Кто может быть ответственным за ПДн — юрист или айтишник?

Ответственным за организацию обработки персональных данных может быть любой сотрудник организации, обладающий достаточными знаниями и компетенциями в сфере законодательства о ПДн и информационной безопасности. Закон № 152-ФЗ не ограничивает выбор конкретной должности — это решение принимает руководитель.

На практике чаще всего ответственными назначают:

• Юриста — если акцент делается на правильное оформление документов, ответы субъектам, взаимодействие с Роскомнадзором.

• Специалиста по ИТ или ИБ — если акцент на технических мерах защиты данных, организации работы систем и СКУД.

• Кадровика или бухгалтера — в небольших организациях, где обработка данных ограничивается кадровым учётом.

• Директора или ИП лично — в микробизнесе и у индивидуальных предпринимателей.

Главное, чтобы выбранный сотрудник имел ресурсы, знания и полномочия для исполнения обязанностей, перечисленных в ст. 22.1 152-ФЗ: контроль за соблюдением требований, организация обработки, информирование сотрудников, взаимодействие с субъектами и Роскомнадзором.

Обоснование по законодательству

• 152-ФЗ «О персональных данных»:

  • Ст. 22.1 ч. 1 — оператор обязан назначить лицо, ответственное за организацию обработки ПДн.

  • Ст. 22.1 ч. 3 — ответственное лицо обеспечивает соблюдение требований законодательства, информирует работников об установленных правилах.

• Разъяснения Роскомнадзора: ответственным может быть любое лицо по усмотрению руководителя, главное — компетенции и закрепление полномочий в приказе.

Типичные ошибки организаций

• Назначают «формально» сотрудника без необходимых знаний и доступа к информации.

• Не обучают ответственного требованиям законодательства и не закрепляют обязанности в документах.

• Полагают, что назначение ИТ-специалиста полностью снимает риски, хотя юридические вопросы остаются открытыми.

Особенности применения на практике

• В крупных компаниях часто выбирают юриста, а вопросы информационной безопасности решаются совместно с ИТ/ИБ-службой.

• В технологических компаниях чаще назначают айтишника, при этом юристы помогают в части документации.

• Оптимальным считается назначение сотрудника, который взаимодействует и с юридическим блоком, и с ИТ-службой, либо создание рабочей группы.

Рекомендации и выводы

1. Ответственным за ПДн может быть как юрист, так и айтишник — решение принимает руководитель.

2. Ключевой критерий — знания в области законодательства о ПДн и наличие полномочий контролировать соблюдение требований.

3. Закрепите обязанности ответственного приказом и должностной инструкцией.

4. Обеспечьте обучение назначенного сотрудника и его взаимодействие с другими подразделениями (кадры, бухгалтерия, ИТ).

Чтобы ваша организация полностью соответствовала требованиям 152-ФЗ и имела правильно оформленные приказы, должностные инструкции и регламенты для ответственного лица, специалисты ICTech подготовят для вас полный пакет документов по обработке персональных данных в организации. Это позволит законно назначить ответственного, распределить его обязанности и быть готовыми к проверке Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге