Ответственный за обработку персональных данных в компании
В статье рассказали про функции ответственного за организацию обработки персональных данных и дали рекомендации по его назначению
В соответствии со статьей 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон о персональных данных), каждый оператор - юридическое лицо, обязан назначить ответственного за организацию обработки персональных данных. Этот сотрудник играет ключевую роль в обеспечении законности процессов обработки персональных данных, а также соблюдения прав субъектов.
Во исполнение указанного требования руководитель организации внутренним приказом назначает ответственного за обработку персональных данных, а также разрабатывает и утверждает должностную инструкцию ответственного, в которой отражает обязанности, предусмотренные в ч. 4 ст. 22.1 Закона о персональных данных.
Во исполнение указанного требования руководитель организации внутренним приказом назначает ответственного за обработку персональных данных, а также разрабатывает и утверждает должностную инструкцию ответственного, в которой отражает обязанности, предусмотренные в ч. 4 ст. 22.1 Закона о персональных данных.
1
Кто должен быть ответственным?
В зависимости от структуры организации и специфики ее работы, эту функцию могут возложить на следующих лиц:
- генеральный директор
- руководитель отдела кадров
Это решение логично для организаций, где основная обработка персональных данных связана собственными работниками. Руководители HR-департаментов обычно работают с данными сотрудников и понимают цели и объем их обработки. Однако их компетенции в области защиты информации и нормативных требований могут быть ограничены;
- руководитель отдела информационной безопасности
Этот вариант часто применяется в компаниях, работающих с большими объемами данных или использующих сложно структурированные информационные системы. Специалисты в сфере ИБ обладают навыками защиты информации и пониманием технических требований законодательства;
- штатный юрист
2
Почему нельзя назначать ответственного формально?
Нередко обязанности формально возлагают на сотрудников, чья деятельность напрямую не связана с обработкой персональных данных. Такой подход противоречит как букве закона, так и здравому смыслу, поскольку приводит к недостаточной защите данных и неэффективной организации процессов.
Такая практика имеет несколько рисков:
Такая практика имеет несколько рисков:
- недостаточная защита данных. Неподготовленный сотрудник может не знать, как предотвратить утечку или устранить выявленные уязвимости;
- нарушение трудового законодательства, если на сотрудника будут возложены дополнительные обязанности, не входящие в его трудовую функцию.
- повышенная ответственность компании. В случае инцидента суд может признать организацию виновной в ненадлежащей организации работы с персональными данными.
3
Рекомендации по выбору ответственного
Организация должна выбирать ответственного, исходя из его профессиональной компетенции, которую составляют:
- понимание процессов обработки персональных данных и перечень действий с ними, целей обработки данных, категорий субъектов персональных данных (например, сотрудники, клиенты, подрядчики);
- наличие навыков организации внутренних процессов: способность разрабатывать и внедрять внутренние документы, иметь опыт проведения внутренних проверок и аудитов на соответствие требованиям законодательства;
- обладание компетенцией в сфере информационной безопасности (при необходимости). Если персональные данные обрабатываются в информационных системах, ответственный должен обладать базовыми знаниями в области защиты данных;
- владение навыками взаимодействия с контролирующими органами. Ответственный должен уметь выстроить взаимодействие с Роскомнадзором, обосновывать действия компании при проверках, быстро реагировать на предписания надзорных органов;
- регулярное повышение квалификации через специализированные курсы и тренинги. Следить за изменениями нормативной базы и адаптировать внутренние процессы компании.
4
Ответственность за нарушения обработки персональных
данных
данных
Как правило, за нарушение законодательства в области персональных данных по ст. 13.11 КоАП РФ привлекается именно оператор как юридическое лицо, но в практике есть и случаи, в которых к административной ответственности привлекался и ответственный за обработку персональных данных.
Постановлением мирового судьи судебного участка №2 района Савёлки г. Москвы 18.04.2022 по делу № 5-275/2022 старший администратор, назначенный ответственным за обработку персональных данных субъектов на основании приказа руководителя, был привлечен к административной ответственности по ч.2 ст.13.11 КоАП РФ.
В другом деле, к административной ответственности были привлечены как ответственный за обработку персональных данных, так и оператор в лице компании по ч.1. ст. 13.11 за пять фактов нарушения (постановления мирового судьи судебного участка № 414 Алексеевского района г. Москвы 19.04.2022 № 05-0454/414/2022, 05-0473/414/2022, 05-0474/414/2022, 05-0475/414/2022, 05-0476/414/2022).
