В Национальном центре защиты персональных данных (далее — Центр) состоялось уникальное мероприятие для специалистов по осуществлению внутреннего контроля за обработкой персональных данных. Оно прошло в формате открытого микрофона, что позволило представителям различных организаций (банки, страховые компании, ретейл, учреждения образования и т.д.) обменяться профессиональным опытом, обсудить проблемы при реализации требований законодательства и найти возможные решения.
Справочно
Митап (от англ. meet up — ‘встречаться’) — неформальная встреча специалистов для обсуждения рабочих вопросов и обмена опытом.
DPO (Data Protection Officer) — специалист, который осуществляет внутренний контроль за законностью деятельности компании в сфере персональных данных.
1. Реестр обработки персональных данных как основа для организации внутреннего контроля и обучения работников
Мнения участников
Учет бизнес-процессов компании и выявление новых — основа для работы структурного подразделения (специалиста), осуществляющего внутренний контроль за обработкой персональных данных, в том числе для построения системы внутреннего контроля и обучения работников работе с персональными данными.
Значительную роль в этом играет реестр обработки персональных данных (далее — реестр).
Реестр необходим как для ответственных за внутренний контроль за обработкой персональных данных для эффективного проведения внутренних проверок, так и для других работников организации. Участие в его составлении работников различных структурных подразделений является существенным импульсом для запуска системы защиты персональных данных в целом в организации.
Организация самостоятельно принимает решение, каким образом организовать работу по ведению реестра.
Некоторые организации ведут реестр централизованно. Руководителям структурных подразделений разъясняется порядок предоставления информации о бизнес-процессах для реестра и его значение. Обязанность по предоставлению информации закрепляется в должностных инструкциях лиц, ответственных за предоставление информации для реестра, либо в локальном правовом акте организации.
Другие организации ведут реестр децентрализованно (например, отдельные реестры в филиалах, иных структурных подразделениях (в том числе обособленных), имеющих самостоятельные бизнес-процессы). Минусы такого варианта — недостаточная погруженность в тематику защиты персональных данных руководителей структурных подразделений; неединообразные подходы к составлению и форме реестра.
Разнится и опыт организаций в подходе к отражению бизнес-процессов в реестре. Одни операторы стремятся при наличии значительного количества бизнес-процессов структурировать их по каким-либо критериям, объединять в группы, другие — наоборот, прописать максимально подробно.
Вместе с тем, несмотря на различие подходов к составлению реестров, все участники митапа сошлись во мнении о необходимости наличия реестра как основы для учета бизнес-процессов и организации деятельности по реализации Закона о защите персональных данных.
Лучшие практики
1. Вовлечение в процесс составления реестра всех руководителей структурных подразделений организации; назначение во всех структурных подразделениях работника, ответственного за предоставление сведений в реестр. Это способствует формированию у работников понимания обработки персональных данных и ревизии этих процессов на предмет обоснованности, целесообразности и объема обрабатываемых персональных данных.
2. Поддержание реестра в актуальном состоянии. Например, можно создать трекинг-систему, которая позволит с определенной периодичностью (как вариант — один раз в квартал) проверить или подтвердить актуальность реестра, предоставить информацию о новых бизнес-процессах.
3. Закрепление обязанностей, порядка и объема участия руководителей и работников структурных подразделений организации в составлении и актуализации реестра в их должностных обязанностях или в локальном правовом акте организации.
2. Оптимизация работы с согласиями на обработку персональных данных. Форма отзыва согласия
Опыт крупной компании
Есть два варианта сбора согласий: в бумажной форме либо в электронной.
В отношении согласия в электронной форме важно зафиксировать не только факт его получения, например путем проставления галочки в информационной системе, но и:
— дату получения такого согласия, чтобы определить срок, на который оно давалось;
— способ получения, если возможна альтернатива в виде согласия на бумажном носителе.
В процессе работы может корректироваться цель согласия и его сроки; меняться условия, указанные при получении согласия; уполномоченные лица, которым передаются персональные данные. Поэтому необходимо фиксировать и эту меняющуюся динамику — на какую конкретную дату, на каких условиях дал согласие конкретный субъект.
Например, некоторые компании хранят на бэкенде сайта (бэкенд — то, что скрыто от пользователя и происходит вне его браузера и компьютера) PDF-версии полученных согласий. Возможный, но не совсем удобный вариант — утверждение каждого согласия либо их совокупности, если компания обновляет их все вместе. В таком случае можно фиксировать условия, предоставленные субъекту.
Кроме того, следует учитывать, что изменение настроек куки-файлов, перетягивание ползунков или проставление (снятие) дополнительных галочек тоже отзыв согласия, предоставленного на прежних условиях. Поэтому многие крупные операторы переходят к созданию электронной формы отзыва согласия. Пользователь заполняет свои персональные данные в форме, нажимает кнопку «Подтвердить», «Отправить», верифицирует свои данные, указывая номер телефона либо адрес электронной почты. После этого согласие автоматически отзывается либо специалист по внутреннему контролю за обработкой персональных данных рассматривает отзыв и реализует права субъекта персональных данных.
3. Обучение работников вопросам защиты персональных данных
Мнения участников
Преодолеть непонимание задач и целей работы лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных в организации, помогает обучение работников, в том числе руководства. Большую роль играет разъяснение рисков для бизнеса, а это не только штрафы, но и приостановление обработки персональных данных в информационной системе, что нередко чревато остановкой всей деятельности компании, а также потерей репутации.
