса, тестирования, собеседования и других формах контроля знаний) (п. 8 Алгоритма).
Последний вариант обучения позволяет без отрыва от работы максимально быстро и эффективно провести обучение с учетом специфики трудовой функции работников, чего, как правило, не может дать обучение в сторонней организации. Кроме того, целесообразно проводить обучение не всех работников учреждения вместе, а по подразделениям с учетом особенностей работы с персональными данными, разными категориями субъектов.
Главное при ознакомлении и обучении работников — избежать формализма: недостаточно выложить в системе электронного документооборота для ознакомления Закон, политику в отношении обработки персональных данных, иные локальные правовые акты и дать расписаться в журнале учета прохождения обучения. Необходимо провести реальное ознакомление, обучение работников и проверку не только полученных знаний, но и навыков их использования в повседневной работе.
Требуется объяснить работникам, когда нужно получать согласие субъектов на обработку их персональных данных, а когда — нет (при наличии иных правовых оснований обработки), как правильно получать согласие, дать работникам конкретные письменные инструкции об этом, а также научить, как отвечать на вопросы субъектов персональных данных и разрешать конфликтные ситуации, не допуская жалоб и негативных последствий для учреждения в виде проверок и привлечения работников к ответственности.
Закрепление обязанностей работников в связи с обработкой ими ПД
Определить должностные обязанности работников можно путем дополнения их должностных инструкций. Однако подробно все обязанности работников в части защиты персональных данных только в должностной инструкции изложить не получится, т. к.:
- перечень обязанностей должен быть детализированным, а перечисление обязанностей займет большой объем текста должностной инструкции;
- обязанности во многом идентичны, поэтому они будут повторяться в должностных инструкциях различных работников.
Должностные обязанности работников можно закреплять не только в должностных инструкциях, но и в локальных правовых актах организации, которые тоже являются обязательными для работников. Это можно сделать, например, в положении об обработке персональных данных (далее — Положение), в котором предусмотреть отдельный раздел «Общие обязанности работников, трудовая функция которых в основном связана с обработкой персональных данных».
Если определить обязанности работников по обработке персональных данных в Положении, то их должностные инструкции можно будет незначительно дополнить путем отсылки к этому локальному правовому акту и, кроме этого, конкретизировать в них обязанности, исходя из специфики деятельности работника.
Чтобы избежать конфликтных ситуаций с работниками, рекомендуем предусмотреть в Положении следующее:
«Выполнение работником обязанностей по обработке персональных данных и их защите как являющееся выполнением требований законодательства о защите персональных данных и своих должностных обязанностей не предусматривает каких-либо вознаграждений, других выплат за выполнение этих обязанностей и не является изменением существенных условий труда работника».
В Положении можно также определить порядок получения согласий субъектов на обработку их персональных данных, на основании чего разработать соответствующие пошаговые инструкции (алгоритмы) для различных категорий работников и после проведения обучения передать им для повседневного использования.
Кроме того, для закрепления обязанностей работников можно внести такие же отсылочные положения в правила внутреннего трудового распорядка (при определении общих обязанностей работников).
При установлении обязанностей работников необходимо учесть особенности, которые определяются:
- сферой деятельности — тогда их можно отразить при определении общих обязанностей работников в Положении;
- трудовой функцией работника — в таком случае следует конкретизировать обязанности отдельных работников в их должностных инструкциях.
В п. 6 Алгоритма указано, что в должностных инструкциях работников, обрабатывающих персональные данные эпизодически, обязанность может быть предусмотрена следующим образом:
«Соблюдать установленный законодательством о защите персональных данных и локальными правовыми актами порядок обработки персональных данных».
Рекомендуем дополнить положения о структурных подразделениях в части, определяющей должностные обязанности их руководителей, нормами об организации и контроле обработки и защиты персональных данных в подчиненном структурном подразделении.
Резюме
Общие обязанности работников, чья трудовая функция в основном связана с обработкой персональных данных, стоит изложить в Положении.
Должностные инструкции таких работников следует дополнить отсылкой к Положению, а также конкретизировать в них обязанности, исходя из специфики деятельности работника.
Можно внести такие же отсылочные положения в правила внутреннего трудового распорядка (при определении общих обязанностей работников).
В завершение необходимо организовать и провести ознакомление и обучение работников обязательным требованиям об обработке и защите персональных данных.
Также вы можете ознакомиться со следующими формами документов:
пример дополнений в должностные инструкции работников, непосредственно осуществляющих обработку персональных данных;
пример дополнений в положение об обработке персональных данных, которые касаются обязанностей работников, осуществляющих обработку персональных данных.