Ответственный за обработку персональных данных

Что это за статус?

Ответ содержится в статье 22.1 Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Согласно формулировке статьи, в каждой фирме должен работать сотрудник, на которого возлагаются обязанности по соблюдению законодательных требований к работе с личной информацией.

Часть 2 статьи указывает, что ответственное лицо отчитывается только перед руководством организации (генеральным директором или иным исполнительным органом), и от него же получает указания к работе.

Кого можно назначить?

Рассмотрим, кто может работать с такими данными. В законе нет четкого указания на перечень должностных лиц, которые могут быть ответственными за обработку личных сведений. Чаще ответственными назначаются лица, ведущие кадровое делопроизводство в компании, либо менеджеры по работе с клиентами. Реже – секретари и юристы.

Важно! В некоторых больших организациях (например, в банках) создаются отдельные департаменты по защите персональных данных. На сайтах поиска работы можно встретить вакансии специалистов по защите личных сведений.

Отдельный вопрос — кто обрабатывает информацию на малых предприятиях. Субъекты малого предпринимательства, штат которых состоит из нескольких человек, назначают ответственным лицом руководителя компании.

Кто не может осуществлять такую работу?

Запрета о назначении каких-либо категорий лиц закон также не содержит. Однако эксперты не рекомендуют назначать ответственными сотрудников, должности которых не предполагают работу с частной информацией, например уборщиков, инженеров или бухгалтеров.

Права и обязанности

Законодательно перечень прав ответственных лиц не закреплен. Обычно таким лицам разрешается проводить внутренние аудиты на соответствие деятельности по обработке сведений, ведущейся в фирме, требованиям закона. Они также вправе вносить предложения руководству об улучшении работы с личными данными сотрудников и клиентов компании.

Обязанности закреплены в части 4 статьи 22.1 ФЗ № 152. Тот, кто отвечает за работу с личной информацией и осуществляет ее обработку, должен:

  1. Проводить инструктажи сотрудникам компании по вопросам соблюдения законодательства и объяснять содержание локальных актов в части обработки и хранения личной информации.
  2. Контролировать соблюдение технических и административных мер, принимаемых компанией с целью защиты персональных данных – осуществлять проверку порядка заполнения носителей личных сведений, журналов доступа к ним.
  3. Регистрировать обращения, получаемые компанией от клиентов и контрольно-надзорных органов, и отвечать на них.

Чтобы избежать «утечки» информации, руководитель фирмы также может уполномочить ответственного:

  • на разработку локальных документов в сфере личной информации;
  • на осуществление учета носителей персональных сведений и оформление допуска сотрудников к ним.

Пошаговая инструкция по назначению

Назначение ответственного за ведение обработки персональных данных осуществляется руководителем юридического лица. Об этом говорится в части 1 статьи 22.1 ФЗ № 152.

Для назначения ответственного руководителю организации необходимо:

  1. Выбрать ответственного сотрудника.
  2. Подготовить необходимые документы.
  3. Издать приказ о назначении.
  4. Подготовка документов

Работу с личными сведениями в фирме регулируют несколько документов. Для того чтобы издать соответствующий приказ, руководителю необходимо подготовить локальную нормативную базу.

Документы, регулирующие работу с личными данными в компании:

  • должностная инструкция;
  • внутреннее положение об обработке персональных данных.

Должностная инструкция

В должностной инструкции сотрудника должны быть зафиксированы не только обязанности, прописанные в законе, но и дополнительные требования к лицу, занимающему выбранную должность. Описание должно быть емким и понятным.

Руководителю необязательно разрабатывать новую должностную инструкцию – можно дополнить необходимыми сведениями существующий документ. После издания руководитель, делопроизводитель или кадровик проводят ознакомление соответствующего работника с новой должностной инструкцией и просят подписать бумаги.

Скачать образец должностной инструкции ответственного за организацию обработки персональных данных

Рекомендуем ознакомиться со статьями об операторе, политике обработки, уведомлении, об автоматизированной и ручной обработке, о ЦОД и о целях обработки.

Составление положения

Более подробно все права и обязанности, а также меры ответственности уполномоченного лица необходимо отразить во внутреннем положении об обработке персональных данных.

В документе также должно содержаться описание порядка хранения и использования частной информации. Положение обязательно к ознакомлению всеми сотрудниками компании.

Подробнее о важных сведениях о правовом обеспечении обработки персональных данных читайте .

Скачать образец положения об обработке персональных данных

Издание приказа

После того, как локальная нормативная база будет готова, руководителю организации необходимо издать приказ. Издание осуществляется по общим правилам делопроизводства в произвольной форме на бланке компании.

Приказ должен содержать:

  1. номер приказа;
  2. название документа;
  3. дату и место издания распоряжения;
  4. слово «Приказываю»;
  5. положение о назначении ответственного лица;
  6. положение о лице, замещающем ответственного во время его отсутствия;
  7. положение о лице, осуществляющем контроль над исполнением приказа;
  8. подпись руководителя;
  9. подписи ознакомившихся с приказом людей.

