Кого назначить ответственным за обработку ПДн?

В рамках рабочей группы Роскомнадзора по ПДн выявилась следующая проблема – в законодательстве отсутствует указание, кого назначить лицом, ответственным за организацию обработки персональных данных, какие у него должны быть функции и квалификация.

Эти вопросы интересуют всех операторов и в видео ниже я постарался на них ответить: 

Нажмите чтобы увидеть требования НПА

152-ФЗ:

Статья 18.1

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

Статья 22

3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

Статья 22.1

1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.

4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

ПП-211:

1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами:

а) назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа государственных или муниципальных служащих и (или) работников указанного органа, замещающих должности, не являющиеся должностями государственной гражданской службы Российской Федерации или муниципальной службы, на основании трудового договора (далее - служащие);

б) утверждают актом руководителя государственного или муниципального органа следующие документы:

должностной регламент (должностные обязанности) или должностная инструкция ответственного за организацию обработки персональных данных в государственном или муниципальном органе;

д) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организуют проведение периодических проверок условий обработки персональных данных в государственном или муниципальном органе. Проверки осуществляются ответственным за организацию обработки персональных данных в государственном или муниципальном органе либо комиссией, образуемой руководителем государственного или муниципального органа. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю государственного или муниципального органа докладывает ответственный за организацию обработки персональных данных в государственном или муниципальном органе либо председатель комиссии;

Основные выводы привожу и тут:

Кого назначить?

Лучшие возможные варианты (подчиняются напрямую исполнительному органу организации и не имеют конфликта интересов при проведении контроля):

·        Руководитель / заместитель руководителя компании

·        Независимый эксперт / консультант / советник

·        Руководитель юридического подразделения

·        Руководитель подразделения аудита

Также возможны варианты (подчиняются напрямую исполнительному органу организации и но возможен конфликта интересов при проведении контроля):

·        Руководитель ИБ подразделения

·        Руководитель подразделения по работе с клиентами

·        Руководитель ИТ подразделения

·        Руководитель HR подразделения

Требования к квалификации:

Должен знать (как минимум):

Основные положения законодательства РФ в области обработки ПДн

·        понятие ПДн

·        принципы обработки ПДн

·        условия обработки ПДн

·        цели и правовые основания обработки ПДн

·        виды и формы согласий субъекта ПДн на обработку ПДн

·        понятие и особенности обработки общедоступных ПДн

·        понятие и особенности обработки биометрических ПДн

·        понятие и особенности обработки специальных категории ПДн

·        понятие и особенности поручения обработки ПДн

·        понятие и особенности трансграничной передачи ПДн

·        права субъектов ПДн

·        возможные угрозы нарушения прав субъектов ПДн и связанный с ними ущерб

·        обязанности оператора ПДн

·        возможные меры направленные на обеспечение выполнения обязанностей оператора ПДн

·        порядок взаимодействия с уполномоченный орган по защите прав субъектов персональных данных

·        требования к уведомлению об обработке персональных данных

Основные положения законодательства РФ в области защиты ПДн

·        понятие уровней защищенности ПДн при их обработке в ИСПДн

·        основные виды и типы угроз безопасности ПДн в ИСПДн

·        содержание и порядок организации работ по выявлению угроз безопасности ПДн

·        требования по обеспечению безопасности ПДн

·        возможные меры по выполнению требований по по обеспечению безопасности ПДн

Положения ОРД по ПДн, принятые в организации

Требования по взаимодействию с субъектами ПДн, по их обращениям

Нормы устанавливающие ответственность за нарушение требований по обращению с персональными данными. Практика правоприменения данных норм

Порядок проведения государственного контроля и надзора за обработкой ПДн

+ должен знать (лучшие практики):

·        современные информационные технологии и технологии защиты

·        особенности обработки ПДн которые приводят к высокому риску для субъектов ПДн

·        основные бизнес-процессы организации

Должен уметь (как минимум):

·        планировать мероприятия по контролю и повышению осведомленности

·        осуществлять мероприятия по контролю

·        организовывать взаимодействие с субъектами ПДн по их обращениям и запросам

·        осуществлять повышение осведомленности работников в области обработки и защиты ПДн

·        предоставлять отчетность исполнительному органу организации

·        взаимодействовать с органом государственного контроля и надзора

+ должен уметь (если обязанности расширены):

·        организовывать изменения в процессах обработки ПДн

·        разрабатывать ОРД связанные с обработкой ПДн

·        планировать мероприятия по обеспечению безопасности ПДн

·        разрабатывать ОРД по обеспечению безопасности ПДн

·        определять требования по обеспечению безопасности ПДн в ИСПДн

·        определять состав и содержание мер по обеспечению безопасности ПДн при их обработке в ИСПДн

·        вести учет лиц, обрабатывающих ПДн

·        принимать меры устраняющие нарушения, связанные с обработкой и защитой ПДн

+ должен уметь (лучшие практики):

·        вести учет процессов обработки ПДн

·        оценивать угрозы и риски нарушения прав субъектов ПДн

·        консультировать по вопросам, связанным с обработкой и защитой ПДн

Должен иметь опыт проведения контроля соответствия процессов Организации требованиям законодательства.

Рекомендуется иметь высшее образование и проходить обучение не реже 1 раза в 5 лет.