Чем отличается ответственный за персональные данные от лица, допущенного к персональным данным
Закон обязывает оператора устанавливать ответственного за организацию обработки персональным данных (далее – персданные, ПД). Кроме него, в компании всегда есть лица, которые в силу своих трудовых обязанностей допущены к обработке персданных. Установим различия между ответственным за персональные данные и лицами, допущенными к персональным данным.Основные вопросы при назначении ответственного за обработку персданных и лиц, допущенных к ним:
- Это должен быть один работник или разные?
- Какие документы нужно принять?
- Что именно указать в документах: список должностей или конкретных лиц?
- Надо ли перечислять персданные, к которым установлен допуск?
- Ответственное лицо за персональные данные и лицо, получившее доступ: понятия
- Назначение ответственного за персональные данные и лиц, имеющих к ним доступ
Ответственное лицо за персональные данные и лицо, получившее доступ: понятия
Оператор обязан назначить лицо, ответственное за организацию обработки персональных данных в компании (п. 1 ч. 1. ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Закон устанавливает для него конкретные обязанности (ст. 22.1 Закона № 152-ФЗ).Как мы установили, в компании всегда есть лица (лицо), которые в силу своих трудовых обязанностей допущены к обработке персональных данных.
ОБРАТИТЕ ВНИМАНИЕ!
Лица – допущенное к обработке персданных и ответственное за организацию их обработки – могут, но не обязаны совпадать
Более того, ответственный за организацию обработки персональных данных (в нашем примере – юрист) в теории может вообще не иметь доступа к персданным, но при этом обеспечивать выполнение компанией-оператором соблюдения законодательства по ПД.
Есть вопрос по кадровому делопроизводству, трудовому законодательству или управлению персоналом? Индивидуально разберем вашу правовую ситуацию со ссылками на нормы закона и судебную практику, дадим рекомендации. Получите консультацию по телефону, электронной почте или в персональном чате с экспертом
Назначение ответственного за персональные данные и лиц, имеющих к ним доступ
Наименования таких должностей изначально корректно установить в локальном акте, например, в Положении о персональных данных. На практике их перечень также можно прописать и в Регламенте. Распределите уровень и категории персональных данных, конкретно их перечислив. С этими документами рекомендуем ознакомить тех работников, которые в них указаны.
РЕКОМЕНДАЦИЯ
Пропишите в документах, какой доступ и каким сотрудникам компании фактически установлен. Это можно сделать в табличном виде по категориям персданных. Ответственному за организацию обработки персональных данных разработайте и утвердите отдельный регламент по его работе
1) издать приказ с указанием конкретных ФИО допущенных к обработке данных и дат начала такой обработки;
2) взять письменное обязательство о неразглашении ПД с допущенных к обработке ПД;
3) издать приказ о назначении ответственного за обработку персональных данных в компании с указанием даты начала возложения на него этой ответственности.
Таким образом, в первую очередь рекомендуем установить список должностей и персданных, к которым они допущены. Сделать это можно в Положении о персональных данных. А приказами – установить конкретные лица. При их смене нужно издать новый приказ или внести изменения в прежний.
Чек-лист обязательных положений Согласия на обработку персональных данных
Скачать
За нарушения при работе с персональными данными установлена крупная ответственность. Чтобы избежать многомиллионных штрафов, проведите аудит персональных данных. Проверьте внутренние документы компании на соответствие новым требованиям закона. Помочь в этом всегда готова команда наших профессионалов.
Скачайте нашу презентацию по аудиту персональных данных внизу статьи и получите подробную консультацию по услуге у наших специалистов!
Скачайте нашу презентацию по аудиту персональных данных внизу статьи и получите подробную консультацию по услуге у наших специалистов!
Заказать аудит персональных данных