Ответственный за обработку персональных данных: кого назначить и как оформить
Когда заходит речь о 152-ФЗ, большинство думает про политику конфиденциальности и согласия на обработку. Это важно, но есть ещё один обязательный элемент, о котором часто забывают. Компания обязана назначить ответственного за организацию обработки персональных данных. Это прямое требование статьи 22.1 Федерального закона № 152-ФЗ.
Без назначенного ответственного ваша система защиты ПД формально не работает. При проверке Роскомнадзор запросит приказ о назначении одним из первых документов.
Зачем вообще нужен ответственный
Идея простая. В компании должен быть конкретный человек, который отвечает за то, чтобы обработка персональных данных шла по правилам. Не «все понемногу», а один назначенный сотрудник с чёткими полномочиями.
Этот человек контролирует, чтобы данные клиентов и сотрудников обрабатывались законно. Он же отвечает на запросы субъектов ПД (когда клиент просит удалить его данные, например). Он взаимодействует с Роскомнадзором, если приходит проверка. Он следит за тем, чтобы документация была в порядке.
На практике в небольших компаниях это часто формальность - назначили и забыли. Но при проверке именно этого человека будут спрашивать, где хранятся данные, кто имеет к ним доступ, есть ли согласия, актуальна ли политика. Поэтому лучше, чтобы назначенный сотрудник действительно понимал, что происходит с ПД в компании.
Кого можно назначить
Закон не устанавливает жёстких требований к должности ответственного. Это может быть практически любой сотрудник. Но есть здравый смысл и сложившаяся практика.
Чаще всего ответственным назначают кого-то из руководства. Генеральный директор, заместитель директора, руководитель юридического отдела, руководитель IT-отдела, начальник отдела кадров. Логика тут простая: у этого человека должны быть реальные полномочия влиять на процессы обработки данных.
Назначать рядового менеджера - плохая идея. Не потому что нельзя, а потому что у него не будет рычагов. Ответственный должен иметь возможность давать указания другим сотрудникам по вопросам работы с ПД, запрашивать информацию у любого отдела, инициировать изменения в процессах.
В компаниях до 10-15 человек ответственным обычно становится сам директор. Это нормально и логично - он и так контролирует все процессы.
В крупных компаниях иногда создают отдельную должность или целый отдел по защите данных. Но для малого и среднего бизнеса это избыточно.
Есть ещё один вариант - совмещение. Юрист компании может быть одновременно ответственным за обработку ПД. Или HR-директор, учитывая что кадровая служба работает с большим объёмом персональных данных сотрудников. Про обработку данных сотрудников у нас есть отдельный материал.
Что входит в обязанности
Обязанности ответственного лица можно разделить на несколько блоков.
Первый блок - документация. Ответственный следит за тем, чтобы все необходимые документы были составлены, актуальны и доступны. Политика конфиденциальности, согласия на обработку, пользовательское соглашение, внутренние регламенты. Если что-то устарело или не соответствует реальным процессам - он инициирует обновление.
Второй блок - контроль процессов. Какие данные собирает сайт? Какие формы используются? Куда данные передаются? Кто из сотрудников имеет доступ? Ответственный должен знать ответы на эти вопросы. Полный чек-лист требований 152-ФЗ поможет ничего не упустить.
Третий блок - работа с запросами. Если клиент обратился с требованием удалить его данные или предоставить информацию о том, какие данные о нём хранятся, - ответственный обязан обработать такой запрос. По закону на это даётся 10 рабочих дней для блокировки и 30 дней для удаления (с момента получения требования).
Четвёртый блок - взаимодействие с Роскомнадзором. Подача уведомления об обработке ПД, ответы на запросы регулятора, участие в проверках. Кстати, именно ответственный обычно указывается как контактное лицо в уведомлении.
Пятый блок - обучение сотрудников. Те, кто работает с персональными данными, должны знать правила. Ответственный организует ознакомление и, при необходимости, обучение.
Как оформить назначение
Назначение оформляется приказом руководителя организации. Строгой формы нет, но есть обязательные элементы.
В приказе указываются: ФИО и должность назначаемого сотрудника, основание назначения (ссылка на статью 22.1 152-ФЗ), перечень обязанностей, дата вступления в силу.
Примерная структура приказа выглядит так.
