Кого можно назначить ответственным за обработку персональных данных
Перейти к содержимому

Кого можно назначить ответственным за обработку персональных данных

  • автор:

Кого можно назначить ответственным за обработку персональных данных

Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях

(введена Федеральным законом от 25.07.2011 N 261-ФЗ)

1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.

4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Ответственный за персональные данные: кого и как назначить

Организации — операторы персональных данных должны назначить ответственного за организацию обработки персональных данных. Это обязанность возложена законом только на юрлица — ИП от нее освобождены. Но даже в крупных компаниях иногда возникают вопросы, кому поручить работу с персональными данными. Разбираемся, кого и как назначить ответственным за персональные данные.

Скачайте образцы документов для работы:

Образец должностной инструкции по работе с персональными данными

Образец регламента о допуске к работе с персональными данными

Какие есть требования к ответственному за персональные данные

Все обязанности операторов по Закону №152-ФЗ «О защите персональных данных» можно условно разделить на три группы:

  1. Обеспечить реализацию прав физических лиц на неприкосновенность частной жизни и безопасность личной информации.
  2. Не нарушать обязательные по закону требования и взаимодействовать с Роскомнадзором.
  3. Проводить организационно-технические мероприятия, чтобы организовать выполнение своих обязанностей по защите персональных данных.

Назначение ответственного за персональные данные относится к третьей группе. Обязанность устанавливает статья 18.1 Закона №152-ФЗ, а в статье 22.1 определены обязанности и полномочия такого лица.

Какие изменения в работу с персональными данными внес новый Закон 266-ФЗ, и какие требования нужно теперь обязательно выполнять, узнаете из нашего материала.

По ссылке можно скачать образец регламента о допуске.

Как подготовить приказ о назначении ответственного за персональные данные

Для начала руководитель определяет должностное лицо, которое будет организовывать в компании работу по 152-ФЗ . Ответственным лицам за персональные данные нужно иметь:

  • определенный административный ресурс, чтобы получать информацию от структурных подразделений компаний и давать обязательные к исполнению указания;
  • достаточную квалификацию для обеспечения защиты персональных данных, разъяснения сотрудникам обязательных требований в этой сфере.

Поэтому Закон №152-ФЗ устанавливает, что ответственный за обработку персональных данных прямо подчиняется директору компании (ч. 2 ст. 22.1) и проходит обучение (п. 6 ч. 1 ст. 18.1). На практике организацию работ с личной информацией граждан часто поручают главному бухгалтеру, начальнику отдела кадров или руководителю службы безопасности.

Назначить ответственным за обработку персональных данных можно приказом руководителя. Документ составляют в свободной форме и указывают в нем:

  1. В преамбуле — ссылки на ст. 18.1 и 22.1 Закона №152-ФЗ.
  2. Ф.И.О., должность назначенного работника; обязанности по ст. 22.1. Указание на прямое подчинение директору по вопросам обработки персональных данных.
  3. Сумму доплаты за выполнение дополнительных обязанностей.
  4. Ответственных в компании за предоставление информации назначенному должностному лицу и перечень такой информации.

Этим же приказом можно утвердить инструкцию ответственного за персональные данные, в которой подробно указать права, функции и полномочия сотрудника. Если у работника нет должностной инструкции, то с ним подписывают дополнительное соглашение к трудовому договору. От сотрудника нельзя требовать выполнение работы, которая не предусмотрена этими документами.

Бланк приказа о назначении ответственного за персональные данные можно скачать здесь и дополнить его информацией в соответствии со спецификой компании.

Обратите внимание! Если директор не назначит ответственного, то он сам будет делать его работу. Это следует из ч. 1 ст. 22.1 Закона №152-ФЗ.

