Кто то лицо, ответственное за обработку ПДн и в чем заключаются его обязанности?

Question

[IrkDesigner]

Добрый день, дорогие Хабравчане!
Получил письмо от роскомнадзора с требованием указать физическое или юридическое лицо, ответственное за обработку персональных данных в организации. В связи с этим возник вопрос: кого назначать? Сотрудника отдела кадров, юриста, или айтишника? В чем обязанности этого лица? Как это реализовано в ваших фирмах?

Answer 1

[Sergey]

Тот, кто назначен внутренним приказом. Этот приказ и показывают роскомнадзору. Может быть кто угодно, кто-то из юридического отдела или службы безопасности или еще откуда. Этот вопрос для себя решает сам оператор ПД.

Comments

[IrkDesigner]

Это понятно. А вот кого лучше назначать и что делает этот человек?
Приходит проверка от РКН, пальцем показываем на ответственного. Что ответственный должен знать и к чему готовиться?

[Sergey]

152-ФЗ, статья 22.1 пункт 4:

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

[ash_kgd]

Может быть все в одном лице, но знания для этого необходимы как в юридической сфере, так и в айтишной. Назначается приказом (распоряжением) руководителя (директора) организации.

Answer 2

[nikodim]

В теории назначается любой сотрудник организации. Главное эти функции вписать в его должностные обязанности.

На практике: обычно тема ПДн закрепляется за ИБ (техн. защита, орг. вопросы), реже на кадровиков и юристов. В больших конторах для этих целей могут выделить целое подразделение, руководитель которого является искомым лицом. (кстати в Русском Стандарте сейчас открыты вакансии специалистов по защите ПДн, осенью их будут проверять =))

В конторах поменьше, где ПДн прикреплялось к ИБ, лицом назначается тот, кто лучше всех шарит в законе, подзаконных актах и защите информации. Так было со мной =).

Роль такого человека в организации — по сути Project Manager. Гоняет и ИТ, и юристов, и кадровиков, формирует и поддерживает внутреннюю нормативную документацию по ПДн, проводит внутренние аудиты на соответствие требованиях закона, и прочее
Забот много.

Answer 3

[ansv]

С учетом того, что в ст.22.1 фигурируют слова «организовывать» и «осуществлять контроль», я бы подумал о назначении на эту роль руководителя отдела ИБ или кадров. Среди руководства не такая большая текучка, как среди рядового персонала, да и подписи им ставить как-то привычнее.

В небольших организациях все зависит от места безопасника в структуре — если он специалист скорее технический, то я бы всю эту бюрократию спихнул на кадры или канцелярию (ибо обращения). Если же ИБшник на все руки мастер и нагрузка позволяет, то можно и на него.

Answer 4

[kimssster]

На практике сотрудник ОК (начальник) никогда добровольно не согласится быть ответственным за ОПДн, хотя с точки зрения не технических вопросов это его непосредственные обязанности. По хорошему для отсутствия «несогласий» между отделами и решения вопросов «Кто тут главный», ОПДн нужно назначать зам. руководителя организации по вопросам УП, т.к. не везде есть замы по ИБ. Сотрудника-инженера отдела ИБ назначать ОПДн не логично и не верно с точки зрения ст.22.1. где есть слова «организовывать» и «осуществлять контроль», если конечно в положении об отделе ИБ нет таких функций.