В другом деле, к административной ответственности были привлечены как ответственный за обработку персональных данных, так и оператор в лице компании по ч.1. ст. 13.11 за пять фактов нарушения (постановления мирового судьи судебного участка № 414 Алексеевского района г. Москвы 19.04.2022 № 05-0454/414/2022, 05-0473/414/2022, 05-0474/414/2022, 05-0475/414/2022, 05-0476/414/2022).
5
Могут ли внешние специалисты исполнять обязанности ответственного за обработку персональных данных?
Вопрос о том, могут ли функции ответственного за обработку персональных данных делегировать третьим лицам, вызывает дискуссии в юридическом сообществе. Законодательство в этой сфере формирует определенные рамки, на которые необходимо ориентироваться.
Роскомнадзор придерживается позиции, что ответственный за обработку персональных данных у оператора должен быть один – лицо, указанное в уведомлении о намерении осуществлять обработку персональных данных, однако выполнять функции ответственного команде или структурному подразделению допустимо.
Роскомнадзор придерживается позиции, что ответственный за обработку персональных данных у оператора должен быть один – лицо, указанное в уведомлении о намерении осуществлять обработку персональных данных, однако выполнять функции ответственного команде или структурному подразделению допустимо.
При этом в судебной практике есть и иное толкование, например, постановление мирового судьи судебного участка № 5 Ленинского судебного района г. Мурманска от 29.05.2015 по делу № 5-283/2015 - «…данная норма не предусматривает, что оператор должен назначить только одно лицо за организацию обработки персональных данных»
На вопрос о том, может ли ответственный за обработку не являться работником компании – представители надзорных органов отвечают также однозначно – да, может, если он будет выполнять возложенные на него обязанности, предусмотренные ч. 4 ст. 22.1 Закона о персональных данных.
6
Ответственный за обеспечение безопасности персональных данных в информационных системах
Постановлением Правительства РФ от 01.11.2012 №1119 установлена необходимость назначения работника ответственного за обеспечение безопасности персональных данных в информационной системе. В отдельных случаях, должно быть создано структурное подразделение.
Термин «работник» традиционно интерпретируется как лицо, состоящее с оператором в трудовых отношениях. Однако на практике это не исключает возможность назначения стороннего исполнителя на такую роль.
Термин «работник» традиционно интерпретируется как лицо, состоящее с оператором в трудовых отношениях. Однако на практике это не исключает возможность назначения стороннего исполнителя на такую роль.
7
Возможные решения при использовании внешних специалистов для выполнения требований по назначению ответственных лиц
Если компания хочет привлечь стороннего специалиста или организацию, возможны следующие варианты:
1. Полная передача функции ответственного за организацию обработки персональных данных на третье лицо, не являющееся работником оператора.
В этом случае отношения оформляются на основании гражданско-правового договора, в котором также закрепляются:
2. Привлечение аутсорсинговой компании для консультирования и технической поддержки деятельности оператора, оставляя внутреннего сотрудника формально ответственным лицом перед контролирующими органами.
1. Полная передача функции ответственного за организацию обработки персональных данных на третье лицо, не являющееся работником оператора.
В этом случае отношения оформляются на основании гражданско-правового договора, в котором также закрепляются:
- обязанности, предусмотренные ч.4 ст.22.1 Закона о персональных данных;
- обязанности оператора предоставить сведения, указанные в ч. 3 ст. 22 Закона о персональных данных;
- порядок выполнения указаний исполнительного органа оператора и порядок предоставления ему отчетности.
2. Привлечение аутсорсинговой компании для консультирования и технической поддержки деятельности оператора, оставляя внутреннего сотрудника формально ответственным лицом перед контролирующими органами.
Обращаем внимание, что при изменении ответственного за организацию обработки персональных данных, оператор обязан подать в Роскомнадзор уведомление о внесении изменений в реестр операторов персональных данных не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.
Команда ЦПО групп готова реализовать детальный аудит процессов обработки персональных данных и дать свои рекомендации для минимизации рисков привлечения к ответственности. Мы готовы составить пакет документации, необходимой оператору персональных данных, а также провести комплексное обучающее мероприятие для сотрудников оператора для повышения общего уровня осведомленности о требованиях законодательства в области персональных данных.
Читайте в разделе Персональные данные (152-ФЗ)
-
Персональные данные (152-ФЗ)14.10.2024
Получить консультацию
Спасибо! Ваше сообщение получено
