Ответственный за персональные данные: кого и как назначить
Организации — операторы персональных данных должны назначить ответственного за организацию обработки персональных данных. Это обязанность возложена законом только на юрлица — ИП от нее освобождены. Но даже в крупных компаниях иногда возникают вопросы, кому поручить работу с персональными данными. Разбираемся, кого и как назначить ответственным за персональные данные.
|
Бланк приказа о назначении ответственного за обработку персданных Образец должностной инструкции по работе с персональными данными Образец регламента о допуске к работе с персональными данными
Чек-лист для аудита документов по персданным
|
Какие есть требования к ответственному за персональные данные
Все обязанности операторов по Закону №152-ФЗ «О защите персональных данных» можно условно разделить на три группы.
В них входит обязанность:
1. Обеспечить реализацию прав физических лиц на неприкосновенность частной жизни и безопасность личной информации;
2. Не нарушать обязательные по закону требования и взаимодействовать с Роскомнадзором;
3. Проводить организационно-технические мероприятия, чтобы организовать выполнение своих обязанностей по защите персональных данных.
Назначение ответственного за персональные данные относится к третьей группе. Эту обязанность работодателя устанавливает п.1 ч.1 ст. 18.1 Закона №152-ФЗ. А в ст. 22.1 этого закона определены обязанности и полномочия ответственного за обработку персональных данных.
Как подготовить приказ о назначении ответственного за персональные данные
Для начала руководитель определяет должностное лицо, которое будет организовывать в компании работу по 152-ФЗ.
Ответственным лицам за персональные данные нужно иметь:
- определенный административный ресурс, чтобы получать информацию от структурных подразделений компаний и давать обязательные к исполнению указания;
- достаточную квалификацию для обеспечения защиты персональных данных, разъяснения сотрудникам обязательных требований в этой сфере.
Поэтому Закон №152-ФЗ устанавливает, что ответственный за обработку персональных данных прямо подчиняется директору компании (ч. 2 ст. 22.1) и проходит обучение (п. 6 ч. 1 ст. 18.1). На практике организацию работ с личной информацией граждан часто поручают главному бухгалтеру, начальнику отдела кадров или руководителю службы безопасности. Назначить ответственным за обработку персональных данных можно приказом руководителя.
Документ составляют в свободной форме и указывают в нем:
1. В преамбуле — ссылки на ст. 18.1 и 22.1 Закона №152-ФЗ.
2. Ф.И.О., должность назначенного работника; обязанности по ст. 22.1. Указание на прямое подчинение директору по вопросам обработки персональных данных.
3. Сумму доплаты за выполнение дополнительных обязанностей.
4. Ответственных в компании за предоставление информации назначенному должностному лицу и перечень такой информации.
Этим же приказом можно внести изменения в должностную инструкцию ответственного за персональные данные, в которой подробно указать права, функции и полномочия сотрудника. Если у работника нет должностной инструкции, то с ним подписывают дополнительное соглашение к трудовому договору. От сотрудника нельзя требовать выполнение работы, которая не предусмотрена этими документами.
|
Обратите внимание! Если директор не назначит ответственного, то он сам будет делать его работу. Это следует из ч. 1 ст. 22.1 Закона №152-ФЗ. |
Что включить в обязанности ответственного за персональные данные
Статья 22.1 Закона № 152-ФЗ устанавливает три группы работ, за которые отвечает сотрудник.
Его основные обязанности:
1. Контролировать выполнение требований законодательства о персональных данных, в том числе о защите персональных данных. Это означает проводить внутренние аудиты структурных подразделений, согласовывать документы компании на предмет соответствия установленным правилам. Также ответственный информирует руководителя компании об утечках персональных данных, готовит предложения о привлечении работников к ответственности за разглашение персональных данных.
2. Доводить до сведения сотрудников организации законодательные требования, а также положения локальных актов оператора. На практике ответственный за персональные данные часто является разработчиком внутренних документов в этой сфере: Политики, порядка доступа к персональным данным. Он же готовит приказ о допуске к персональным данным отдельных работников.
3. Организовывать работу с обращениями и запросами субъектов персональных данных, их представителей. Здесь будет два блока обязанностей: контролировать общий порядок работы с жалобами граждан на предмет соответствия Закону №152-ФЗ и непосредственно отвечать субъектам персональных данных.
Точный объем обязанностей сотрудника зависит:
- от размера организации;
- перечня и категорий обрабатываемых персональных данных;
- способов обработки и уровня автоматизации;
- требуемого уровня защищенности по Постановлению Правительства РФ от 01.11.2012 №1119.
В законодательстве нет конечного перечня того, что относится к персональным данным. Но установлены требования к отдельным категориям: общедоступным ПД, специальным ПД, биометрическим ПД и иной информации.
Оператор должен определить перечень личной информации граждан, которые он обрабатывает — п. 2 ч. 1 ст. 18.1 Закона №152-ФЗ. Чем больше список и количество категорий, тем лучше должна быть обеспечена безопасность и защита персональных данных по Постановлению № 1119.
Также в обязанности ответственного за обработку ПД, как правило, входит взаимодействие с Роскомнадзором. Это уведомление о намерении осуществлять обработку персональных данных по ст. 22 Закона №152-ФЗ для включения в Реестр операторов, отправка информационного письма при изменениях и подготовка ответов на запросы по ч. 4 ст. 20 Закона № 152-ФЗ.
|
Важно! Оператор должен сообщать в ФСБ России (через систему ГосСОПКА) и Роскомнадзор об утечках персональных данных — ст. 19 и 21 Закона № 152-ФЗ. Эту работу тоже целесообразно возложить на ответственного. |
Как передать функции на аутсорсинг
Оператор имеет право поручить обработку персональных данных другому лицу при выполнении условий, указанных в ч. 3 ст. 6 Закона № 152-ФЗ. Одно из них — получить согласие субъекта. То есть гражданин должен знать, какая организация или ИП работают с его личной информацией по поручению оператора.
При аутсорсинге в функции ответственного за обработку персональных данных будут входить, по большей части, только взаимодействие с подрядчиком и организация работ по получению согласия на обработку ПД. При этом оператор все равно несет ответственность перед физическими лицами за безопасность их личной информации.
Если у вас остались вопросы по ответственному за персональные данные или вам нужна консультация по применению норм трудового права, позвоните нам по телефону 8 (800) 775 29 55 или напишите на почту: support@profkadrovik.ru
