Ответственный за обработку персональных данных в организации кто
Перейти к содержимому

Ответственный за обработку персональных данных в организации кто

  • автор:

Ответственный за обработку персональных данных в организации кто

Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях

(введена Федеральным законом от 25.07.2011 N 261-ФЗ)

1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.

4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Как назначить ответственного за организацию обработки персональных данных

Чтобы оператору выполнить обязанности, которые возложены на него Законом № 152-ФЗ, нужно предпринять ряд мер, перечень которых оператор определяет сам. Среди них назначение ответственного за организацию обработки персданных. Кто может быть ответственным и как его назначить, разбираемся в статье.

Какие операторы обязаны назначать ответственного

Назначать ответственного должны:

  • юридические лица (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ);
  • государственные и муниципальные органы (пп. «а» п. 1 Перечня, утв. Постановлением Правительства РФ от 21.03.2012 № 211).

Законодательство о персональных данных не возлагает на индивидуальных предпринимателей обязанность назначать ответственного. При этом необходимо помнить, что на работодателя-ИП распространяются положения гл. 14 ТК РФ о защите персданных его сотрудников. Поэтому так или иначе ИП необходимо организовать у себя их обработку, чтобы не нарушать законодательство. В этой ситуации ИП может назначить ответственным самого себя.

Кого можно назначить ответственным

В Законе № 152-ФЗ нет специальных требований, которые предъявляются к такому лицу. Системный анализ законодательства о персональных данных и сложившейся практики позволяет предположить, что ответственным можно назначить (п. 7.1 ч. 3 ст. 22 Закона № 152-ФЗ, Методические рекомендации, направленные письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059):

  • сотрудника оператора, в том числе руководителя организации, если в штате нет подходящего для этой цели работника;
  • иную организацию или ИП, специально привлеченных для этой цели.

Исключение — оператор, являющийся государственным или муниципальным органом, в котором ответственным может быть только (пп. «а» п. 1 Перечня, утв. Постановлением Правительства РФ от 21.03.2012 № 211):

  • государственный или муниципальный служащий этого органа;
  • сотрудник этого органа, с которым заключен трудовой договор и который замещает должность не из числа должностей ГГС РФ.

По вопросу о том, сколько ответственных лиц вправе назначить оператор, существует две позиции. Исходя из анализа п. 7.1 ч. 3 ст. 22 Закона № 152-ФЗ, ответственным может быть только одно лицо — физическое или юридическое. Но некоторые суды толкуют ч. 1 ст. 22.1 Закона № 152-ФЗ шире и считают, что оператор вправе назначить несколько ответственных лиц (постановление мирового судьи судебного участка № 5 Ленинского судебного района г. Мурманска от 01.06.2015 по делу № 5-283/2015).

Обязанности ответственного

Ответственный обязан совершать ряд действий (ст. 22.1 Закона № 152-ФЗ):

  • контролировать, соблюдают ли оператор и его сотрудники законодательство о персональных данных, в том числе требования к их защите;
  • информировать сотрудников оператора о требованиях к защите персональных данных и о положениях НПА и ЛНА, регулирующих их обработку;
  • организовывать и (или) контролировать прием и обработку запросов субъектов и их представителей.

Как назначить ответственного

Чтобы назначить ответственного, оператор выбирает один из способов, в зависимости от того, какое лицо он привлекает для этой цели.

Способ 1. Ответственный — сотрудник оператора

В этом случае оператор может придерживаться следующего алгоритма действий:

  1. Разработать и утвердить должностную инструкцию ответственного. В ней необходимо отразить его обязанности, предусмотренные в ч. 4 ст. 22.1 Закона № 152-ФЗ. С должностной инструкцией сотрудника нужно ознакомить.
  2. Издать приказ о назначении ответственного лица.

В случае, если оператор назначает ответственным сотрудника, который выполняет другую трудовую функцию в организации, — например, сотрудника кадровой службы или бухгалтера — необходимо оформить совмещение должностей и установить доплату за выполнение дополнительной трудовой функции.