В приказе указывается должность работника и его инициалы. В случае замены сотрудника в документ вносятся изменения либо осуществляется подготовка нового приказа.

С 1 июля 2017 года усилилась административная ответственность за нарушения требований, содержащихся в статье 13.11 КоАП, регламентирующей работу с персональными данными в компании. Ответственным лицам необходимо внимательно относиться к своей работе, так как именно от них зависит, будут ли соблюдены требования законодательства. Это позволит компании и самим должностным лицам избежать неблагоприятных последствий в виде наложения штрафа.

Ответственный за организацию обработки персональных данных — это сотрудник организации, на которого возложены обязанности по соблюдению правил работы с личной информацией. О требованиях законодательства к ответственному за организацию обработки личных данных и расскажет настоящая статья.

Требования к ответственному за организацию обработки персональных данных

Согласно требованиям статьи 22.1 закона «О персональных данных» от 27.07.2006 № 152-ФЗ, организация, которая осуществляет работу с личной информацией граждан (своих сотрудников, клиентов и иных лиц), обязана назначить лицо, ответственное за организацию обработки персональных данных. При этом точного указания на то, какое именно должностное лицо организации может быть назначено ответственным, нормы ФЗ № 152 не содержат. На практике чаще всего таковым назначается сотрудник, ведущий кадровое делопроизводство в организации либо работу с клиентами компании.

В силу части 2 статьи 22.1 ФЗ № 152 ответственный сотрудник подотчетен только руководству организации (директору или иному исполнительному органу). Это означает, что во избежание нарушений субординации в организации рекомендуется назначать ответственным сотрудника из числа руководящих лиц, а не из рядового состава.

Часть 4 статьи 22.1 ФЗ № 152 возлагает на ответственного за организацию обработки персональных данных следующие обязанности:

  1. Проводить инструктаж с работниками организации по вопросам соблюдения законодательства и внутренних документов компании в части обработки личных данных.
  2. Осуществлять контроль за соблюдением технических и административных мер, принимаемых в организации для защиты личных данных (проверять сохранность и порядок заполнения носителей личных данных, условия и порядок доступа к ним и т. д.).
  3. Организовать работу по приему и обработке обращений, получаемых организацией как от граждан, так и от контрольно-надзорных органов.

Следует помнить, что данный перечень не является исчерпывающим, поэтому на ответственного могут возложить и иные обязанности, например:

Подпишитесь на рассылку

  • разрабатывать или участвовать в разработке внутренних документов по вопросам защиты личных данных;
  • осуществлять учет носителей информации и оформлять допуски к ним.

Документы, касающиеся ответственного за организацию обработки персональных данных (приказ, должностная инструкция)

Назначение ответственного лица производится путем издания соответствующего приказа по организации. Важно подчеркнуть, что в приказе должна быть указана не только должность сотрудника, но и его инициалы. Соответственно, в случае замены такого сотрудника в приказ необходимо будет внести изменения либо подготовить новое распоряжение с данными нового сотрудника.

Скачать форму приказа

Вместе с тем права, обязанности и полномочия сотрудника отражаются не в приказе о его назначении, а в положении об обработке личных данных в организации и его должностной инструкции. Нормы же ТК РФ не содержат специальных требований к должностным инструкциям работников, однако в силу требований части 2 статьи 152 ФЗ № 152 такая документация должна быть утверждена отдельным распоряжением (приказом) организации.

Практикам необходимо помнить, что с 1 июля 2017 года вступили в силу изменения, внесенные в статью 13.11 КоАП, которые значительно усилили административную ответственность за нарушения, допущенные при работе с личными данными в организации. Это означает, что к деятельности ответственного лица и подготовке необходимой для его работы документации (приказа, должностной инструкции) следует отнестись со всей аккуратностью. От аккуратности же и последовательности работы ответственного лица во многом зависит весь процесс соблюдения законодательства о личных данных граждан, точное исполнение которого позволит уберечь компанию от значительных штрафных санкций.

Более полную информацию по теме вы можете найти в КонсультантПлюс.
Полный и бесплатный доступ к системе на 2 дня.

Пункт 1 части 1 статьи 6 Закона о персональных данных устанавливает, что обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Случаи, при которых обработка персональных данных допускается без согласия субъекта персональных данных, предусмотрены пунктами 2-11 части 1 статьи 6 Закона о персональных данных.

К таким случаям, в частности, относится:

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Другие вопросы по теме

  • Кто может являться оператором персональных данных?
  • В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?
  • Каким образом можно отозвать согласие на обработку персональных данных?
  • Какие действия могут быть предприняты субъектом персональных данных при нарушениях требований законодательства Российской Федерации в области персональных данных?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *