Ответственный за организацию обработки персональных данных

Кто такой ответственный за персональные данные

Все действия с персональными данными работников на предприятии регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом РФ, локальными нормативными актами. Априори за сохранность всей информации отвечает работодатель, но он вправе назначить лицо, ответственное за их обработку, защиту и контроль за соблюдением законодательства. Это не снимает ответственности с работодателя, но позволяет делегировать часть своих полномочий для рационального распределения своих обязанностей в этой сфере. Эти обязанности возлагаются либо на одного сотрудника, либо на группу из административно-управленческого аппарата. Они выполняются дополнительно наряду с основными трудовыми функциями сотрудника.

Кого назначить ответственным, решает работодатель. Специальных требований нет. Чаще всего эти обязанности поручаются тем работникам, которым для выполнения основного функционала необходим доступ к таким сведениям: специалист отдела кадров, бухгалтер, секретарь. Допускается поручить и любому другому сотруднику. Эта работа строго регламентирована локальными нормативными актами и должностной инструкцией.

https://youtu.be/jhWSEa217Lw

Пример документа

Общество с ограниченной ответственностью “ВасилькоВиКо”
ИНН/КПП 468416546316341/6546316546

юр. адрес: Россия, Ненецкий автономный округ, г. Амдерма, ул. Северная, 13

Приказ № 17

о назначении ответственного за обработку персональных данных

г. Амдерма 14.11.2022 г.

В целях обеспечения защиты персональных данных работников ООО “ВасилькоВиКо” и во исполнение требований главы 14 Трудового кодекса Российской Федерации, Закона “О персональных данных” от 27.07.2006 г. № 152-ФЗ,

ПРИКАЗЫВАЮ:

1. Назначить начальника кадрового отдела Суховееву Ларису Викторовну ответственной за обработку персональных данных работников ООО “ВасилькоВиКо” с 14 ноября 2022 года.
2. Начальнику кадрового отдела Суховеевой Ларисе Викторовне: организовать мероприятия по сбору, хранению, уничтожению и иной обработке персональных данных работников, обеспечить выполнение требований законодательства РФ в области персональных данных, организовать ознакомление работников с локальными нормативными правовыми актами работодателя в сфере обработки и защиты персональных данных по мере их утверждения и издания,
3. Начальнику кадрового отдела Суховеевой Ларисе Викторовне представить в срок до 20.11.2022 г. для утверждения перечень лиц, имеющих допуск к персональным данным работников в ООО “ВасилькоВиКо”.
4. В случае отсутствия Суховеевой Л.В. по уважительным причинам назначить замещающим ее главного специалиста отдела кадров Дуева Андрея Викторовича.
5. Контроль за исполнением настоящего приказа оставляю за собой.

Генеральный директор Рузаков Рузаков А.Д.

С приказом ознакомлены:

Суховеева Л.В.

Дуев А.В.

Должностная инструкция

Права, функции и обязанности этого специалиста, пределы его полномочий определяет и детализирует должностная инструкция ответственного за обработку персональных данных — особый организационно-распорядительный документ, в котором определен порядок действий при каждой операции с персональными данными. Четкая форма инструкции законодательно не установлена. Допускается просто перечислить в ней основные должностные обязанности. Но чем подробнее будут описаны все производственные процессы, тем меньше вероятность возникновения разногласий как с работниками, так и с законодательством.

Самый распространенный вид инструкции — документ, содержащий следующие разделы:

• общие положения;
• функции;
• обязанности;
• права;
• ответственность.

Также в документе прописывают положения о порядке его изменения, ссылки на законодательные акты.

Назначение ответственного лица

Это лицо назначается на предприятии приказом руководителя. В документе указываются ФИО и должность сотрудника. В случае его замены в приказ должны быть внесены изменения или необходимо выдать новый, в котором будет указан другой сотрудник, назначенный на выполнение таких функций.

В приказе о назначении права, обязанности и полномочия такого специалиста не отражаются. Они должны быть внесены в Положение об обработке ПДн. В должностную инструкцию этого сотрудника также вносится такая информация.

В Трудовом Кодексе РФ нет специальных требований в отношении содержания этой информации в должностных инструкциях. Но, в соответствии с ч. 2 ст. 152 закона о персональных данных, эта документация утверждается отдельным распорядительным документом (приказом) компании.

Каждой компании нужно знать, что с 01.07.17 г. были приняты изменения в ст. 13.11 Кодекса об административных правонарушениях. Их введение позволило значительно усилить ответственность за допущенные нарушения в отношении работы компании с персональной информацией.

Это значит, что требуется очень аккуратно относиться к подготовке необходимой для работы в организации документации (приказов, распоряжений, должностных инструкций) и к работе ответственного лица, назначенного этим приказом.

