Чем отличается ответственный за персональные данные от лица, допущенного к персональным данным

Закон обязывает оператора устанавливать ответственного за организацию обработки персональным данных (далее – персданные, ПД). Кроме него, в компании всегда есть лица, которые в силу своих трудовых обязанностей допущены к обработке персданных. Установим различия между ответственным за персональные данные и лицами, допущенными к персональным данным.

ИНТЕРЕСНЫЕ СТАТЬИ

Изменения в законе о персональных данных

Подробнее

Основные вопросы при назначении ответственного за обработку персданных и лиц, допущенных к ним:

Это должен быть один работник или разные?
Какие документы нужно принять?
Что именно указать в документах: список должностей или конкретных лиц?
Надо ли перечислять персданные, к которым установлен допуск?

Ответственное лицо за персональные данные и лицо, получившее доступ: понятия
Назначение ответственного за персональные данные и лиц, имеющих к ним доступ

Ответственное лицо за персональные данные и лицо, получившее доступ: понятия

Оператор обязан назначить лицо, ответственное за организацию обработки персональных данных в компании (п. 1 ч. 1. ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Закон устанавливает для него конкретные обязанности (ст. 22.1 Закона № 152-ФЗ).

ОБЯЗАННОСТИ ЛИЦА, ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСДАННЫХ

осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства России о персональных данных, в том числе требований к их защите;
доводить до сведения работников оператора положения законодательства о персональных данных, локальных актов по вопросам их обработки, требований к защите ПД;
организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов

Как мы установили, в компании всегда есть лица (лицо), которые в силу своих трудовых обязанностей допущены к обработке персональных данных.

ОБРАТИТЕ ВНИМАНИЕ!

Лица – допущенное к обработке персданных и ответственное за организацию их обработки – могут, но не обязаны совпадать

Например, ответственным за организацию обработки персональных данных может быть юрист, а допущенными лицами — специалист по кадрам и бухгалтер. При этом каждый из них вправе иметь разный доступ к различным категориям персданных. Например, у специалиста отдела кадров – полный, а у работника бухгалтерии — ограниченный (только к ФИО и номеру телефона работника).

Более того, ответственный за организацию обработки персональных данных (в нашем примере – юрист) в теории может вообще не иметь доступа к персданным, но при этом обеспечивать выполнение компанией-оператором соблюдения законодательства по ПД.

ПЕРСОНАЛЬНЫЙ КОНСУЛЬТАНТ ПО ТРУДОВОМУ ПРАВУ 24/7

		 Есть вопрос по кадровому делопроизводству, трудовому законодательству или управлению персоналом? Индивидуально разберем вашу правовую ситуацию со ссылками на нормы закона и судебную практику, дадим рекомендации. Получите консультацию по телефону, электронной почте или в персональном чате с экспертом
	

Назначение ответственного за персональные данные и лиц, имеющих к ним доступ

Наименования таких должностей изначально корректно установить в локальном акте, например, в Положении о персональных данных. На практике их перечень также можно прописать и в Регламенте. Распределите уровень и категории персональных данных, конкретно их перечислив. С этими документами рекомендуем ознакомить тех работников, которые в них указаны.

РЕКОМЕНДАЦИЯ

Пропишите в документах, какой доступ и каким сотрудникам компании фактически установлен. Это можно сделать в табличном виде по категориям персданных. Ответственному за организацию обработки персональных данных разработайте и утвердите отдельный регламент по его работе

ВАЖНО!

Если в Положении будут указаны конкретные лица (ФИО), то при их смене придется менять и само Положение, что не целесообразно

К таким локальным актам компании также следует дополнительно:

1) издать приказ с указанием конкретных ФИО допущенных к обработке данных и дат начала такой обработки;

2) взять письменное обязательство о неразглашении ПД с допущенных к обработке ПД;

3) издать приказ о назначении ответственного за обработку персональных данных в компании с указанием даты начала возложения на него этой ответственности.

Таким образом, в первую очередь рекомендуем установить список должностей и персданных, к которым они допущены. Сделать это можно в Положении о персональных данных. А приказами – установить конкретные лица. При их смене нужно издать новый приказ или внести изменения в прежний.

ЗАКАЖИТЕ АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ!

		 За нарушения при работе с персональными данными установлена крупная ответственность. Чтобы избежать многомиллионных штрафов, проведите аудит. Проверьте внутренние документы компании на соответствие новым требованиям закона. Помочь в этом всегда готова команда наших профессионалов. 

		 Скачайте нашу презентацию по аудиту персональных данных внизу статьи и получите подробную консультацию по услуге у наших специалистов!

Материал подготовлен экспертами департамента трудового права компании «Митрофанова и партнеры»