Алексей Ветров
Эксперт по защите данных IC-TECH
Ответственным за организацию обработки персональных данных в компании может быть любое лицо из числа сотрудников, обладающее достаточной квалификацией и полномочиями. Чаще всего это:
- специалист по ИБ (информационной безопасности);
- юрист или специалист по кадровому делу;
- руководитель подразделения, связанного с обработкой ПДн;
- в малом бизнесе — сам директор или ИП.
Закон не ограничивает, кто именно может быть назначен, но важно, чтобы это лицо реально выполняло функции по организации защиты и обработки ПДн.
- специалист по ИБ (информационной безопасности);
- юрист или специалист по кадровому делу;
- руководитель подразделения, связанного с обработкой ПДн;
- в малом бизнесе — сам директор или ИП.
Закон не ограничивает, кто именно может быть назначен, но важно, чтобы это лицо реально выполняло функции по организации защиты и обработки ПДн.
Обоснование по законодательству
- ФЗ-152, ст. 22, ч. 1: в уведомлении в Роскомнадзор указывается лицо, ответственное за организацию обработки ПДн.
- ФЗ-152, ст. 18.1, ч. 1 п. 1: оператор обязан назначить лицо, ответственное за организацию обработки персональных данных.
- ФЗ-152, ст. 19: это лицо должно обеспечивать выполнение мер по защите данных.
Требования к ответственному лицу
- должен обладать знаниями в области законодательства о ПДн и требований 152-ФЗ;
- понимать принципы обеспечения безопасности информации;
- иметь доступ к информации о процессах обработки ПДн в организации;
- иметь полномочия по организации выполнения требований (например, издавать приказы, контролировать сотрудников).
Пример:
В небольшой компании с 15 сотрудниками директор назначил бухгалтерию ответственным за организацию обработки ПДн. Это законно, но в таком случае бухгалтер должен быть обучен требованиям ФЗ-152 и иметь доступ к внутренним документам по ПДн.
Если не уверены, кого назначить ответственным и как корректно указать его данные в уведомлении — поможем. Услуга по подаче уведомления в Роскомнадзор
Кто не может быть ответственным
- Внешние подрядчики и фрилансеры (ответственный должен быть сотрудником или самим ИП).
- Лица, не имеющие доступа к процессам обработки данных (например, рядовой сотрудник, не связанный с документооборотом).
- Технический администратор сайта без должных полномочий по управлению ПДн.
Рекомендации и выводы
- Ответственное лицо должно быть закреплено приказом или распоряжением.
- Его данные (ФИО, должность, телефон, e-mail) указываются в уведомлении Роскомнадзора.
- Перед назначением сотрудника стоит провести обучение и ознакомить его с пакетом документов по 152-ФЗ.
- Для малого бизнеса целесообразно назначить руководителя, а для среднего и крупного — выделенного специалиста по ИБ или юриста.
Хотите быть уверены, что ваша организация правильно оформлена в реестре операторов персональных данных Роскомнадзора? Закажите подачу уведомления в Роскомнадзор в IC-Tech.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