Шапка - наименование организации, номер приказа, дата. Преамбула - «В соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", в целях организации обработки персональных данных приказываю...». Далее пункты: назначить конкретного сотрудника ответственным, возложить на него обязанности (перечислить), установить сроки ознакомления с приказом.
Приказ подписывает руководитель. Назначенный сотрудник расписывается об ознакомлении.
Помимо приказа, рекомендуется внести обязанности ответственного в его должностную инструкцию или трудовой договор (дополнительным соглашением). Это не строго обязательно, но при проверке будет плюсом.
Индивидуальные предприниматели и микробизнес
Если вы ИП и работаете один - ответственным являетесь вы сами. Приказ в этом случае тоже нужен, хотя звучит странно: ИП назначает сам себя. Тем не менее, формально этот документ должен быть.
Для ООО с одним учредителем-директором ситуация аналогичная. Директор подписывает приказ о назначении самого себя ответственным за обработку ПД.
Кажется бюрократией ради бюрократии, но проверяющие смотрят на наличие документа. Нет приказа - нарушение. Есть приказ - вопрос закрыт.
Ответственный и DPO: в чём разница
Если вы читали про GDPR, то могли встретить термин DPO - Data Protection Officer. Это европейский аналог нашего ответственного за обработку ПД, но с важными отличиями.
DPO по GDPR должен быть независимым, его нельзя наказать за выполнение обязанностей, и он подчиняется напрямую высшему руководству. В российском законодательстве таких требований нет. Наш ответственный - это обычный сотрудник с дополнительными обязанностями.
Ещё одно отличие: в GDPR назначение DPO обязательно не для всех, а только для определённых категорий организаций. По 152-ФЗ ответственный обязателен для всех операторов ПД без исключений.
Что бывает, если не назначить
Отсутствие назначенного ответственного - это нарушение 152-ФЗ. При проверке Роскомнадзора это будет зафиксировано в акте. Штрафы за нарушения закона о персональных данных растут каждый год.
Но дело не только в штрафах. Без ответственного лица вся система защиты ПД рассыпается. Некому контролировать процессы, некому отвечать на запросы субъектов, некому готовиться к проверкам. Про подготовку к проверке Роскомнадзора мы писали отдельно - там как раз видно, сколько всего нужно держать в порядке.
Один ответственный на несколько юрлиц
Частый вопрос от владельцев группы компаний. Можно ли назначить одного человека ответственным за обработку ПД в нескольких организациях? Формально - нет. Каждое юрлицо - отдельный оператор, и у каждого должен быть свой ответственный.
На практике это может быть один и тот же человек, но назначенный отдельным приказом в каждой организации. Если он работает по совместительству в нескольких компаниях группы - это допустимо.
Передача обязанностей
Ответственный уволился или ушёл в отпуск - что делать? На время отсутствия нужно назначить замещающего. Это тоже оформляется приказом. Без замещающего компания формально остаётся без ответственного лица, что является нарушением.
При увольнении ответственного нужно в разумные сроки назначить нового и, при необходимости, обновить данные в уведомлении Роскомнадзора (если ответственный был указан как контактное лицо).
Сайт тоже нуждается в документах
Назначение ответственного - это часть внутренней документации. Но не забывайте и про документы для сайта. Какие документы нужны сайту - в этой статье мы подробно разбирали весь набор.
Сервис ПоряДок помогает быстро сгенерировать документы для сайта: политику конфиденциальности, согласие на обработку ПД, пользовательское соглашение и другие. Вы заполняете информацию о своём сайте, а на выходе получаете готовые документы, соответствующие требованиям 152-ФЗ. Это закрывает «внешнюю» часть - то, что видят посетители.
Но «внутренняя» часть - приказ о назначении ответственного, регламенты обработки, журналы учёта - тоже важна. Без неё комплект неполный.
Краткий план действий
Для тех, кто хочет быстро закрыть вопрос. Определите, кто будет ответственным (директор, юрист, HR - в зависимости от размера компании). Подготовьте приказ о назначении. Подпишите. Внесите изменения в должностную инструкцию назначенного сотрудника. Ознакомьте его с внутренними документами по обработке ПД. Укажите его как контактное лицо в уведомлении Роскомнадзора, если ещё не подавали - самое время подать.
Это занимает пару часов, а закрывает одно из ключевых требований закона. Не самая сложная задача, но почему-то именно её откладывают до последнего.