Что включить в обязанности ответственного за персональные данные

Статья 22.1 Закона №152-ФЗ устанавливает три группы работ, за которые отвечает сотрудник:

  1. Контролировать выполнение требований законодательства о персональных данных, в том числе к защите персональных данных. Это означает проводить внутренние аудиты структурных подразделений, согласовывать документы компании на предмет соответствия установленным правилам. Также ответственный информирует руководителя компании об утечках персональных данных, готовит предложения о привлечении работников к ответственности за разглашение персональных данных.
  2. Доводить до сведения сотрудников организации законодательные требования, а также положения локальных актов оператора. На практике ответственный за персональные данные часто является разработчиком внутренних документов в этой сфере: Политики, порядка доступа к персональным данным. Он же готовит приказ о допуске к персональным данным отдельных работников.
  3. Организовывать работу с обращениями и запросами субъектов персональных данных, их представителей. Здесь будет два блока обязанностей: контролировать общий порядок работы с жалобами граждан на предмет соответствия Закону №152-ФЗ и непосредственно отвечать субъектам персональных данных.

Важно! С 1 сентября 2022 года сокращены сроки реагирования на запросы субъектов персональных данных о предоставлении информации с 30 дней до 10 рабочих дней — ст. 20 Закона № 152-ФЗ. Не забудьте внести соответствующие изменения в регламенты для ответственного за персональные данные.

Точный объем обязанностей сотрудника зависит:

  • от размера организации;
  • перечня и категорий обрабатываемых персональных данных;
  • способов обработки и уровня автоматизации;
  • требуемого уровня защищенности по Постановлению Правительства РФ от 01.11.2012 №1119.

В законодательстве нет конечного перечня того, что относится к персональным данным. Но установлены требования к отдельным категориям: общедоступным ПД, специальным ПД, биометрическим ПД и иной информации.

Оператор должен определить перечень личной информации граждан, которые он обрабатывает — п. 2 ч. 1 ст. 18.1 Закона №152-ФЗ. Чем больше список и количество категорий, тем лучше должна быть обеспечена безопасность и защита персональных данных по Постановлению №1119.

Также в обязанности ответственного за обработку ПД входит взаимодействие с Роскомнадзором. Это уведомление для учета в Реестре операторов по ст. 22 Закона №152-ФЗ для включения в Реестр операторов, отправка информационного письма при изменениях и подготовка ответов на запросы по ч. 4 ст. 20 Закона № 152-ФЗ.

Важно! С 1 сентября 2022 года оператор должен сообщать в ФСБ России (через систему ГосСОПКА) и Роскомнадзор об утечках персональных данных — ст. 19 и 21 Закона № 152-ФЗ. Эту работу тоже целесообразно возложить на ответственного.

Как передать функции на аутсорсинг

Оператор имеет право поручить обработку персональных данных другому лицу при выполнении условий, указанных в ч. 3 ст. 6 Закона №152-ФЗ . Одно из них — получить согласие субъекта. То есть гражданин должен знать, какая организация или ИП работают с его личной информацией по поручению оператора.

При аутсорсинге в функции ответственного за обработку персональных данных будут входить, по большей части, только взаимодействие с подрядчиком и организация работ по получению согласия на обработку ПД. При этом оператор все равно несет ответственность перед физическими лицами за безопасность их личной информации.

Образец должностной инструкции можно скачать на нашем сайте.

Подготовьтесь к успешному прохождению инспекционной проверки Роскомнадзора – узнайте новые требования к обработке персональных данных 2022–2023 с применением (и без применения) информационных систем в нашем практическом курсе .

Топ-5 документов по персональным данным, которые скачивают ваши коллеги:

Кого нужно назначить ответственным за обработку и защиту персональных данных в организации?

Здравствуйте, за защиту персональных данных в организации отвечает специалист по кадрам (единой автоматизированной системы обмена данными в организации нет). Но существует информационная система «Мой спорт» (участники в ней заместители директора по спортивной работе, тренера, родители и воспитанники), у этой системы есть свой администратор. Кого по приказу нужно назначить ответственным за обработку и защиту персональных данных в организации в общем приказе? Специалист по кадрам не уполномочен вести «Мой спорт», он отвечает за общую защиту персональных данных. Или возможно назначить двоих ответственных за защиту в целом по организации и за информационную безопасность?

У меня такой же вопрос

Консультант

Добрый день.
Увы, но назначить ответственными двух работников не удастся. Должен быть только один.
Либо ответственным лицом выступает сам директор (поскольку ему подчиняются и специалист по кадрам, и администратор системы «Мой спорт»), либо руководитель назначает ответственным одного из двух и тот приобретает право контролировать работу коллеги.

Оформите все документы для увольнения работника
Реклама 16+. АО «ПФ «СКБ Контур». Реквизиты

г. Омск 173 722 балла

Цитата (Самик): Кого по приказу нужно назначить ответственным за обработку и защиту персональных данных в организации в общем приказе?

Нужно указать так, как это есть.

Цитата (Самик): защиту персональных данных в организации отвечает специалист по кадрам

указываете кадровика, но с пометкой кроме системы Мой спорт
и указываете кого-то из тех, кто работает в системе Мой спорт.

Самик Автор вопроса

Консультант

Цитата (smv_mars): указываете кадровика, но с пометкой кроме системы Мой спорт
и указываете кого-то из тех, кто работает в системе Мой спорт.

Сведения о назначении ответственного передаются в Роскомнадзор и законом предусмотрено лишь одно лицо в этом качестве.

Цитата (Ст. 22.1 152-ФЗ): 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Что нужно знать о назначении лица, ответственного за внутренний контроль за обработкой персональных данных

Оператор / уполномоченное лицо должен принимать меры по защите персональных данных. Одна из обязательных мер по защите персональных данных — назначение подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных (далее — ответственный за контроль) (п. 1, абз. 2 п. 3 ст. 17 Закона о защите персональных данных).

Примечание
Оператор / уполномоченное лицо — физлицо, ИП, адвокат, нотариус, ремесленник и т.п. не обязаны назначать ответственного за контроль (абз. 2 п. 3 ст. 17 Закона о защите персональных данных).

Ответственный за контроль обязан выполнять следующие функции (раздел II выпуска 1 ЕКСД):

Функция Пример должностных обязанностей
Организационная — изучать и анализировать процессы обработки персональных данных, определять риски, связанные с этими процессами, предлагать способы минимизации таких рисков;

— разрабатывать и актуализировать документы, которые определяют политику оператора / уполномоченного лица в отношении обработки персональных данных;

В зависимости от объемов обрабатываемых персональных данных организация может выбрать один из вариантов назначения ответственного за контроль:

1) создать отдельное структурное подразделение, в котором будут сотрудники с юридическим и техническим образованием. Это позволит обеспечить как соблюдение требований законодательства о персональных данных, так и их техническую и криптографическую защиту;

2) назначить освобожденного сотрудника. Такой сотрудник должен иметь высшее образование (раздел II выпуска 1 ЕКСД).

Полагаем, целесообразно назначать ответственным за контроль лицо, у которого есть высшее юридическое образование. Ведь ответственный за контроль должен знать, в частности (раздел II выпуска 1 ЕКСД):

— НПА и методические материалы по вопросам, связанным с обработкой персональных данных;

— общие требования к обработке персональных данных;

— правовые основания обработки персональных данных;

— порядок работы с заявлениями и жалобами субъектов персональных данных;

— основы законодательства о труде;

3) возложить дополнительные обязанности на одного из сотрудников. Полагаем, целесообразно возлагать такие обязанности на сотрудника, который не обрабатывает персональные данные в процессе выполнения основных обязанностей. Иначе может возникнуть конфликт интересов: сотрудник будет вынужден контролировать в т.ч. самого себя.

Пример
Специалист по кадрам в своей работе обрабатывает персональные данные работников организации. Если на этого специалиста возложить обязанности ответственного за контроль, он должен будет сам контролировать свою работу в части обработки персональных данных;

4) возложить дополнительные обязанности на нескольких сотрудников. Например, обеспечение технической и криптографической защиты персональных данных — на сотрудника с техническим образованием, а остальные функции — на сотрудника с юридическим образованием.

Не рекомендуем привлекать ответственного за контроль по гражданско-правовому договору. По нашему мнению, это противоречит требованиям законодательства о защите персональных данных. При этом по гражданско-правовым договорам можно привлекать специалистов для выполнения разовых задач. Например, для разработки ЛПА, обучения сотрудников и т.п.

Читайте этот материал в ilex >>*
*по ссылке Вы попадете в платный контент сервиса ilex

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *