Назначить внешнего консультанта ответственным за организацию обработки персональных данных нельзя.
По закону ответственное лицо должно быть сотрудником оператора (организации или ИП), так как именно он выполняет внутренние управленческие функции:
-
организует выполнение требований 152-ФЗ,
-
информирует работников,
-
взаимодействует с субъектами ПДн и Роскомнадзором,
-
контролирует исполнение локальных актов.
Внешний консультант не состоит в трудовых отношениях с оператором, у него нет полномочий управлять внутренними процессами и давать указания работникам. Поэтому назначение его ответственным противоречит ст. 22.1 152-ФЗ.
Но консультанта можно привлечь в качестве подрядчика: он может разработать документацию, провести аудит, обучить персонал и подготовить компанию к проверке. А вот приказом о назначении ответственного всё равно должен быть указан сотрудник самой организации (или сам ИП, если речь о бизнесе без штата).
Обоснование по законодательству
-
152-ФЗ «О персональных данных»:
-
Ст. 22.1 ч. 1 — оператор обязан назначить лицо, ответственное за организацию обработки ПДн.
-
Ст. 22.1 ч. 3 — ответственное лицо обязано обеспечивать выполнение требований законодательства и доводить их до работников.
-
-
Из смысла закона: такие обязанности может выполнять только сотрудник оператора, а не сторонняя организация.
Типичные ошибки организаций
-
Пытаются «переложить» ответственность на аутсорсинговую компанию или консультанта, оформляя его как ответственного.
-
Не закрепляют в приказе внутреннего сотрудника, считая, что договор с консультантом заменяет эту обязанность.
-
Формально назначают человека, который фактически не участвует в процессах обработки ПДн.
Особенности применения на практике
-
В маленьких компаниях часто назначают директора или бухгалтера, совмещая функции ответственного.
-
В больших организациях это может быть специалист по ИБ, HR или юрист.
-
Консультант помогает подготовить документы, провести аудит, обучить ответственного и персонал, но не может быть назначен приказом как ответственное лицо.
Рекомендации и выводы
-
Ответственный за ПДн должен быть сотрудником компании или сам ИП.
-
Внешний консультант может выполнять роль эксперта, методолога, разработчика документации, но не ответственного.
-
Назначайте приказом внутреннего сотрудника, а консультанта привлекайте по договору для сопровождения и помощи.
-
Все обязанности и полномочия ответственного закрепите в приказе и должностной инструкции.
Если вы хотите, чтобы ваша организация соответствовала требованиям 152-ФЗ, имела правильно назначенного ответственного и полный комплект документов, специалисты ICTech подготовят для вас полный пакет документов по обработке персональных данных. Мы также сопровождаем компании как внешние эксперты: разрабатываем регламенты, обучаем сотрудников и готовим к проверкам Роскомнадзора, чтобы ваш ответственный внутри компании мог спокойно выполнять свои обязанности.