Способ 2. Ответственный — организация или ИП, которых оператор привлекает специально

В этой ситуации правоотношения между оператором и ответственным оформляются на основании гражданско-правового договора — например, договора поручения. В договоре обязательно необходимо закрепить:

  • обязанности лица, которое привлекает оператор, закрепленные в ч. 4 ст. 22.1 Закона № 152-ФЗ;
  • обязанность оператора передать такому лицу сведения, указанные в ч. 3 ст. 22 Закона № 152-ФЗ;
  • порядок выполнения указаний, которые дал руководитель оператора, и порядок представления ему сведений о выполнении обязанностей, которые оператор возложил на ответственного (ч. 2 ст. 22.1 Закона № 152-ФЗ).

Если ответственный изменил свое наименование или Ф.И.О., контактный телефон, почтовый адрес или адрес электронной почты, то оператор обязан уведомить об этом Роскомнадзор не позднее десяти рабочих дней с даты возникновения таких изменений.

Что будет, если не назначить ответственного

До 1 июля 2017 года за такое нарушение оператора привлекали к административной ответственности по ст. 13.11 КоАП РФ (решение Петрозаводского городского суда Республики Карелия от 26.07.2012 по делу № 12а-556/12-8).

Федеральный закон от 07.02.2017 № 13-ФЗ внес изменения в ст. 13.11 КоАП РФ, в которой теперь предусмотрена ответственность за ограниченный круг нарушений Закона № 152-ФЗ. Так, ответственность оператора за неназначение ответственного не установлена.

Это не значит, что оператор может не исполнять эту обязанность. На практике при проведении проверки Роскомнадзор или прокуратура могут установить, что оператор не назначил ответственного, и выдать ему предписание (представление). Если оператор не исполнит его добровольно, то его привлекут к административной ответственности по ст. 19.5 или ст. 17.7 КоАП РФ (апелляционное определение Московского городского суда от 04.06.2018 по делу № 33а-3957/2018, постановление Березовского районного суда ХМАО-Югры от 26.10.2018 по делу № 5-220/2018).

Также оператора могут принудить назначить ответственное лицо в судебном порядке (решение Шарлыкского районного суда Оренбургской области от 05.11.2019 по делу № 2а-520/2019).

Как правильно оформить ответственного за обработку персданных в компании

Вопрос. В компании до этого не было ответственного за персданные. Теперь руководство решило назначить. Как правильно возложить обязанности по обработке персданных на ответственного работника?

Рекомендация эксперта ИПК. Работодатель определяет по своему усмотрению, как возложить обязанности по обработке персданных на ответственного работника. К примеру, он вправе доверить их обработку руководителю отдела информационных технологий и защиты информации.

Оформить это можно путем:

– перевода на отдельную должность (например, ответственного за организацию обработки персональных данных);

– расширения зоны обслуживания.

Способ оформления возложения обязанностей выбирайте исходя из конкретных обстоятельств: численности сотрудников, состояния локальных актов по обработке персональных данных и т.д. Информацию про каждый способ скачайте ниже.

Требование о назначении ответственного за обработку ПД установлено в статье 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).

Работа с персданными в крупной компании. Учитывая количество изменений по персданным и объем работы с ними, в крупной организации рекомендуем придерживаться первого варианта оформления – перевода на отдельную должность.

В этом случае из-за большого количества обязанностей в штатное расписание может быть внесена отдельная должность (например, «ответственный за организацию обработки персональных данных»). В свою очередь действующий работник при наличии согласия и при условии изменения трудового договора может быть на нее переведен.

Работа с персданными в небольшой компании. В таком случае возможно применение и других вариантов – совместительства, совмещения, расширения зоны обслуживания.

Например, поручение дополнительных обязанностей в свободное от основной работы время может быть оформлено как внутреннее совместительство (ст. 282 ТК РФ ). Поручение дополнительных обязанностей без освобождения от основной работы следует оформить как совмещение, расширение зоны обслуживания (ст. 60.2 ТК РФ ). Оба эти способа предполагают доплату, размер которой устанавливается по соглашению сторон (ст. 151 ТК РФ ).

Скачайте образцы документов для работы:

Таблица способов оформления ответственного за обработку персданных в небольшой компании

Таблица новых штрафов за нарушения в работе с персданными (на сентябрь 2022)

Приказ о назначении ответственного за обработку персональных данных

Создание приказа о назначении ответственного лица за обработку персональных данных происходит для регуляции работы кадровиков и руководящего состава предприятия с персональными сведениями о сотрудниках.

