Назначение ответственного за организацию обработки персональных данных — это прямая обязанность оператора, то есть самой организации (юридического лица) или индивидуального предпринимателя, которые обрабатывают ПДн.
Решение о назначении ответственного принимает руководитель организации (директор, генеральный директор, ИП — лично). Назначение оформляется приказом или иным распорядительным документом.
Ответственный сотрудник выполняет функции, перечисленные в законе: контроль за соблюдением законодательства в области ПДн, организацией внутренней документации, взаимодействием с Роскомнадзором, консультированием работников и субъектов персональных данных.
Обоснование по законодательству
-
Федеральный закон № 152-ФЗ «О персональных данных»:
-
Ст. 22.1 ч. 1 — оператор обязан назначить лицо, ответственное за организацию обработки ПДн.
-
Ст. 22.1 ч. 3 — ответственное лицо обеспечивает соблюдение требований к обработке ПДн и доведение этих требований до сотрудников.
-
-
Разъяснения Роскомнадзора: назначение ответственного должно быть оформлено локальным актом (приказом руководителя).
Типичные ошибки организаций
-
Не назначают ответственного вообще. При проверке это считается нарушением и грозит штрафом.
-
Назначают «формально», но не закрепляют обязанности и права сотрудника в приказе и должностной инструкции.
-
Назначают ответственным специалиста без достаточных знаний (например, кадровика или секретаря), не обеспечивая его компетенцию и доступ к ресурсам.
Особенности применения на практике
-
В небольших организациях ответственным часто назначают директора или главного бухгалтера.
-
В крупных компаниях чаще всего назначают сотрудника IT-отдела или службы информационной безопасности.
-
У ответственного должно быть закреплено: право контролировать сотрудников, инициировать обучение, взаимодействовать с Роскомнадзором, вести учёт инцидентов.
Рекомендации и выводы
-
Назначение ответственного за ПДн обязательно для любой организации, обрабатывающей персональные данные.
-
Приказ должен быть оформлен от имени руководителя компании, с указанием ФИО, должности и обязанностей назначенного лица.
-
Ответственный должен быть ознакомлен с законодательством и локальными актами, пройти обучение или инструктаж.
-
Все права и обязанности целесообразно закрепить в его должностной инструкции.
Если вы хотите, чтобы ваша организация соответствовала требованиям 152-ФЗ и имела правильно оформленное назначение ответственного лица, а также весь комплект сопутствующих документов, специалисты ICTech подготовят для вас полный пакет документов по обработке персональных данных. Это обеспечит законность ваших процессов, снизит риски штрафов и позволит без проблем пройти проверку Роскомнадзора.