Соблюдение норм законодательства – требование, которое должен выполнять ответственный работник. От аккуратного выполнения возложенных на него обязанностей и правильной последовательности его действий будет зависеть выполнение этих требований, что позволит компании избежать наложения серьезных штрафных санкций.

Общие положения

В начальной части должностной инструкции ответственного за персональные данные перечисляются общие параметры профессиональной деятельности специалиста, базовые моменты. В этом разделе, как правило, определяются:

• наименование должности, основные требования к работнику — наличие у него специального образования, квалификации, стажа, опыта работы;
• лицо, назначающее на должность и освобождающее от должности;
• документы, которыми работник обязан руководствоваться в своей деятельности;
• порядок замещения работника, его субординация.

Особенно важны умения и навыки. Здесь указываются важные требования о знании законодательства в области персональных данных, организации труда, основ делопроизводства с использованием современных информационных технологий.

Пошаговая инструкция по назначению

Назначение ответственного за ведение обработки персональных данных осуществляется руководителем юридического лица. Об этом говорится в части 1 статьи 22.1 ФЗ № 152.

Для назначения ответственного руководителю организации необходимо:

1. Выбрать ответственного сотрудника.
2. Подготовить необходимые документы.
3. Издать приказ о назначении.
4. Подготовка документов

Работу с личными сведениями в фирме регулируют несколько документов. Для того чтобы издать соответствующий приказ, руководителю необходимо подготовить локальную нормативную базу.

Документы, регулирующие работу с личными данными в компании:

• должностная инструкция;
• внутреннее положение об обработке персональных данных.

Должностная инструкция

В должностной инструкции сотрудника должны быть зафиксированы не только обязанности, прописанные в законе, но и дополнительные требования к лицу, занимающему выбранную должность. Описание должно быть емким и понятным.

Руководителю необязательно разрабатывать новую должностную инструкцию – можно дополнить необходимыми сведениями существующий документ. После издания руководитель, делопроизводитель или кадровик проводят ознакомление соответствующего работника с новой должностной инструкцией и просят подписать бумаги.

Рекомендуем ознакомиться со статьями об операторе, политике обработки, уведомлении, об автоматизированной и ручной обработке, о ЦОД и о целях обработки.

Составление положения

Более подробно все права и обязанности, а также меры ответственности уполномоченного лица необходимо отразить во внутреннем положении об обработке персональных данных.

В документе также должно содержаться описание порядка хранения и использования частной информации. Положение обязательно к ознакомлению всеми сотрудниками компании.

Подробнее о важных сведениях о правовом обеспечении обработки персональных данных читайте тут.

Издание приказа

После того, как локальная нормативная база будет готова, руководителю организации необходимо издать приказ. Издание осуществляется по общим правилам делопроизводства в произвольной форме на бланке компании.

Приказ должен содержать:

1. номер приказа;
2. название документа;
3. дату и место издания распоряжения;
4. слово «Приказываю»;
5. положение о назначении ответственного лица;
6. положение о лице, замещающем ответственного во время его отсутствия;
7. положение о лице, осуществляющем контроль над исполнением приказа;
8. подпись руководителя;
9. подписи ознакомившихся с приказом людей.

В приказе указывается должность работника и его инициалы. В случае замены сотрудника в документ вносятся изменения либо осуществляется подготовка нового приказа.

Функции

В этом разделе фиксируются задачи сотрудника. Они закреплены в ст. 22.1 закона № 152-ФЗ и обязывают ответственного:

• контролировать соблюдение в организации соответствующих законов, в том числе требований к защите информации;
• доводить до сведения работников положения законодательства, локальных актов по вопросам обработки данных;
• организовывать прием и обработку обращений и запросов владельцев данных.

Более детальный перечень формулируется в следующем разделе документа.

Характер предписаний

К защите

Сведения о требованиях, реализуемых в отношении защиты информации конфиденциального характера, утверждены Правительством РФ в Постановлении кабинета министров РФ от 1 ноября 2012 года N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Все обязанности по защите ПД ложатся на оператора, осуществляющего их сбор и обработку.

1. Любая система, работающая с персональной информацией, пользуется средствами защиты от актуальных угроз и соответствующими информационными технологиями.
2. Оператор определяет актуальные угрозы, а также оценивает их потенциальный вред по алгоритму пункта 5 части 1 статьи 18 Федерального закона «О персональных данных». Разработать соответствующую модель угроз и применять ее на практике для защиты информации.
3. Оператор устанавливает для ПДн уровень защищенности.
   1 уровень устанавливается для систем, обрабатывающих специальные категории персональных данных, либо биометрические сведения, а также операторов, работающих с более чем ста тысячам субъектов ПДН (если они не являются сотрудниками).
4. 2 уровень присваивается операторам, обрабатывающим информацию более ста тысяч субъектов (если они являются сотрудниками), общедоступные данные более чем ста тысяч субъектов, биометрические данные менее ста тысяч субъектов.
5. 3 уровень присваивается системам, работающим с информацией, принадлежащей 10 тысячам субъектов, не являющихся сотрудниками оператора.
6. 4 уровень получают системы, работающие с общедоступной информацией ПДн, которая считается обезличенной и не дает возможности идентифицировать человека.

