25 студзеня, Мінск /Кар. БЕЛТА/. Хто ў арганізацыях павінен адказваць за ўнутраны кантроль за апрацоўкай персанальных даных, расказаў журналістам дырэктар Нацыянальнага цэнтра абароны персанальных даных Андрэй Гаеў, перадае карэспандэнт БЕЛТА.
"Нягледзячы на рызыкаарыентаваны падыход, успрыняты ў нашым заканадаўстве, ёсць шэраг абавязковых, дакладна прадугледжаных заканадаўствам мер, што павінны выканаць работнікі, якія ўваходзяць у структуру кожнага канкрэтнага аператара. Трэба вызначыцца з тым, хто будзе з'яўляцца адказным за ўнутраны кантроль, гэта значыць за тым, як у цэлым у арганізацыі наладжана работа з персанальнымі данымі", - сказаў Андрэй Гаеў.
Згодна з законам кожны аператар павінен назначыць адказную асобу або структурнае падраздзяленне. Будзе гэта цэлае структурнае падраздзяленне або дастаткова адказнай асобы (некалькіх асоб), вырашаецца ў кожным канкрэтным выпадку індывідуальна, зыходзячы з аб'ёму бізнес-працэсаў, колькасці персанальных даных аб грамадзянах, якія апрацоўваюцца арганізацыямі.
"Прыкладна 80 працэнтаў той работы, якая павінна ажыццяўляцца адказнай асобай, - юрыдычны складнік. Таму катэгарычна няправільна вызначаць адзіным адказным асобу, якая адказвае за пытанні інфармацыйнай бяспекі або адміністраванне сетак, рэсурсаў у арганізацыі. Гэты чалавек не справіцца з работай, якую неабходна выканаць па нормах закону. Няправільна ўскладаць гэтыя функцыі на тых асоб, якія непасрэдна апрацоўваюць персанальныя даныя, напрыклад на работнікаў кадравых службаў, таму што ўзнікае канфлікт інтарэсаў", - растлумачыў дырэктар цэнтра.
Дарэчы, па выніках сацыялагічнага апытання, праведзенага ва ўзаемадзеянні з Інстытутам сацыялогіі Нацыянальнай акадэміі навук, аказалася, што ў многіх арганізацыях кантролем за апрацоўкай персанальных даных займаецца менавіта спецыяліст па кадрах. "Канфлікту інтарэсаў быць не павінна", - падкрэсліў Андрэй Гаеў.
Паводле яго слоў, патрабаванняў да адукацыі такой адказнай асобы не ўстаноўлена. Размова ідзе аб сітуацыях, калі гэта не структурнае падраздзяленне. Разам з тым пажадана, каб гэта быў юрыст. Другім адказным можа быць асоба, якая адказвае за бяспеку сетак, вядзенне інфармацыйных рэсурсаў. "Можа быць некалькі адказных, можа быць адзін. У нашым цэнтры гэта адзін чалавек, які мае базавую юрыдычную адукацыю і ў якога сфера прафесійных інтарэсаў пераклікаецца з IT-сферай", - адзначыў Андрэй Гаеў.
Ён таксама назваў абавязковыя патрабаванні, якія неабходна выканаць у арганізацыі. Так, трэба вызначыць дакументы, якія выразна б апісвалі працэсы апрацоўкі персанальных даных у арганізацыях. Іх можа быць некалькі, напрыклад аб агульных падыходах да апрацоўкі персанальных даных, арганізацыі відэанагляду, работы з файламі cookie.
Акрамя таго, трэба вызначыць патрабаванні да тэхнічнай і крыптаграфічнай абароны інфармацыі ўнутры арганізацыі. "Вызначыўшы, хто ў арганізацыі мае доступ да персанальных даных і ў якім аб'ёме, гэта трэба рэалізаваць тэхнічнымі сродкамі. Гэта значыць, проста кажучы, наладзіць інфармацыйныя рэсурсы такім чынам, каб канкрэтны работнік атрымліваў доступ толькі да той інфармацыі, якая неабходна яму для той жа працоўнай функцыі", - растлумачыў дырэктар цэнтра.-0-
