Wolf mks 100 инструкция

Должностные обязанности ответственного за обработку ПД

Общие положения

  • Ответственный за организацию обработки персональных данных (далее — Ответственный) является сотрудником БУ СО ВО «Харовский центр помощи детям, оставшимся без попечения родителей» (далее — Учреждение).
  • Ответственный назначается приказом директора Учреждения.
  • Ответственный подчиняется непосредственно директору Учреждения и проводит мероприятия по защите персональных данных в интересах Учреждения.
  • Ответственный в своей деятельности руководствуется:

Конституцией Российской Федерации; Федеральными законами Российской Федерации и нормативными правовыми актами органов государственной власти по вопросам защиты персональных данных;

Государственными стандартами Российской Федерации в области защиты информации; руководящими и нормативными правовыми документами Федеральной Службы по техническому и экспортному контролю России; локальными нормативными актами Учреждения по защите персональных данных; Правилами внутреннего трудового распорядка Учреждения; настоящими должностными обязанностями.

  • Деятельность Ответственного осуществляется согласно плану мероприятий по защите персональных данных Учреждения.

Задачи

На Ответственного за организацию обработки персональных данных возложены следующие задачи:

  • Организация внутреннего контроля за соблюдением работниками Учреждения норм законодательства Российской Федерации по обработке персональных данных, в том числе требований, предъявляемых к защите персональных данных.
  • Разработка, внедрение и актуализация локальных актов по вопросам обработки персональных данных.
  • Доведение до сведения работников Учреждения, непосредственно осуществляющих обработку персональных данных, положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, и проведение обучения указанных работников.
  • Организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов.
  • Организация комплексной защиты объектов информатизации департамента Смоленской области по образованию и науке, а именно:

информационных ресурсов, представленных в виде документированной информации на магнитных, оптических носителях, информационных массивов и баз данных, содержащих персональные данные в Учреждении; средств и систем информатизации (средств вычислительной техники, информационно-вычислительных комплексов, локальных вычислительных сетей и корпоративных информационных систем), программных средств (операционных систем, систем управления базами данных, другого общесистемного и прикладного программного обеспечения), систем связи и передачи данных используемых для реализации процессов ведения деятельности, обработки информации, содержащей персональные данные в Учреждении.

  • Организация защиты персональных данных субъектов Учреждения.
  • Разработка и проведение организационных мероприятий, обеспечивающих безопасность объектов защиты Учреждения, своевременное выявление и устранение возможных каналов утечки информации.
  • Организация проведения работ по технической защите информации на объектах информатизации, в информационно-вычислительных сетях, системах и средствах связи и телекоммуникаций Учреждения.
  • Реализация технических мер, обеспечивающих своевременное выявление возможных технических каналов утечки информации в подразделениях Учреждения.
  • Методическое руководство системой обеспечения информационной безопасности Учреждения.
  • Организация контроля состояния и проведение оценки эффективности системы обеспечения информационной безопасности персональных данных, а также реализация мер по её совершенствованию.
  • Внедрение в информационную инфраструктуру Учреждения современных методов и средств обеспечения информационной безопасности.

Функции

Для решения поставленных задач Ответственный за организацию обработки персональных данных осуществляет следующие функции:

  • Разработка и внедрение правовых, организационных и технических мер по комплексному обеспечению безопасности персональных данных.
  • Обеспечение соблюдения режима конфиденциальности при обработке персональных данных.
  • Планирование работы по защите персональных данных на объектах Учреждения.
  • Контроль выполнения мер по защите персональных данных, анализ материалов контроля, выявление недостатков и нарушений. Разработка и реализация мер по их устранению.
  • Обеспечение взаимодействия с контрагентами по вопросам организации и проведения проектно-изыскательских, научно-исследовательских, опытно- конструкторских и других работ по защите информации. Участие в разработке технических заданий на выполняемые исследования и работы.
  • Контроль выполнения плановых заданий, договорных обязательств, а также сроков, полноты и качества работ по защите персональных данных, выполняемых контрагентами.
  • Проведение работ по технической защите информации на объектах информатизации Учреждения. Оценка эффективности принятых мер по технической

защите информации.

  • Обеспечение выбора, установки, настройки и эксплуатации средств защиты информации в соответствии с организационно-распорядительной и эксплуатационной документацией.
  • Организация режима обеспечения безопасности помещений, в которых происходит обработка персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в такие помещения.
  • Организация доступа работников Учреждения к персональным данным в соответствии с возложенными на них служебными обязанностями.
  • Разработка и внедрение локальных актов, определяющих перечень работников Учреждения, имеющих доступ к персональным данным.
  • Контроль размещения устройств ввода (отображения) информации, исключающего ее несанкционированный просмотр.
  • Обеспечение соответствия проводимых работ по защите персональных данных правилам и нормам охраны труда.
  • Проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства по защите персональных данных.
  • Участие в разработке и применение, в части персональных данных, политики по работе с инцидентами по информационной безопасности.
  • Актуализация внутренней организационно-распорядительной документации по защите персональных данных при изменении существующих и выходе новых нормативных правовых документов по вопросам обработки персональных данных.

Права

Ответственный за организацию обработки информации имеет право:

  • Осуществлять контроль деятельности структурных подразделений Учреждения по выполнению ими требований по защите персональных данных.
  • Составлять акты, докладные записки, отчёты для рассмотрения руководством Учреждения, при выявлении нарушений порядка обработки персональных данных.
  • Принимать необходимые меры при обнаружении несанкционированного доступа к персональным данным, как работниками Учреждения, так и третьими лицами, и докладывать о принятых мерах директору детского дома с предоставлением информации о субъектах, нарушивших режим доступа.
  • Вносить на рассмотрение директора детского дома предложения, акты, заключения о приостановлении работ в случае обнаружения каналов утечки (или предпосылок к утечке) информации ограниченного доступа.
  • Давать структурным подразделениям Учреждения, а также отдельным специалистам обязательные для исполнения указания по вопросам, входящим в компетенцию Ответственного.
  • Запрашивать и получать от всех структурных подразделений Учреждения сведения, справочные и другие материалы, необходимые для осуществления деятельности Ответственного.
  • Составлять акты и другую техническую документацию о степени защищенности объектов информатизации.
  • Готовить и вносить предложения на проведение работ по защите персональных данных; о привлечении к проведению работ по оценке эффективности защиты персональных данных на объектах Учреждения (на договорной основе) учреждений и организаций, имеющих лицензию на соответствующий вид деятельности; о закупке необходимых технических средств защиты и другой спецтехники, имеющих в обязательном порядке сертификат качества.
  • Осуществлять визирование договоров с контрагентами с целью правового обеспечения передачи им персональных данных субъектов Учреждения в ходе выполнения работ по этим договорам.
  • Представлять интересы Учреждения при осуществлении государственного контроля и надзора за обработкой персональных данных Уполномоченным органом по защите прав субъектов персональных данных.

Взаимоотношения (служебные связи)

  • Ответственный выполняет свои задачи осуществляя взаимодействие со всеми структурными подразделениями Учреждения.
  • Для выполнения своих функций и реализации предоставленных прав ответственный взаимодействует с территориальными и региональными подразделениями Федеральной службы по техническому и экспортному контролю, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, ФСБ России, МВД России, Росгвардии и другими представителями исполнительной власти и организациями, предоставляющими услуги и выполняющими работы в области защиты персональных данных на законном основании.

Ответственность

  • Ответственный за обработку персональных данных несет ответственность за надлежащее и своевременное выполнение возложенных задач и функций по организации обработки персональных данных Учреждения в соответствии с положениями законодательства Российской Федерации в области персональных данных.

Источник

Показываем, как оформить приказ о назначении ответственного за организацию работы с персональными данными, как можно прописать его обязанности в должностной инструкции.
Как оформить перечень работников, допущенных к работе с персональными данными (приказ и формулировки для должностных инструкций).
Какое наказание могут понести эти категории лиц в случае нарушений: штрафы для работников доходят до 800 000 руб., а для организаций – до 18 000 000 руб.(систематизировали варианты нарушений и административную ответственность за них в виде таблиц). Как их планируют еще ужесточить! В Уголовном кодексе дело дойдет до лишения свободы. Объясняем, кто подпадает под дисциплинарную, административную и уголовную ответственность.

