Ответственный за обработку персональных данных: как выбрать и назначить
Персональные данные (ПД) — личная информация о человеке. Любой бизнес, собирая с клиентов и сотрудников ФИО, емейлы, номера телефонов, должен правильно оформить защиту ПД. Рассказываем, как это сделать.
- Зачем нужен ответственный за обработку персональных данных
- Кто может быть ответственным за персональные данные в организации
- Обязанности и компетенции
- Как оформить назначение
- Можно ли привлечь специалиста со стороны
- Что будет, если не назначить ответственного
Зачем нужен ответственный за обработку персональных данных
Все, что касается личных данных, регулирует федеральный закон 152-ФЗ. Согласно ст. 22.1 152-ФЗ, кто-то в организации должен официально отвечать за его соблюдение. Это может быть свой сотрудник или специалист на аутсорсе.
Любое юридическое лицо, работающее с личными данными, считается оператором ПД. Индивидуальные предприниматели (ИП) — нет, им ответственного назначать не нужно.
Елена Сулейманова
Бухгалтер-эксперт по налогам, управляющий партнер компании «Селена»
Ответственный за ОПД — это человек или группа людей в компании, которые следят за соблюдением правил обработки личной информации (имен, адресов, телефонов и пр).
Что делает ответственный за ОПД:
- проверяет, как компания защищает личные данные;
- учит сотрудников правильно обращаться с личной информацией;
- проводит проверки и защищает данные от взлома.
Кроме того, сотрудник общается с Роскомнадзором (РКН), подает положенные по закону уведомления, отвечает на запросы. Он же сообщает РКН и ФСБ об утечках данных через систему ГосСОПКА.
Кто может быть ответственным за персональные данные в организации
Формально — кто угодно. В законе только одно ограничение: он должен подчиняться руководителю. Сам руководитель тоже может отвечать за обработку ПД.
За утечки ПД компанию ждут штраф и репутационные потери. Поэтому не назначайте случайного человека «для галочки». Это должен быть сотрудник, который возьмет на себя бюрократию и наладит защиту данных так, чтобы компания спокойно работала, не отвлекаясь на нововведения РКН.
Екатерина Агаева
Генеральный директор сервиса по поиску работы и найму сотрудников GdeRabota.ru
Сотрудник должен разбираться в обработке ПД и законодательстве, уметь разрабатывать и внедрять внутренние документы. Не будут лишними знания по информационной безопасности.
Кроме того, нормативная база меняется; сотрудник должен следить за нововведениями, адаптировать их под внутренние процессы компании.
Итак, руководитель решает, кто должен быть ответственным за обработку персональных данных в организации. В зависимости от профиля компании это может быть:
- руководитель отдела кадров, если личные данные в основном принадлежат сотрудникам;
- штатный юрист — в компании, имеющей дело с разными видами данных;
- генеральный директор — в небольшой организации;
- руководитель IT-отдела или службы безопасности — в компаниях, работающих с крупными базами клиентских данных и сложными информационными системами.
Плюс «безопасников»: у них обычно есть нужные технические компетенции. Остальным может понадобиться пройти курс по защите информации в рамках повышения квалификации или на коммерческих онлайн-курсах.
Пока сотрудники учатся, подключите «Мультиюриста» от Совкомбанка и получайте экспресс-консультации по всем вопросам, связанным с бизнесом.
Получите от Совкомбанка юридическую помощь по бизнесу и личным вопросам.
Оценивайте свои финансовые возможности и риски. Изучите все условия в разделе «Предложения»/«Юридические услуги» на сайте банка sovcombank.ru
Обязанности и компетенции
Общие обязанности перечислены в п. 4 ст. 22.1 152-ФЗ. Эксперт Екатерина Агаева уточняет обязанностей ответственного за ОПД:
- следить, чтобы сотрудники соблюдали закон о ПД;
- не позволять копировать, изменять, распространять, уничтожать ПД, кроме случаев, предусмотренных законом;
- восстанавливать нарушенные права сотрудников, клиентов, партнеров в области ПД;
- работать с запросами на удаление или уточнение данных;
- общаться с госорганами, отвечать на запросы Роскомнадзора;
- обучать коллег;
- разрабатывать согласия на ОПД.
Из обязанностей вытекают ключевые компетенции:
- хорошо разбираться в законодательстве и внутренних процессах компании;
- иметь право отправлять запросы в другие подразделения и давать им указания;
- получать приказы непосредственно от исполнительного органа (генерального директора) и отчитываться ему же (закон).
Назначить несколько человек нельзя, только одного (п. 1 ст. 22.1 152-ФЗ). Однако на практике можно распределить контроль между руководителями подразделений: например, за ПД сотрудников отвечает кадровик, за клиентские данные — IT-отдел.
Как оформить назначение
Процедура стандартная:
- Издать приказ о назначении ответственного за обработку персональных данных.
- Разработать должностную инструкцию, подписать у сотрудника. В инструкции прописывают функции, права, полномочия ответственного.
- Разработать и подписать дополнительное соглашение к трудовому договору, если новые обязанности не входят в предыдущую должностную инструкцию. В соглашении также закрепляют доплату за расширение зоны ответственности.
Екатерина Агаева
Генеральный директор сервиса по поиску работы и найму сотрудников GdeRabota.ru
Чтобы оформить специалиста на должность ответственного за ПД, руководство издает приказ в свободной форме. Главное, нужно указать:
- название компании;
- дату и номер приказа;
- нормативный акт, на основании которого издается приказ;
- ФИО ответственного специалиста и его должность;
- ФИО заместителя ответственного специалиста и его должность.
Приказ подписывают руководитель и ответственный за ОПД.
Можно ли привлечь специалиста со стороны
Да, обработку ПД можно отдать на аутсорс — внешнему специалисту или компании на основании гражданско-правового договора. Актуально, если в штате нет никого с необходимой квалификацией.
Важно помнить: на аутсорсинг отдают только функции. Ответственность перед клиентами и законом — на компании-операторе.
Матвей Каргин
Юрист юридической компании «Фатыхов и партнеры»
С внешним консультантом заключают договор, где закрепляют передачу функций, предусмотренных ст. 22.1 152-ФЗ. Сведения об ответственном за ОПД передают в Роскомнадзор.
Что будет, если не назначить ответственного
За то, что в компании нет ответственного за ОПД, не штрафуют. А вот за ошибки при обработке и тем более утечки — да (ст. 13.11, 17.13 КоАП РФ).
Примеры штрафов:
- нет политики в отношении ОПД: 30 000–60 000 рублей с компании, 6000–12 000 рублей с руководителя;
- за утечку — 300 000 рублей с компании, 50 000 рублей с руководителя;
- нет письменного согласия владельцев данных — 300 000–700 000 с компании, 100 000–300 000 с руководителя.
Закон о персональных данных 152-ФЗ: что нужно знать владельцам сайтов в 2025 году
Читать статьюВ судебной практике есть случаи, когда штрафовали ответственного за ОПД, руководителя или обоих. В любом случае со специалистом в штате или на аутсорсе риски нарушений падают. Он подготовит документы, ответит на запросы РКН, возьмет на себя формальную рутину, а остальные сотрудники займутся своими прямыми обязанностями.
Вся информация о ценах актуальна на момент публикации статьи.
Подпишитесь на email-рассылку
Раз в неделю мы будем присылать вам лайфхаки о том, как обращаться с деньгами и повышать финансовую грамотность
Начать обсуждение
Статьи по теме
Отчетность малого бизнеса для Росстата станет проще
Бизнес в России смогут проверять только профильные ведомства