Важно разъяснить лицам, которые непосредственно обрабатывают персональные данные, возможную ответственность, привести конкретные примеры нарушений и конкретные размеры штрафов. Ошибочно полагать, что всю ответственность за обработку персональных данных несет именно лицо, ответственное за внутренний контроль.
Объясняя работникам простым языком, что такое персональные данные, как нужно их обрабатывать, с какими целями и на каких правовых основаниях, организация в первую очередь выстраивает доверительные отношения с работниками.
В результате руководители и работники структурных подразделений вовлекаются в анализ организации процессов обработки персональных данных, указывают на найденные в работе соответствующего структурного подразделения недостатки в части защиты персональных данных.
Участники мероприятия сошлись во мнении, что при обучении важное значение имеет непосредственное общение. Это эффективнее дистанционного обучения и позволяет выстраивать доверительные отношения между специалистами по внутреннему контролю за обработкой персональных данных и работниками других структурных подразделений. Именно доверие позволяет в дальнейшем оптимизировать работу.
Целесообразно предоставлять работникам информацию об обработке персональных данных с двух сторон:
— как оператор (наниматель) обрабатывает их персональные данные как субъектов персональных данных;
— как работники обрабатывают персональные данные клиентов организации.
Некоторые организации используют специальные обучающие платформы, создают для линейных работников анимационные фильмы о защите персональных данных, памятки, методические материалы с учетом специфики их деятельности.
Важно, чтобы обучение строилось не на цитировании законодательных норм, а на практических примерах, озвученных простым языком. Программа обучения должна быть краткой и по возможности адаптированной под задачи конкретного структурного подразделения.
Обучение правильно завершать проверкой знаний.
Опыт крупной компании
Для проверки знаний работников используется электронное тестирование. Тесты включают 15 вопросов. Тестирование считается пройденным, если правильные ответы даны более чем на 11 вопросов.
Организацией разработано около 100 практико-ориентированных вопросов с учетом специфики ее деятельности, которые выпадают работнику случайным образом.
В случае непрохождения теста работнику дается вторая попытка.
Еще один вариант — организация корпоративного обучения, в том числе для топ-менеджмента, с участием Центра. При этом Центр может адаптировать программу и ее длительность под нужды организации.
Участниками мероприятия отмечена эффективность организации обучения ключевых работников (руководители организации, структурных подразделений, осуществляющих обработку больших объемов персональных данных; иные работники, ответственные за организацию важных бизнес-процессов) непосредственно в Центре.
Лучшие практики
1. Исключение формального подхода к организации процесса обучения работников.
2. Разработка программы обучения, построенной в простой доступной форме и адаптированной к специфике деятельности конкретных структурных подразделений организации.
3. Организация проверки знаний работников по итогам обучения.
4. Организация обучения ключевых работников непосредственно в Центре.
4. Организация работы DPO. Взаимодействие со специалистами по информационной безопасности
Должность специалиста по внутреннему контролю за обработкой персональных данных находится на стыке нескольких областей.
Не рекомендуется назначать в качестве DPO исключительно технического специалиста, в том числе специалиста по информационной безопасности. DPO — лицо, которое должно осуществлять весь комплекс мер по защите персональных данных, а также адаптировать их к используемым в организации техническим составляющим. Это влечет необходимость непрерывной коммуникации DPO и специалистов по информационной безопасности.
Встречаются ситуации, когда отсутствует конструктивная коммуникация между специалистами по внутреннему контролю за обработкой персональных данных и специалистами по информационной безопасности.
Важный вопрос, который следует выяснить специалисту по внутреннему контролю у коллег по информационной безопасности, — наличие аттестата соответствия системы защиты информации информационной системы требованиям по защите информации. Данный аттестат является подтверждением, что организация реализовала такую обязательную меру, как обеспечение технической, криптографической защиты персональных данных.
Кроме того, на митапе была озвучена информация, что при взаимодействии Центра и БГУИР в Институте информационных технологий БГУИР организовано обучение (переподготовка) по специальности 9-09-0611-05 «Защита персональных данных» (квалификация «Специалист по безопасности данных»). Прием документов планируется с 13.11.2023 по 22.12.2023. Предполагаемых мест — 20. Обучение в заочной форме начнется в январе 2024 г. Продолжительность — 24 месяца. Обучение в вечерней форме начнется в феврале 2024 г. Продолжительность — 17 месяцев. Центр принимает участие в методологическом сопровождении организации обучения и подготовке учебно-программной документации.
Лучшие практики
1. Организация взаимодействия DPO со специалистами по информационной безопасности.
2. Осуществление DPO разработки и поддержания в актуальном состоянии документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, порядок доступа к персональным данным; иных документов (форм) по вопросам обработки персональных данных.
3. Участие DPO в разработке локальных правовых актов организации, предусматривающих обработку персональных данных, в согласовании договоров, рассмотрении запросов на предоставление персональных данных, поступающих в организацию.
4. Организация обучения DPO вопросам технической защиты информации.
В завершение мероприятия все его участники отметили, что такая встреча DPO в неформальной обстановке, где можно обменяться опытом, обсудить актуальные вопросы, имеет важное практическое значение, в том числе для формирования профессионального сообщества. Участники выразили заинтересованность в продолжении общения в подобных форматах.
Читайте этот материал в ilex >>*
*по ссылке Вы попадете в платный контент сервиса ilex