Ответственный за организацию работы с персональными данными

Работодатель обязан назначить ответственного за организацию обработки персональных данных1. Как это сделать:

  • надо издать приказ о его назначении (показан в Примере 2) и
  • прописать его обязанности в должностной инструкции (инструкции по профессии) или трудовом договоре (образец формулировок см. в Примере 1).

Эти документы обязательно попросят предъявить и в случае проверки Роскомнадзора, и при судебных разбирательствах.

Пример 1. Формулировка для должностной инструкции ответственного за организацию обработки персональных данных

5. Работник обязан:

…5.8. Организовать разработку, принятие и актуализацию работодателем документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.

5.9. Организовать применение правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.10. Осуществлять внутренний контроль (аудит) за соблюдением работодателем и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, а также оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных и принимать меры в случае выявления нарушений.

5.11. Организовать проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, соотношение указанного вреда и принимаемых работодателем мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных.

5.12. Доводить до сведения работников работодателя положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.

5.13. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и/или осуществлять контроль за приемом и обработкой таких обращений и запросов.

Пример 2. Приказ о назначении ответственного за организацию обработки персональных данных лица

Кто имеет доступ к персональным данным

Кроме ответственного за организацию процесса работы, есть еще круг людей, которые имеют доступ к персональным данным. Обычно это право дается сотрудникам, которым нужны персональные данные других работников в связи с выполнением трудовых обязанностей, например для ведения кадрового или налогового учета, для работы с документами, содержащими персданные (поэтому сотрудники службы делопроизводства и архива тоже оказываются в их числе). Перечень лиц, имеющих доступ и непосредственно допущенных к работе с персональными данными, должен быть утвержден работодателем (в силу ст. 88 ТК РФ), его можно включить в текст приказа или сделать приложением к нему.

Кроме того, надо утвердить перечень работников, имеющих доступ к персональным данным в информационной системе (в силу подп. «в» п. 13 Требований, утв. постановлением Правительства РФ от 01.11.2012 № 1119).

Оба перечня можно объединить в один приказ – этот вариант показан в Примере 3.

Фрагмент документа

Статья 88 «Передача персональных данных работника» Трудового кодекса Российской Федерации

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

…предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности)…

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций…

Фрагмент документа

Пункт 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 01.11.2012 № 1119)

13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации…

По аналогии с ответственным за организацию работы с персональными данными у людей, имеющих доступ к персданным, тоже должны быть специально оговоренные обязанности, которые те должны выполнять. Обычно это делается в должностной инструкции (инструкции по профессии) или в трудовом договоре. Как это можно сформулировать, показано в Примере 4.

Пример 3. Приказ, утверждающий перечень лиц, допущенных к работе с персональными данными

Пример 4. Формулировки в должностной инструкции работника, имеющего доступ к персональным данным

5. Работник обязан:

<. . .>

  • соблюдать и исполнять требования законодательства и локальных нормативных актов о защите, хранении, обработке и передаче персональных данных работников и законодательства РФ в области персональных данных, в том числе относящиеся к обязанностям Работодателя, действуя от его имени;
  • сохранять конфиденциальность персональных данных, полученных в связи с исполнением своих трудовых обязанностей;
  • не отвечать на вопросы, связанные с передачей персональных данных других Работников, третьим лицам, по телефону или электронной почте, если это не связано с исполнением трудовых обязанностей;
  • незамедлительно сообщать своему непосредственному руководителю или лицу, ответственному за организацию обработки персональных данных у Работодателя (в Филиале), обо всех фактах нарушения конфиденциальности персональных данных или об обстоятельствах, создающих угрозу их разглашения, в том числе об утрате (хищении) материальных носителей персональных данных (бумажных документов, дисков, флэш-накопителей и др.);
  • по всем вопросам, связанным с обработкой и защитой персональных данных, обращаться к своему непосредственному руководителю или лицу, ответственному за организацию обработки персональных данных у Работодателя.

Кто и сколько будет платить за нарушения?

Сейчас действуют крупные штрафы за нарушения в области работы с персональными данными, причем штрафуют как организацию, так и ответственное должностное лицо (в основном по ст. 13.11 КоАП РФ). Кого здесь имеют в виду? В первую очередь это тот самый ответственный за организацию работы с персональными данными, который должен быть назначен в каждой организации. Если он все-таки не назначен, то ответственным, скорее всего, посчитают руководителя организации.

