01 дек.

Ответственный за обработку персональных данных: как выбрать и назначить

Персональные данные (ПД) — личная информация о человеке. Любой бизнес, собирая с клиентов и сотрудников ФИО, емейлы, номера телефонов, должен правильно оформить защиту ПД. Рассказываем, как это сделать.

ответственный за персональные данные в организации кто может быть — Защита информации в цифровую эпоху — задача для профессионала. Источник: Gorodenkoff / Shutterstock / FOTODOM

Зачем нужен ответственный за обработку персональных данных

Все, что касается личных данных, регулирует федеральный закон 152-ФЗ. Согласно ст. 22.1 152-ФЗ, кто-то в организации должен официально отвечать за его соблюдение. Это может быть свой сотрудник или специалист на аутсорсе.

Любое юридическое лицо, работающее с личными данными, считается оператором ПД. Индивидуальные предприниматели (ИП) — нет, им ответственного назначать не нужно.

Мнение эксперта

Елена Сулейманова

Бухгалтер-эксперт по налогам, управляющий партнер компании «Селена»

Ответственный за ОПД — это человек или группа людей в компании, которые следят за соблюдением правил обработки личной информации (имен, адресов, телефонов и пр).

Что делает ответственный за ОПД:

проверяет, как компания защищает личные данные;

учит сотрудников правильно обращаться с личной информацией;

проводит проверки и защищает данные от взлома.

Кроме того, сотрудник общается с Роскомнадзором (РКН), подает положенные по закону уведомления, отвечает на запросы. Он же сообщает РКН и ФСБ об утечках данных через систему ГосСОПКА.

Кто может быть ответственным за персональные данные в организации

Формально — кто угодно. В законе только одно ограничение: он должен подчиняться руководителю. Сам руководитель тоже может отвечать за обработку ПД.

За утечки ПД компанию ждут штраф и репутационные потери. Поэтому не назначайте случайного человека «для галочки». Это должен быть сотрудник, который возьмет на себя бюрократию и наладит защиту данных так, чтобы компания спокойно работала, не отвлекаясь на нововведения РКН.

Мнение эксперта

Екатерина Агаева

Генеральный директор сервиса по поиску работы и найму сотрудников GdeRabota.ru

Сотрудник должен разбираться в обработке ПД и законодательстве, уметь разрабатывать и внедрять внутренние документы. Не будут лишними знания по информационной безопасности.

Кроме того, нормативная база меняется; сотрудник должен следить за нововведениями, адаптировать их под внутренние процессы компании.

Итак, руководитель решает, кто должен быть ответственным за обработку персональных данных в организации. В зависимости от профиля компании это может быть:

руководитель отдела кадров, если личные данные в основном принадлежат сотрудникам;
штатный юрист — в компании, имеющей дело с разными видами данных;
генеральный директор — в небольшой организации;
руководитель IT-отдела или службы безопасности — в компаниях, работающих с крупными базами клиентских данных и сложными информационными системами.

Плюс «безопасников»: у них обычно есть нужные технические компетенции. Остальным может понадобиться пройти курс по защите информации в рамках повышения квалификации или на коммерческих онлайн-курсах.

Пока сотрудники учатся, подключите «Мультиюриста» от Совкомбанка и получайте экспресс-консультации по всем вопросам, связанным с бизнесом.

Нужна срочная юридическая помощь здесь и сейчас?

Воспользуйтесь услугой «МультиЮрист». За небольшую абонентскую плату квалифицированный специалист будет на связи 24/7 по самым разным вопросам.

Оценивайте свои финансовые возможности и риски. Изучите все условия в разделе «Сервисы»/«МультиЮрист» на сайте банка sovcombank.ru

Оформить

Обязанности и компетенции

Общие обязанности перечислены в п. 4 ст. 22.1 152-ФЗ. Эксперт Екатерина Агаева уточняет обязанностей ответственного за ОПД:

следить, чтобы сотрудники соблюдали закон о ПД;
не позволять копировать, изменять, распространять, уничтожать ПД, кроме случаев, предусмотренных законом;
восстанавливать нарушенные права сотрудников, клиентов, партнеров в области ПД;
работать с запросами на удаление или уточнение данных;
общаться с госорганами, отвечать на запросы Роскомнадзора;
обучать коллег;
разрабатывать согласия на ОПД.

Из обязанностей вытекают ключевые компетенции:

хорошо разбираться в законодательстве и внутренних процессах компании;
иметь право отправлять запросы в другие подразделения и давать им указания;
получать приказы непосредственно от исполнительного органа (генерального директора) и отчитываться ему же (закон).

Назначить несколько человек нельзя, только одного (п. 1 ст. 22.1 152-ФЗ). Однако на практике можно распределить контроль между руководителями подразделений: например, за ПД сотрудников отвечает кадровик, за клиентские данные — IT-отдел.

приказ о назначении ответственного за обработку персональных данных — Ответственный за ОПД обучает коллег. Источник: Gorodenkoff / Shutterstock / FOTODOM

Как оформить назначение

Процедура стандартная:

Издать приказ о назначении ответственного за обработку персональных данных.
Разработать должностную инструкцию, подписать у сотрудника. В инструкции прописывают функции, права, полномочия ответственного.
Разработать и подписать дополнительное соглашение к трудовому договору, если новые обязанности не входят в предыдущую должностную инструкцию. В соглашении также закрепляют доплату за расширение зоны ответственности.

Мнение эксперта

Екатерина Агаева

Генеральный директор сервиса по поиску работы и найму сотрудников GdeRabota.ru

Чтобы оформить специалиста на должность ответственного за ПД, руководство издает приказ в свободной форме. Главное, нужно указать:

название компании;

дату и номер приказа;

нормативный акт, на основании которого издается приказ;

ФИО ответственного специалиста и его должность;

ФИО заместителя ответственного специалиста и его должность.

Приказ подписывают руководитель и ответственный за ОПД.

Можно ли привлечь специалиста со стороны

Да, обработку ПД можно отдать на аутсорс — внешнему специалисту или компании на основании гражданско-правового договора. Актуально, если в штате нет никого с необходимой квалификацией.

Важно помнить: на аутсорсинг отдают только функции. Ответственность перед клиентами и законом — на компании-операторе.

Мнение эксперта

Матвей Каргин

Юрист юридической компании «Фатыхов и партнеры»

С внешним консультантом заключают договор, где закрепляют передачу функций, предусмотренных ст. 22.1 152-ФЗ. Сведения об ответственном за ОПД передают в Роскомнадзор.

Что будет, если не назначить ответственного

За то, что в компании нет ответственного за ОПД, не штрафуют. А вот за ошибки при обработке и тем более утечки — да (ст. 13.11, 17.13 КоАП РФ).

Примеры штрафов:

нет политики в отношении ОПД: 30 000–60 000 рублей с компании, 6000–12 000 рублей с руководителя;
за утечку — 300 000 рублей с компании, 50 000 рублей с руководителя;
нет письменного согласия владельцев данных — 300 000–700 000 с компании, 100 000–300 000 с руководителя.

Ещё по теме

Закон о персональных данных 152-ФЗ: что нужно знать владельцам сайтов в 2025 году

Читать статью

В судебной практике есть случаи, когда штрафовали ответственного за ОПД, руководителя или обоих. В любом случае со специалистом в штате или на аутсорсе риски нарушений падают. Он подготовит документы, ответит на запросы РКН, возьмет на себя формальную рутину, а остальные сотрудники займутся своими прямыми обязанностями.

Вся информация о ценах актуальна на момент публикации статьи.