Алексей Ветров
Эксперт по защите данных IC-TECH
Нет, новое согласие получать не нужно. Замена ответственного за организацию обработки персональных данных внутри компании не меняет цели, состав и основания обработки. Субъект даёт согласие на обработку своих данных оператору (организации), а не конкретному сотруднику.
Назначение или смена ответственного — это внутренний организационный процесс, который фиксируется локальными актами (приказом руководителя, положением об ответственном за ПДн). На действительность ранее полученных согласий это не влияет.
Но важно: организация обязана обеспечить, чтобы новый ответственный был ознакомлен с обязанностями, имел доступ к документам по ПДн и обеспечивал выполнение требований ФЗ-152.
Назначение или смена ответственного — это внутренний организационный процесс, который фиксируется локальными актами (приказом руководителя, положением об ответственном за ПДн). На действительность ранее полученных согласий это не влияет.
Но важно: организация обязана обеспечить, чтобы новый ответственный был ознакомлен с обязанностями, имел доступ к документам по ПДн и обеспечивал выполнение требований ФЗ-152.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — оператором является организация или ИП, а не отдельный сотрудник.
- Ст. 9 ФЗ-152 — согласие даётся на обработку ПДн оператору.
- Ст. 22.1 ФЗ-152 — оператор обязан назначить лицо, ответственное за организацию обработки ПДн.
- Ст. 19 ФЗ-152 — меры по обеспечению безопасности ПДн включают назначение ответственного, но не предполагают получение нового согласия.
Практика проверок Роскомнадзора
- В одной компании при смене ответственного за ПДн у сотрудников и клиентов не запрашивали новые согласия. Проверка подтвердила, что это не является нарушением — согласие даётся оператору, а не ответственному.
- В другой организации забыли издать приказ о смене ответственного и уведомить сотрудников. Роскомнадзор указал на нарушение, но оно касалось именно отсутствия документации, а не согласий субъектов.
Важный нюанс
Смена ответственного требует обновления внутренних документов (приказ, положение, инструкции). В уведомление в Роскомнадзор сведения о новом ответственном вносить не требуется, так как там фиксируется оператор (организация), а не конкретное лицо.
Рекомендации и выводы
Новое согласие субъектов ПДн при смене ответственного получать не нужно. Организации следует:
- Издать приказ о назначении нового ответственного.
- Внести изменения в локальные акты (политику, положения, инструкции).
- Ознакомить нового ответственного с его обязанностями.
- Обеспечить, чтобы система защиты ПДн работала непрерывно.
Компания ICTech поможет вашей организации корректно оформить смену ответственного за ПДн: подготовим приказы, внесём изменения в документы и сохраним соответствие требованиям ФЗ-152.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