В Таблицу 1 мы свели действующие штрафы по ст. 13.11 КоАП РФ для юрлиц и должностных лиц (оставив за скобками штрафы для физлиц и ИП, которые, кстати сказать, тоже существуют). Но самая печальная новость заключается в том, что работа над очередным существенным повышением уже идет – соответствующий законопроект 23.01.2024 прошел 1-е чтение в Госдуме РФ. Размер фигурирующих там штрафов не окончательный, хотя уже понятно, что они увеличатся принципиально. И это говорит о всей серьезности темы.

Таблица 1. Действующие штрафы за нарушения в области работы с персональными данными по ст. 13.11 КоАП РФ

Картинка с сайта: delo-press.ru

Таблица 2. Действующие штрафы за незаконное распространение сведений о защищаемых лицах по ст. 17.13 КоАП РФ

Картинка с сайта: delo-press.ru

Еще в 2022 году депутат Госдумы Александр Хинштейн отмечал: «Обнаруженный Роскомнадзором взрывной рост утечек персональных данных граждан России “в высокой степени связан с СВО”. Коллеги из Роскомнадзора уверены (и я с ними согласен), что спецслужбы противника ведут системный сбор баз данных россиян для различных военных и специальных задач»2. Далее последовало увеличение в несколько раз штрафа за обработку персданных без письменного согласия на это человека либо если такое согласие не содержит всех необходимых сведений (по ч. 2 и 2.1 ст. 13.11 КоАП РФ). Оцените динамику:

  • у организаций штраф:
    • был от 30 до 150 тыс. руб. (за повторное нарушение от 300 до 500 тыс. руб.),
    • стал от 300 до 700 тыс. руб. (за повтор – от 1 млн до 1,5 млн руб.);
  • у должностных лиц штраф:
    • был от 20 до 40 тыс. руб. (за повтор – от 40 до 100 тыс. руб.),
    • стал от 100 до 300 тыс. руб. (за повтор – от 300 до 500 тыс. руб.).

И это не предел! Законопроект № 502104-8, который сейчас рассматривает Госдума РФ3, хочет стимулировать компании вкладывать в развитие инфраструктуры информационной безопасности и защиту персональных данных своих пользователей, чтобы воспрепятствовать массовым спам-звонкам, нежелательным рассылкам, шантажу и мошенническим схемам. Планируют:

  • установить наказание в зависимости от количества людей, чьи персональные данные «утекли»;
  • за повторные нарушения дойдет и до оборотных штрафов (процент от всей выручки компании за предыдущий год);
  • установить ответственность для оператора за неуведомление Роскомнадзора:
    • об обработке персданных;
    • о выявленной у себя «утечке» персданных.

Статья 13.11 охватывает основную массу случаев с нарушениями в работе с персональными данными. Кроме нее, в КоАП РФ есть еще ст. 17.13, которая акцентирует внимание на персданных защищаемой категории лиц – судей, правоохранителей, военных4 (см. Таблицу 2).

Добавим сюда еще уголовное наказание, которое сейчас тоже планируют ужесточить5. Этот законопроект тоже пока прошел только 1-е чтение в Госдуме РФ – 23.01.2024, одновременно с законопроектом № 502104-8 об ужесточении ответственности в КоАП РФ. В Уголовный кодекс РФ следом за ст. 272 «Неправомерный доступ к компьютерной информации» планируют добавить «специальную» ст. 272.1, по которой будут наказывать за незаконный сбор, передачу, использование компьютерной информации, содержащей персональные данные:

  • кроме крупных штрафов,
  • дело дойдет до дисквалификации (лишения права занимать определенные должности или заниматься определенной деятельностью) и
  • лишения свободы до 5 лет! А в случае тяжких последствий – и до 10 лет!

Под статьи УК РФ могут попасть любые физлица, вина которых будет доказана. Крупный ущерб, действие в составе группы и использование служебного положения только усугубят ситуацию.

Как видите, ответственность могут понести не только гендиректор и ответственный за организацию работы с персональными данными (о котором мы говорили в начале статьи). Остальные участники процесса тоже должны быть внимательными.

