Законодательство не устанавливает периодичность смены ответственного за организацию обработки персональных данных. Назначение ответственного производится приказом руководителя, и он может исполнять эти обязанности неограниченно долго, пока это целесообразно для организации.
Смена ответственного нужна только в случаях, когда сотрудник увольняется, переводится на другую должность, не справляется с обязанностями или руководитель принимает решение о перераспределении функций. Частая смена ответственных без объективных причин может вызвать у Роскомнадзора вопросы о формальности такого назначения.
Обоснование по законодательству
Федеральный закон № 152-ФЗ «О персональных данных»:
-
ст. 22.1 ч. 1 — оператор обязан назначить лицо, ответственное за организацию обработки ПДн;
-
ни в 152-ФЗ, ни в иных актах не установлены сроки действия полномочий ответственного или обязанность периодической смены.
Типичные ошибки организаций
Некоторые компании меняют ответственного слишком часто «для формальности», чтобы избежать ответственности руководителя. В итоге документы выглядят несогласованными, а при проверке обнаруживаются пробелы — нет приказов об освобождении и назначении, должностные инструкции не обновлены. Другие же организации назначают ответственного «раз и навсегда», но не обеспечивают ему обучение и актуализацию знаний.
Особенности применения на практике
На практике ответственного назначают из числа сотрудников кадровой, юридической или ИТ-службы. В небольших организациях чаще всего эту роль выполняет сам директор или бухгалтер. Смена происходит по мере кадровых изменений. Если ответственный работает долго, важно периодически обучать его новым требованиям законодательства и обновлять должностную инструкцию.
Рекомендации и выводы
Менять ответственного за ПДн нужно только при объективной необходимости — смене должности, увольнении или решении руководителя. Закон не требует устанавливать определённую периодичность ротации. Чтобы избежать проблем, обеспечьте правильное оформление приказов о назначении и освобождении, а также обновление должностных инструкций.
Если вы хотите быть уверены, что документы по назначению ответственного и все остальные локальные акты по обработке ПДн оформлены правильно и соответствуют действующему законодательству, закажите в ICTech разработку полного пакета документов по обработке персональных данных в организации. Мы подготовим приказы, должностные инструкции и регламенты так, чтобы у проверяющих органов не возникло вопросов, а вы могли спокойно сосредоточиться на бизнесе.
