По закону опыт или специальное образование в области информационной безопасности у ответственного за обработку персональных данных не является обязательным требованием.
В ст. 22.1 Федерального закона № 152-ФЗ указано только, что оператор обязан назначить лицо, ответственное за организацию обработки ПДн, которое должно обеспечивать соблюдение законодательства и информировать работников. Конкретные требования к образованию или стажу законом не установлены.
Но есть важные нюансы:
-
Ответственный должен понимать правовые требования (152-ФЗ, Трудовой кодекс, налоговое и бухгалтерское законодательство в части хранения документов).
-
Ему полезно разбираться в организационных и технических мерах защиты (политики, пароли, архивы, работа с ИТ-системами).
-
При сложной ИТ-инфраструктуре лучше, чтобы рядом с ним был специалист по информационной безопасности, который будет помогать реализовывать технические меры.
Таким образом, опыт в информационной безопасности — это преимущество, но не обязанность. В маленьких организациях часто назначают директора, бухгалтера или кадровика, а в больших — юриста или специалиста по ИБ.
Обоснование по законодательству
-
152-ФЗ «О персональных данных»:
-
Ст. 22.1 ч. 3 — ответственное лицо обеспечивает соблюдение законодательства и информирует работников.
-
Закон не устанавливает квалификационных требований к образованию или опыту.
-
-
Разъяснения Роскомнадзора: организация самостоятельно определяет, кого назначить ответственным, исходя из структуры и задач.
Типичные ошибки организаций
-
Считают, что обязательно нужен ИБ-специалист, и назначают «для галочки» айтишника, который ничего не знает о юридических требованиях.
-
Назначают кадровика или бухгалтера, но не обучают его требованиям закона.
-
Не обеспечивают взаимодействие ответственного с ИТ-службой, в итоге часть обязанностей «провисает».
Особенности применения на практике
-
В малых организациях часто назначают директора или бухгалтера, а вопросы ИБ решают через подрядчиков.
-
В средних и крупных компаниях назначают юриста или специалиста по ИБ, а обязанности распределяют с другими подразделениями.
-
В реальности идеальный ответственный — тот, кто понимает и правовые, и технические аспекты, либо умеет организовать взаимодействие между ними.
Рекомендации и выводы
-
По закону опыт в ИБ не обязателен, но базовые знания о защите данных у ответственного должны быть.
-
Назначайте сотрудника, который сможет координировать работу и контролировать соблюдение законодательства.
-
Обеспечьте ему обучение или консультации в области ПДн и ИБ.
-
При сложной инфраструктуре привлекайте специалистов по ИБ или внешних консультантов для поддержки ответственного.
Если вы хотите, чтобы ваш ответственный за ПДн имел всё необходимое для реальной работы, а организация полностью соответствовала требованиям 152-ФЗ, специалисты ICTech подготовят для вас полный пакет документов по обработке персональных данных и проведут обучение ответственного. Это даст ему инструменты и знания для выполнения обязанностей и избавит компанию от рисков штрафов.