Если сотрудник допущен к работе с персональными данными (см. Пример 3) и в его обязанностях это прописано (Пример 4), то за нарушение таких обязанностей он может быть подвергнут дисциплинарной ответственности – и это самое маленькое из возможных «приключений»:

  • замечание,
  • выговор или
  • увольнение.

Источник

  • О министерстве
    • О министерстве
    • Задачи и функции
    • Полномочия
    • Руководитель
    • Структура и состав
    • Подведомственные организации
    • Территориальные управления
    • Перечни информационных систем, банков данных, реестров, регистров
    • Сведения о средствах массовой информации, учрежденных государственным органом
    • Паспорт Министерства
  • Деятельность
    • Деятельность
    • Государственная гражданская служба
      • Нормативные правовые и иные акты в сфере государственной гражданской службы
      • Порядок поступления и условия прохождения государственной гражданской службы РСО-Алания
      • Квалификационные требования, предъявляемые к кандидатам на замещение вакантных должностей
      • Конкурсы на включение в резерв
      • Конкурсы на замещение вакантных должностей
      • Номера телефонов, по которым можно получить информацию по вопросу замещения вакантных должностей
      • Перечень образовательных учреждений, подведомственных государственному органу
      • Методические материалы
      • Сведения о вакантных должностях государственной службы, имеющихся в государственном органе, его территориальных органах
      • Профразвитие
    • Противодействие коррупции
      • Нормативные правовые и иные акты в сфере противодействия коррупции
      • Антикоррупционная экспертиза
      • Методические материалы
      • Формы документов, связанных с противодействием коррупции, для заполнения
      • Сведения о доходах, расходах, об имуществе и обязательствах имущественного характера
      • Комиссия по соблюдению требований к служебному поведению и урегулированию конфликта интересов
      • Доклады, отчеты, обзоры
      • Обратная связь для сообщений о фактах коррупции
      • Часто задаваемые вопросы
      • Работа по профилактике коррупционных правонарушений в организациях, созданных для выполнения задач, поставленных перед ОИВ
        • Планы противодействия коррупции подведомственных организаций
      • Опрос
    • Государственные услуги
      • Административные регламенты
      • Стандарты государственных услуг
    • Диспансеризация
    • Информация о закупках товаров
    • Статистика и отчеты
      • Сведения о предоставленных льготах
      • Сведения об использовании выделяемых бюджетных средств
      • Статистические данные и показатели
      • Информация о результатах проверок
      • Отчеты по общественной оценке
    • Документация
      • Документы Министерства здравоохранения РФ
      • Документы Министерства здравоохранения РСО-Алания
      • Лицензирование
      • Информационная безопасность
    • Национальный проект «Здравоохранение»
    • Общественный совет
    • Противодействие терроризму
      • Нормативно-правовые акты и иная информация в сфере противодействия терроризму
    • Год семьи
    • Независимая оценка качества условий оказания услуг медицинскими организациями
    • Декларация целей и задач Минздрава РСО-Алания
    • Повышение квалификации и обучение
    • Программы
    • Порядки оказания медицинской помощи
    • Стандарты оказания медицинской помощи
    • Порядок направления граждан РСО-Алания на оказание высокотехнологичной медицинской помощи населению
    • Лекарственное обеспечение
    • Целевой прием
  • Документы
  • Обращения и прием граждан
    • Обращения и прием граждан
    • Круг добра
    • График приема
    • Электронная приемная
    • Порядок рассмотрения обращений
    • Порядок обжалования нормативных правовых актов
    • Образцы письменных обращений
    • Итоги работы с обращениями граждан
    • Контактная информация
  • Контакты
  • Пресс-центр
    • Пресс-центр
    • Новости
    • Тексты официальных выступлений

Версия для слабовидящих

закрыть

  • Поиск по сайту
  • Поиск по документам

Сайты порталаЗакрыть

Сайты портала

  • Министерства Республики Северная Осетия-Алания
  • Комитеты Республики Северная Осетия-Алания
  • Службы Республики Северная Осетия-Алания
  • Управления Республики Северная Осетия-Алания
  • Иные органы государственной власти Республики Северная Осетия-Алания