Обязателен ли документ, его значение

Для компаний, осуществляющих свою деятельность в коммерческом секторе, данный документ не является строго обязательным (в отличие, например, от государственных учреждений), собственно как и организация самой системы действий с персональными данными. Тем не менее, многие фирмы предпочитают назначать ответственных сотрудников за работу с личными сведениями персонала, что позволяет избегать в дальнейшем нарушений при обороте документации, а также предотвращать различные злоупотребления.

Внимание! Этот документ можно скачать в КонсультантПлюс.

  • Бланк и образец
  • Онлайн просмотр
  • Бесплатная загрузка
  • Безопасно

В перечень обязанностей ответственного за обработку персональных данных сотрудника входит контроль за защитой личной информации работников организации, доведение до них соответствующих нормативно-правовых актов компании, сбор нужных подписей и проч.

Что относится к персональным данным

Персональными данными считается любая информация о работнике предприятия, касающаяся его лично и задокументированная в каких-либо бумагах. В том числе это сведения из паспорта, ИНН, СНИЛС, трудовой книжки, диплома об образовании и других подобного рода аттестатах и свидетельствах, больничных карт и т.п.

Также сюда относится то, что касается семейного положения работника, его родственных связей, судимостей, финансовых дел и все прочее, что может прямо или косвенно идентифицировать человека.

Распоряжаться всеми этими данными любой гражданин может только лично, но поскольку в современных условиях это возможно далеко не всегда, он передает согласие на обработку персональных сведений другим лицам, в том числе представителю работодателя, который в свою очередь несет полную ответственность за сохранность этой конфиденциальной информации и недоступность к ней посторонних.

На кого чаще всего возлагается ответственность за обработку персональных данных

Наиболее часто ответственность за решение этого вопроса возлагается на работника отдела кадров (специалиста или руководителя), юриста и, реже, секретаря организации, — в зависимости от того, в чьем ведении находятся личные дела сотрудников с их личными документами, копиями документов и другими характеризующими их бумагами.

В каком виде написать приказ

Приказ о назначении ответственного за обработку персональных данных лица можно писать в свободном виде, поскольку на сегодня унифицированная его форма не предусмотрена. Правда, эта норма не касается государственных учреждений, где обычно применяются стандартные формуляры, а также тех предприятий, руководство которых разработало и утвердило собственный единый шаблон для распорядительных актов. Информация о формате приказов обязательно должна быть указана в учетной политике компании.

Каким сделать оформление

Оформление приказа также полностью отдается на откуп его составителей. Документ допускается писать вручную, но все же предпочтительнее печатать на компьютере, используя для распечатки бланк с фирменными реквизитами и логотипом или же обычный лист бумаги.

Чьи подписи должны стоять под приказом

Приказы всегда пишутся от имени главного лица компании – директора, а, значит, первая подпись в документе должна быть его. В отсутствие руководителя на рабочем месте расписаться в распоряжении может сотрудник, временно исполняющий его обязанности.

Также в распорядительном акте должны быть автографы работников предприятия, в отношении которых он выпущен и те, на кого возложен контроль за его исполнением.

Как проводить учет

Все исходящие от руководства организации распоряжения должны быть учтены. Для этого используется специальный журнал, в который вносится наименование приказа, его номер и дата выпуска. Журнал обычно находится у юриста, начальника отдела кадров, секретаря или другого работника, близкого к руководящему составу предприятия. Журнал позволяет не только зарегистрировать сам факт создания документа, но и при какой-либо надобности легко его найти.

Как организовать хранение

По хранению документа никаких особенностей нет. Как любые другие подобные бумаги, готовый, подписанный и завизированный приказ подшивается в отдельную папку, в которой и лежит весь период своего действия. Когда актуальность его утрачивается, документ отправляется в архив, где хранится период, установленный в локально-нормативной документации фирмы или же указанный в законодательных актах, после чего утилизируется (также с соблюдением условий, указанных для этой процедуры).

Образец приказа о назначении ответственного

Если перед вами стоит задача по формированию приказа о назначении ответственного за обработку персональных данных работника, а вы раньше таких документов не делали, вам поможет представленный ниже образец и комментарии к нему.

Похожие публикации:
  1. Как вам следует поступить при повороте направо регулировщик и трамваи и легковой автомобиль
  2. Как приставы списывают деньги с карты
  3. Пко и рко что это
  4. Со скольки лет можно работать охранником

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *