Организации — операторы персональных данных должны назначить ответственного за организацию обработки персональных данных. Это обязанность возложена законом только на юрлица — ИП от нее освобождены. Но даже в крупных компаниях иногда возникают вопросы, кому поручить работу с персональными данными. Разбираемся, кого и как назначить ответственным за персональные данные.
Скачайте образцы документов для работы: |
|
Бланк приказа о назначении ответственного за обработку персданных |
|
Образец должностной инструкции по работе с персональными данными |
|
Образец регламента о допуске к работе с персональными данными |
Какие есть требования к ответственному за персональные данные
Все обязанности операторов по Закону №152-ФЗ «О защите персональных данных» можно условно разделить на три группы:
- Обеспечить реализацию прав физических лиц на неприкосновенность частной жизни и безопасность личной информации.
- Не нарушать обязательные по закону требования и взаимодействовать с Роскомнадзором.
- Проводить организационно-технические мероприятия, чтобы организовать выполнение своих обязанностей по защите персональных данных.
Назначение ответственного за персональные данные относится к третьей группе. Обязанность устанавливает статья 18.1 Закона №152-ФЗ, а в статье 22.1 определены обязанности и полномочия такого лица.
Какие изменения в работу с персональными данными внес новый Закон 266-ФЗ, и какие требования нужно теперь обязательно выполнять, узнаете из нашего материала.
По ссылке можно скачать образец регламента о допуске.
Как подготовить приказ о назначении ответственного за персональные данные
Для начала руководитель определяет должностное лицо, которое будет организовывать в компании работу по 152-ФЗ. Ответственным лицам за персональные данные нужно иметь:
- определенный административный ресурс, чтобы получать информацию от структурных подразделений компаний и давать обязательные к исполнению указания;
- достаточную квалификацию для обеспечения защиты персональных данных, разъяснения сотрудникам обязательных требований в этой сфере.
Поэтому Закон №152-ФЗ устанавливает, что ответственный за обработку персональных данных прямо подчиняется директору компании (ч. 2 ст. 22.1) и проходит обучение (п. 6 ч. 1 ст. 18.1). На практике организацию работ с личной информацией граждан часто поручают главному бухгалтеру, начальнику отдела кадров или руководителю службы безопасности.
Назначить ответственным за обработку персональных данных можно приказом руководителя. Документ составляют в свободной форме и указывают в нем:
- В преамбуле — ссылки на ст. 18.1 и 22.1 Закона №152-ФЗ.
- Ф.И.О., должность назначенного работника; обязанности по ст. 22.1. Указание на прямое подчинение директору по вопросам обработки персональных данных.
- Сумму доплаты за выполнение дополнительных обязанностей.
- Ответственных в компании за предоставление информации назначенному должностному лицу и перечень такой информации.
Этим же приказом можно утвердить инструкцию ответственного за персональные данные, в которой подробно указать права, функции и полномочия сотрудника. Если у работника нет должностной инструкции, то с ним подписывают дополнительное соглашение к трудовому договору. От сотрудника нельзя требовать выполнение работы, которая не предусмотрена этими документами.
Бланк приказа о назначении ответственного за персональные данные можно скачать здесь и дополнить его информацией в соответствии со спецификой компании.
Обратите внимание! Если директор не назначит ответственного, то он сам будет делать его работу. Это следует из ч. 1 ст. 22.1 Закона №152-ФЗ.
|
Что включить в обязанности ответственного за персональные данные
Статья 22.1 Закона №152-ФЗ устанавливает три группы работ, за которые отвечает сотрудник:
- Контролировать выполнение требований законодательства о персональных данных, в том числе к защите персональных данных. Это означает проводить внутренние аудиты структурных подразделений, согласовывать документы компании на предмет соответствия установленным правилам. Также ответственный информирует руководителя компании об утечках персональных данных, готовит предложения о привлечении работников к ответственности за разглашение персональных данных.
- Доводить до сведения сотрудников организации законодательные требования, а также положения локальных актов оператора. На практике ответственный за персональные данные часто является разработчиком внутренних документов в этой сфере: Политики, порядка доступа к персональным данным. Он же готовит приказ о допуске к персональным данным отдельных работников.
- Организовывать работу с обращениями и запросами субъектов персональных данных, их представителей. Здесь будет два блока обязанностей: контролировать общий порядок работы с жалобами граждан на предмет соответствия Закону №152-ФЗ и непосредственно отвечать субъектам персональных данных.
Важно! С 1 сентября 2022 года сокращены сроки реагирования на запросы субъектов персональных данных о предоставлении информации с 30 дней до 10 рабочих дней — ст. 20 Закона № 152-ФЗ. Не забудьте внести соответствующие изменения в регламенты для ответственного за персональные данные. |
Точный объем обязанностей сотрудника зависит:
- от размера организации;
- перечня и категорий обрабатываемых персональных данных;
- способов обработки и уровня автоматизации;
- требуемого уровня защищенности по Постановлению Правительства РФ от 01.11.2012 №1119.
В законодательстве нет конечного перечня того, что относится к персональным данным. Но установлены требования к отдельным категориям: общедоступным ПД, специальным ПД, биометрическим ПД и иной информации.
Оператор должен определить перечень личной информации граждан, которые он обрабатывает — п. 2 ч. 1 ст. 18.1 Закона №152-ФЗ. Чем больше список и количество категорий, тем лучше должна быть обеспечена безопасность и защита персональных данных по Постановлению №1119.
Также в обязанности ответственного за обработку ПД входит взаимодействие с Роскомнадзором. Это уведомление для учета в Реестре операторов по ст. 22 Закона №152-ФЗ для включения в Реестр операторов, отправка информационного письма при изменениях и подготовка ответов на запросы по ч. 4 ст. 20 Закона № 152-ФЗ.
Важно! С 1 сентября 2022 года оператор должен сообщать в ФСБ России (через систему ГосСОПКА) и Роскомнадзор об утечках персональных данных — ст. 19 и 21 Закона № 152-ФЗ. Эту работу тоже целесообразно возложить на ответственного. |
Как передать функции на аутсорсинг
Оператор имеет право поручить обработку персональных данных другому лицу при выполнении условий, указанных в ч. 3 ст. 6 Закона №152-ФЗ. Одно из них — получить согласие субъекта. То есть гражданин должен знать, какая организация или ИП работают с его личной информацией по поручению оператора.
При аутсорсинге в функции ответственного за обработку персональных данных будут входить, по большей части, только взаимодействие с подрядчиком и организация работ по получению согласия на обработку ПД. При этом оператор все равно несет ответственность перед физическими лицами за безопасность их личной информации.
Образец должностной инструкции можно скачать на нашем сайте.
Подготовьтесь к успешному прохождению инспекционной проверки Роскомнадзора – узнайте новые требования к обработке персональных данных 2022–2023 с применением (и без применения) информационных систем в нашем практическом курсе.
|
Топ-5 документов по персональным данным, которые скачивают ваши коллеги: |
|
Образец положений согласия на распространение персданных |
|
Примерная форма политики по персданным |
|
Пример нового согласия на обработку персданных
|
|
Таблица изменений в работе с персданными на 2022-2023 гг. |
|
Чек-лист для аудита документов по персданным
|