Министерства Республики Северная Осетия-Алания

  • Министерство государственного имущества и земельных отношений РСО-Алания
  • Министерство жилищно-коммунального хозяйства, топлива и энергетики РСО-Алания
  • Министерство здравоохранения РСО-Алания
  • Министерство культуры РСО-Алания
  • Министерство образования и науки РСО-Алания
  • Министерство природных ресурсов и экологии РСО-Алания
  • Министерство промышленности и инвестиций РСО-Алания
  • Министерство РСО-Алания по национальной политике и внешним связям
  • Министерство сельского хозяйства РСО-Алания
  • Министерство строительства и архитектуры РСО-Алания
  • Министерство труда и социального развития РСО-Алания
  • Министерство физической культуры и спорта РСО-Алания
  • Министерство финансов РСО-Алания
  • Министерство экономического развития РСО-Алания
  • Комитет по охране и использованию объектов культурного наследия РСО-Алания
  • Комитет по транспорту и дорожной инфраструктуре РСО-Алания
  • Комитет РСО-Алания по делам молодежи
  • Комитет РСО-Алания по занятости населения
  • Комитет по делам печати и массовых коммуникаций РСО-Алания
  • Комитет цифрового развития РСО-Алания
  • Архивная служба РСО-Алания
  • Региональная служба по тарифам РСО-Алания
  • Служба государственного жилищного и архитектурно-строительного надзора РСО-Алания
  • Контрольно-ревизионное управление РСО-Алания
  • Управление ветеринарии РСО-Алания
  • Управление записи актов гражданского состояния РСО-Алания
  • Управление РСО-Алания по проведению закупок для государственных нужд
  • Аппарат Уполномоченного по защите прав предпринимателей в РСО-Алания
  • Аппарат Уполномоченного по правам человека в РСО-Алания
  • Постоянное представительство РСО-Алания при Президенте РФ

Приемная

Министерство здравоохранения Республики Северная Осетия-Алания
официальный сайт

Должностная инструкция ответственного за организацию обработки персональных данных

Источник

Ответственный за обработку персональных данных в компании

В статье рассказали про функции ответственного за организацию обработки персональных данных и дали рекомендации по его назначению

В соответствии со статьей 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (Закон о персональных данных), каждый оператор — юридическое лицо, обязан назначить ответственного за организацию обработки персональных данных. Этот сотрудник играет ключевую роль в обеспечении законности процессов обработки персональных данных, а также соблюдения прав субъектов.

Во исполнение указанного требования руководитель организации внутренним приказом назначает ответственного за обработку персональных данных, а также разрабатывает и утверждает должностную инструкцию ответственного, в которой отражает обязанности, предусмотренные в ч. 4 ст. 22.1 Закона о персональных данных.

1

Кто должен быть ответственным?

В зависимости от структуры организации и специфики ее работы, эту функцию могут возложить на следующих лиц:

  • генеральный директор

      Часто назначается в небольших организациях (если генеральный директор является единственным сотрудником организации), где руководство концентрирует на себе все основные функции. Однако генеральный директор, как правило, не обладает профильными знаниями в отраслевом законодательстве и специфике защиты персональных данных, что может затруднять выполнение обязанностей;

    • руководитель отдела кадров
      Это решение логично для организаций, где основная обработка персональных данных связана собственными работниками. Руководители HR-департаментов обычно работают с данными сотрудников и понимают цели и объем их обработки. Однако их компетенции в области защиты информации и нормативных требований могут быть ограничены;

    • руководитель отдела информационной безопасности
      Этот вариант часто применяется в компаниях, работающих с большими объемами данных или использующих сложно структурированные информационные системы. Специалисты в сфере ИБ обладают навыками защиты информации и пониманием технических требований законодательства;

      • штатный юрист

      Как правило, назначается ответственным по тому принципу, что необходимо иметь дело с законодательными требованиями. Однако штатный юрист, занимающийся исключительно договорной работой и не имеющий специализации в области персональных данных, может не обладать всеми необходимыми знаниями в области защиты информации.

    2

    Почему нельзя назначать ответственного формально?

    Нередко обязанности формально возлагают на сотрудников, чья деятельность напрямую не связана с обработкой персональных данных. Такой подход противоречит как букве закона, так и здравому смыслу, поскольку приводит к недостаточной защите данных и неэффективной организации процессов.

