В рамках рабочей группы Роскомнадзора по ПДн выявилась следующая проблема – в законодательстве отсутствует указание, кого назначить лицом, ответственным за организацию обработки персональных данных, какие у него должны быть функции и квалификация.
Эти вопросы интересуют всех операторов и в видео ниже я постарался на них ответить:
Нажмите чтобы увидеть требования НПА 152-ФЗ:
Статья 18.1
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
Статья 22
3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
Статья 22.1
1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.
4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
ПП-211:
1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:
а) назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа государственных или муниципальных служащих и (или) работников указанного органа, замещающих должности, не являющиеся должностями государственной гражданской службы Российской Федерации или муниципальной службы, на основании трудового договора (далее - служащие);
б) утверждают актом руководителя государственного или муниципального органа следующие документы:
должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе;
д) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных в государственном или муниципальном органе. Проверки осуществляются ответственным за организацию обработки персональных данных в государственном или муниципальном органе либо комиссией, образуемой руководителем государственного или муниципального органа. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю государственного или муниципального органа докладывает ответственный за организацию обработки персональных данных в государственном или муниципальном органе либо председатель комиссии;
Основные выводы привожу и тут:
Кого назначить?
Лучшие возможные варианты (подчиняются напрямую исполнительному органу организации и не имеют конфликта интересов при проведении контроля):
· Руководитель / заместитель руководителя компании
· Независимый эксперт / консультант / советник
· Руководитель юридического подразделения
· Руководитель подразделения аудита
Также возможны варианты (подчиняются напрямую исполнительному органу организации и но возможен конфликта интересов при проведении контроля):
· Руководитель ИБ подразделения
· Руководитель подразделения по работе с клиентами
· Руководитель ИТ подразделения
· Руководитель HR подразделения
Требования к квалификации:
Должен знать:
Основные положения законодательства РФ в области обработки ПДн
· понятие ПДн
· принципы обработки ПДн
· условия обработки ПДн
· цели и правовые основания обработки ПДн
· виды и формы согласий субъекта ПДн на обработку ПДн
· понятие и особенности обработки общедоступных ПДн
· понятие и особенности обработки биометрических ПДн
· понятие и особенности обработки специальных категории ПДн
· понятие и особенности поручения обработки ПДн
· понятие и особенности трансграничной передачи ПДн
· права субъектов ПДн
· возможные угрозы нарушения прав субъектов ПДн и связанный с ними ущерб
· обязанности оператора ПДн
· возможные меры направленные на обеспечение выполнения обязанностей оператора ПДн
· порядок взаимодействия с уполномоченный орган по защите прав субъектов персональных данных
· требования к уведомлению об обработке персональных данных
Основные положения законодательства РФ в области защиты ПДн
· понятие уровней защищенности ПДн при их обработке в ИСПДн
· основные виды и типы угроз безопасности ПДн в ИСПДн
· содержание и порядок организации работ по выявлению угроз безопасности ПДн
· требования по обеспечению безопасности ПДн
· возможные меры по выполнению требований по по обеспечению безопасности ПДн
Положения ОРД по ПДн, принятые в организации
Требования по взаимодействию с субъектами ПДн, по их обращениям
Нормы устанавливающие ответственность за нарушение требований по обращению с персональными данными. Практика правоприменения данных норм
Порядок проведения государственного контроля и надзора за обработкой ПДн
Должен уметь:
· планировать мероприятия по контролю и повышению осведомленности
· организовывать взаимодействие с субъектами ПДн по их обращениям и запросам
· осуществлять мероприятия по контролю
· осуществлять повышение осведомленности работников в области обработки и защиты ПДн
· предоставлять отчетность исполнительному органу организации
· взаимодействовать с органом государственного контроля и надзора
Рекомендую проходить обучение не реже 1 раза в 5 лет.