Ответственный за обработку персональных данных

Штрафы за нарушения ФЗ от 27.07.2006 №152-ФЗ в некоторых случаях достигают 500 млн рублей, а проверки Роскомнадзора становятся строже. Если вы не хотите рисковать, важно правильно назначить ответственного за обработку персональных данных и закрепить его обязанности. Разберемся, кто подходит на эту роль и как все оформить по закону.

Кого можно назначить ответственным

Здесь все зависит от структуры вашей организации. Кто может быть назначен ответственным за обработку ПДн:

1. Генеральный директор, ответственный за обработку персональных данных. В малых компаниях, особенно там, где руководство совмещает несколько ролей, ответственность часто возлагают на директора. Это объясняется тем, что в таких организациях все ключевые решения принимаются одним лицом. Однако у него может не быть достаточной экспертизы в области законодательства о ПДн, что усложняет соблюдение всех требований.
2. Начальник отдела кадров или HR-специалист. Если обработка данных в основном касается сотрудников компании, логично назначить ответственным кого-то из них. HR-специалисты регулярно работают с личными данными и понимают, как они используются. Тем не менее, их знания в сфере информационной безопасности и законов могут быть недостаточно глубокими.
3. Руководитель службы ИБ.В крупных компаниях или IT-секторе, где данные обрабатываются в больших объемах, эту функцию часто передают специалисту по информационной безопасности. Такой сотрудник разбирается в технических аспектах защиты данных и требованиях регуляторов.
4. Штатный юрист. Иногда эту роль поручают ему, поскольку работа связана с соблюдением законодательства. Однако, если юрист не специализируется на защите ПДн, ему может не хватать практических навыков в этой узкой области.
5. Сторонняя организация. Работу с ПДн можно передать ей, если у вас нет сотрудников или это требуется по другим причинам. Достаточно заключить договор с такой компанией и определить ее полномочия. Одно из преимуществ — сотрудники таких компаний специализируются на ФЗ №152-ФЗ и знают, как работать с ПДн, чтобы вас не оштрафовали.

Теперь о том, сколько ответственных за обработку персональных данных можно назначить. В ст. 22.1 ФЗ №152-ФЗ четко указано, что им может быть только один человек. Например, нельзя возложить ответственность за работу с ПДн сотрудников только на бухгалтера, а с данными клиентов — на менеджера.

Назначение ответственного за обработку персональных данных оформляется приказом. Учтите, что для этого понадобится его согласие. Если трудовым договором или должностной инструкцией такая обязанность не предусмотрена, назначить его ответственным без согласия нельзя (ст. 60 ТК РФ).

Скачать чек-лист по соблюдению законодательства о персональных данных

Заполните форму, вышлем материалы вам на e-mail:

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Обязанности ответственного

Руководителю, помимо издания приказа о назначении, нужно разработать должностную инструкцию ответственного за обработку персональных данных с учетом требований ст. 22.1 и в целом ФЗ №152-ФЗ.

В инструкции обычно указывается, что ответственный обязан:

1. Контролировать соблюдение законодательства о ПДн в организации.
2. Обеспечивать защиту ПДн от несанкционированного доступа, утечки или уничтожения.
3. Разрабатывать и актуализировать локальные нормативные акты по обработке ПДн (Политику, Положение, формы согласий).
4. Проводить внутренние проверки соблюдения требований к обработке ПДн.
5. Организовывать обучение сотрудников, работающих с ПДн.
6. Взаимодействовать с Роскомнадзором и другими контролирующими органами по вопросам ПДн.
7. Рассматривать запросы субъектов ПДн о предоставлении, уточнении, блокировке или удалении данных.
8. Обеспечивать ведение журналов учета обработки ПДн (при необходимости).

Также в инструкции указываются общие положения, права ответственного и его ответственность.

Что еще нужно сделать для защиты ПДн

Есть несколько шагов, которые должен выполнить оператор для законной работы с ПДн и их защиты:

1. Подать уведомление о начале обработки данных до того, как приступить к их сбору. Если этого не сделать, могут оштрафовать на сумму до 300 000 рублей.
2. Направить в РКН уведомление об изменении сведений в первоначальном уведомлении, если изменился ответственный за обработку персональных данных, почтовый адрес или другая информация.
3. Организовать необходимую защиту данных согласно Постановлению Правительства РФ от 01.11.2012 №1119.
4. Уведомить Роскомнадзор об утечке ПДн в течение 24 часов, о результатах служебной проверки — в течение 72 часов.
5. Обрабатывать ПДн только с согласия субъектов, если по закону оно обязательно (ст. 6 ФЗ №152-ФЗ).

Важно: уведомления можно подать онлайн на сайте РКН. Если вы не знаете, как правильно все заполнить, доверьтесь юристам. Если оформить документ с фактическими ошибками, компании могут грозить штрафы в дальнейшем.

Заключение

Назначение ответственного за обработку персональных данных — лишь первый шаг. Чтобы избежать штрафов, нужно также подать уведомление в РКН, обеспечить защиту информации и обучить сотрудников. Организации или ИП может понадобиться большой пакет документов по работе с ПДн — до 60 наименований. Если сомневаетесь в своих силах, обратитесь к юристам — это сэкономит время и снизит риски.