Четвертый уровень безопасности обеспечивается следующими позициями:

• организация режима доступа к помещениям, в которых размещена информационная система (без возможности случайного проникновения);
• обеспечение сохранности физических платформ ПДн;
• утверждение документа с перечнем лиц, которым доступна система.

Третий уровень обусловлен одним дополнительным, по сравнению с 4 уровнем, требованием – назначить должностное лицо, ответственное за безопасность. На втором уровне добавляется обязательное ограничение доступа к каталогу ПДн только для должностных лиц оператора.

А операторы с первым уровнем защищенности должны автоматически вносить в средство электронного учета изменения полномочий сотрудников, имеющих доступ к ПДн, а также создать структурное подразделение (или возложить на существующее), в обязанности которого входит обеспечение безопасности персональных сведений.

Посмотреть видео о том, как необходимо осуществлять защиту персональных данных:

К обработке в информационных системах

Глава 2 Федерального закона «О персональных данных» под названием «Принципы и условия обработки ПДн» включает в себя основные требования к данному процессу.

• Оператор информационных систем работает с данными на основе законодательных актов.
• В системе обработка ограничивается действиями, необходимыми для реализации конкретных целей, определенных заранее. Несовместимая с целями сбора обработка является нарушением.
• Объединение баз, которые содержат ПДн, собранные с разными целями, не допускается.
• Обрабатываются только данные, отвечающие целям обработки.
• Не допускается избыточности по отношению к заявленным целям обработки.

Важно! Обрабатывая ПДн, оператор должен обеспечить точность сведений, их достаточность, поддержание актуальности. Если же информация оказалась неточной или неполной, оператор предпринимает меры по ее уточнению в самые короткие сроки.

Примечательно, что к обработке предъявляется обязательное требование – наличие согласия субъекта на обработку персональных данных с информированием о целях такой процедуры.

Для хранения оператор должен утвердить два нормативных документа:

1. Политика в отношении обработки ПДн.
2. Соглашение об обработке персональной информации.

Субъект имеет право ознакомиться с уставными бумагами и только после этого давать или не давать согласие на обработку его личной информации.

К хранению

Хранение ПДн осуществляется в форме, дающей возможность вычислить субъекта только в рамках установленных сроков. Кроме того, хранение сведений (в том числе сроки) могут устанавливаться нормативными актами разного уровня.

Персональные данные, согласно новым требованиям Роскомнадзора, предъявляемым к их защите, необходимо хранить только на территории Российской Федерации (физически сервера или ЦОДы должны находиться внутри государства).

К обеспечению безопасности

В статье 19 Федерального закона «О персональных данных» прописаны требования к обеспечению безопасности со стороны оператора. Они включают в себя следующие мероприятия:

1. Реализовывать меры широкого спектра, в том числе технического и организационного.
2. Организовывать процедуру оценки соответствия средств защиты.
3. Оценивать эффективность мер по обеспечению безопасности.
4. Вести учет машинных носителей конфиденциальных сведений.
5. Обнаруживать факты несанкционированного доступа , восстанавливать, сведения, если в процессе несанкционированного доступа они были удалены или изменены.
6. Устанавливать правила доступа к системам с конфиденциальной информацией.

Как видите, законодательство Российской Федерации предъявляет к операциям с ПДн массу требований. Это связано с особенностями сведений и тем фактом, что они должны сохраняться в условиях конфиденциальности.

Справка! Деятельность операторов контролируется сразу несколькими законодательными актами, призванными минимизировать возможность несанкционированного проникновения.

Среди систем различают системы с разным уровнем защищенности в зависимости от особенностей самых данных.

Неконтролируемое распространение ПДн считается нарушением и может повлечь за собой ущерб для субъекта сведений, которые должны быть конфиденциальными. Требование не учитывается только для обезличенных сведений.

Обязанности

В этой части инструкция ответственного за организацию обработки персональных данных описывает порядок действий по сбору, хранению, передаче, уничтожению и другому их использованию. Полный список не регламентирован.

Обязанности удобно разделить на 4 части:

1. Профессиональные — одинаковые на разных предприятиях, независимо от их размеров, правовой формы и других факторов (например, контроль за соблюдением сохранности данных, ведение соответствующих журналов и т. д.).
2. Специальные — характерные для конкретного работодателя (например, составление обучающих программ в своей компетенции).
3. Обязательные для всех профессий (соблюдение внутреннего распорядка, сроков подготовки документации и пр.).
4. Описывающие отношение к технике, инструментам, инвентарю, которые предоставлены работодателем (бережное отношение к оргтехнике, использование ее только в рабочих целях и т. д.).

Рекомендуется избегать дублирования обязанностей работника, указанных в трудовом договоре.

Как лучше всего выполнить требования закона?

• Собственными силами;
• Привлечь юриста;
• Обратиться к системному интегратору;
• «Ждать, пока грянет гром»;
• Использовать сервисы автоматизированной подготовки документов по персональным данным.

Рассмотрим каждый по отдельности.

Выполнение закона собственными силами

Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации.

На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у вас или вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.

Выполнение закона с помощью юриста

Достаточно хороший способ, если у юриста или юридической компании, которой вы доверяете, есть необходимые знания по информационной безопасности.

Для подготовки документов по персональным данным, помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.

При выборе такого варианта уточняйте у юриста — какие именно документы он будет разрабатывать, будет ли отображать в них технические моменты и имеет ли он опыт работы с Роскомнадзором.

Выполнение закона с привлечением системного интегратора

К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.

Плюсы: высокий уровень оказываемых услуг по информационной безопасности, гарантии, работа под ключ (разработка документации по персональным данным и внедрение технической защиты).

Минусы: высокая стоимость (в большинстве случаев — переваливающая за 1 000 000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес-процессов.

«Ждать, когда грянет гром»

Единственные плюсы: отсутствие любых затрат в краткосрочной перспективе.

Минусы: рано или поздно закон придется выполнить. И лучше это сделать, пока требования не ужесточились окончательно.

Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30 000 рублей и максимальных 300 000 рублей за одно нарушение.

Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным

Плюсы: простота и доступность людям, не являющимся специалистами по информационной безопасности; невысокая стоимость; оперативная подготовка документов и консультации экспертов по безопасности.

Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.

Явные минусы: способ не подойдет крупным государственным компаниям и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в госсекторе ФСТЭК России и ФСБ России.

Права

Нет необходимости вносить в раздел те права работника, которые установлены Трудовым кодексом и трудовым договором. Здесь перечисляются дополнительные права специалиста, его полномочия. Это такие действия, например:

• знакомиться с проектами решений руководства организации, касающимися его деятельности;
• вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с выполнением конкретных обязанностей;
• подписывать документы в пределах своей компетенции;
• получать информацию и документы, необходимые для выполнения своих должностных обязанностей;
• вести переписку с организациями по вопросам, входящим в его компетенцию;
• требовать от руководства организации оказания содействия в исполнении своих должностных обязанностей и прав;
• повышать свою профессиональную квалификацию;
• другие права и социальные гарантии.

Права и обязанности

Законодательно перечень прав ответственных лиц не закреплен. Обычно таким лицам разрешается проводить внутренние аудиты на соответствие деятельности по обработке сведений, ведущейся в фирме, требованиям закона. Они также вправе вносить предложения руководству об улучшении работы с личными данными сотрудников и клиентов компании.

Обязанности закреплены в части 4 статьи 22.1 ФЗ № 152. Тот, кто отвечает за работу с личной информацией и осуществляет ее обработку, должен:

1. Проводить инструктажи сотрудникам компании по вопросам соблюдения законодательства и объяснять содержание локальных актов в части обработки и хранения личной информации.
2. Контролировать соблюдение технических и административных мер, принимаемых компанией с целью защиты персональных данных – осуществлять проверку порядка заполнения носителей личных сведений, журналов доступа к ним.
3. Регистрировать обращения, получаемые компанией от клиентов и контрольно-надзорных органов, и отвечать на них.

Чтобы избежать «утечки» информации, руководитель фирмы также может уполномочить ответственного:

• на разработку локальных документов в сфере личной информации;
• на осуществление учета носителей персональных сведений и оформление допуска сотрудников к ним.

Ответственность

Сотрудник привлекается к ответственности за неисполнение или ненадлежащее исполнение своих должностных обязанностей, предусмотренных инструкцией, за причинение материального ущерба работодателю, за правонарушения, совершенные в процессе осуществления своей деятельности. Список нарушений и мер ответственности, которые содержит инструкция ответственного по обработке персональных данных, описываются в общей форме. Определение степени вины работника, как и меры его возможного наказания, базируется на соответствующих разделах трудового, гражданского и уголовного законодательства. Работодатель не вправе самостоятельно вводить новые виды ответственности.

Какие бывают персональные данные?

Специальные персональные данные:

касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Биометрические персональные данные:

характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Общедоступные персональные данные:

сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.

Иные персональные данные:

все, что не попало ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования.