Закон обязывает оператора устанавливать ответственного за организацию обработки персональным данных (далее – персданные, ПД). Кроме него, в компании всегда есть лица, которые в силу своих трудовых обязанностей допущены к обработке персданных. Установим различия между ответственным за персональные данные и лицами, допущенными к персональным данным.
Основные вопросы при назначении ответственного за обработку персданных и лиц, допущенных к ним 1) Это должен быть один работник или разные? 2) Какие документы нужно принять? 3) Что именно указать в документах: список должностей или конкретных лиц? 4) Надо ли перечислять персданные, к которым установлен допуск? |
Содержание
Ответственное лицо за персональные данные и лицо, получившее доступ: понятия Назначение ответственного за персональные данные и лиц, имеющих к ним доступ
|
Ответственное лицо за персональные данные и лицо, получившее доступ: понятия
Оператор обязан назначить лицо, ответственное за организацию обработки персональных данных в компании (п. 1 ч. 1. ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Закон устанавливает для него конкретные обязанности (ст. 22.1 Закона № 152-ФЗ).
Обязанности лица, ответственного за организацию обработки персданных
|
Как мы установили, в компании всегда есть лица (лицо), которые в силу своих трудовых обязанностей допущены к обработке персональных данных.
Узнайте, какие документы для работы с персданными должны быть в каждой компании.
Обратите внимание! Лица – допущенное к обработке персданных и ответственное за организацию их обработки – могут, но не обязаны совпадать.
|
Например, ответственным за организацию обработки персональных данных может быть юрист, а допущенными лицами — специалист по кадрам и бухгалтер. При этом каждый из них вправе иметь разный доступ к различным категориям персданных. Например, у специалиста отдела кадров – полный, а у работника бухгалтерии — ограниченный (только к ФИО и номеру телефона работника).
Более того, ответственный за организацию обработки персональных данных (в нашем примере – юрист) в теории может вообще не иметь доступа к персданным, но при этом обеспечивать выполнение компанией – оператором соблюдения законодательства по ПД.
Какие сведения обязан предоставить оператор ответственному за организацию обработки ПД, подскажет консультант по трудовому праву.
|
Назначение ответственного за персональные данные и лиц, имеющих к ним доступ
Наименования таких должностей изначально корректно установить в локальном акте, например, в Положении о персональных данных. На практике их перечень также можно прописать и в Регламенте. Распределите уровень и категории персональных данных, конкретно их перечислив. С этими документами рекомендуем ознакомить тех работников, которые в них указаны.
Важно! Если в Положении будут указаны конкретные лица (ФИО), то при их смене придется менять и само Положение, что не целесообразно. |
К таким локальным актам компании также следует дополнительно:
1) издать приказ с указанием конкретных ФИО допущенных к обработке данных и дат начала такой обработки;
2) взять письменное обязательство о неразглашении ПД с допущенных к обработке ПД;
3) издать приказ о назначении ответственного за обработку персональных данных в компании с указанием даты начала возложения на него этой ответственности.
Таким образом, в первую очередь рекомендуем установить список должностей и персданных, к которым они допущены. Сделать это можно в Положении о персональных данных. А приказами – установить конкретные лица. При их смене нужно издать новый приказ или внести изменения в прежний.
Материал подготовлен департаментом трудового права компании «Митрофанова и партнеры»
За нарушения при работе с персональными данными установлена крупная ответственность. Чтобы избежать многомиллионных штрафов, проведите аудит. Проверьте внутренние документы компании на соответствие новым требованиям закона. Помочь в этом всегда готова команда наших профессионалов.
|