    Такая практика имеет несколько рисков:

    • недостаточная защита данных. Неподготовленный сотрудник может не знать, как предотвратить утечку или устранить выявленные уязвимости;
    • нарушение трудового законодательства, если на сотрудника будут возложены дополнительные обязанности, не входящие в его трудовую функцию.
    • повышенная ответственность компании. В случае инцидента суд может признать организацию виновной в ненадлежащей организации работы с персональными данными.

    3

    Рекомендации по выбору ответственного

    Организация должна выбирать ответственного, исходя из его профессиональной компетенции, которую составляют:

    • понимание процессов обработки персональных данных и перечень действий с ними, целей обработки данных, категорий субъектов персональных данных (например, сотрудники, клиенты, подрядчики);
    • наличие навыков организации внутренних процессов: способность разрабатывать и внедрять внутренние документы, иметь опыт проведения внутренних проверок и аудитов на соответствие требованиям законодательства;
    • обладание компетенцией в сфере информационной безопасности (при необходимости). Если персональные данные обрабатываются в информационных системах, ответственный должен обладать базовыми знаниями в области защиты данных;
    • владение навыками взаимодействия с контролирующими органами. Ответственный должен уметь выстроить взаимодействие с Роскомнадзором, обосновывать действия компании при проверках, быстро реагировать на предписания надзорных органов;
    • регулярное повышение квалификации через специализированные курсы и тренинги. Следить за изменениями нормативной базы и адаптировать внутренние процессы компании.

    4

    Ответственность за нарушения обработки персональных
    данных

    Как правило, за нарушение законодательства в области персональных данных по ст. 13.11 КоАП РФ привлекается именно оператор как юридическое лицо, но в практике есть и случаи, в которых к административной ответственности привлекался и ответственный за обработку персональных данных.

    Постановлением мирового судьи судебного участка №2 района Савёлки г. Москвы 18.04.2022 по делу № 5-275/2022 старший администратор, назначенный ответственным за обработку персональных данных субъектов на основании приказа руководителя, был привлечен к административной ответственности по ч.2 ст.13.11 КоАП РФ.

    В другом деле, к административной ответственности были привлечены как ответственный за обработку персональных данных, так и оператор в лице компании по ч.1. ст. 13.11 за пять фактов нарушения (постановления мирового судьи судебного участка № 414 Алексеевского района г. Москвы 19.04.2022 № 05-0454/414/2022, 05-0473/414/2022, 05-0474/414/2022, 05-0475/414/2022, 05-0476/414/2022).

    5

    Могут ли внешние специалисты исполнять обязанности ответственного за обработку персональных данных?

    Вопрос о том, могут ли функции ответственного за обработку персональных данных делегировать третьим лицам, вызывает дискуссии в юридическом сообществе. Законодательство в этой сфере формирует определенные рамки, на которые необходимо ориентироваться.

    Роскомнадзор придерживается позиции, что ответственный за обработку персональных данных у оператора должен быть один – лицо, указанное в уведомлении о намерении осуществлять обработку персональных данных, однако выполнять функции ответственного команде или структурному подразделению допустимо.

    При этом в судебной практике есть и иное толкование, например, постановление мирового судьи судебного участка № 5 Ленинского судебного района г. Мурманска от 29.05.2015 по делу № 5-283/2015 — «…данная норма не предусматривает, что оператор должен назначить только одно лицо за организацию обработки персональных данных»

    На вопрос о том, может ли ответственный за обработку не являться работником компании – представители надзорных органов отвечают также однозначно – да, может, если он будет выполнять возложенные на него обязанности, предусмотренные ч. 4 ст. 22.1 Закона о персональных данных.

    6

    Ответственный за обеспечение безопасности персональных данных в информационных системах

    Постановлением Правительства РФ от 01.11.2012 №1119 установлена необходимость назначения работника ответственного за обеспечение безопасности персональных данных в информационной системе. В отдельных случаях, должно быть создано структурное подразделение.

    Термин «работник» традиционно интерпретируется как лицо, состоящее с оператором в трудовых отношениях. Однако на практике это не исключает возможность назначения стороннего исполнителя на такую роль.

    7

    Возможные решения при использовании внешних специалистов для выполнения требований по назначению ответственных лиц

    Если компания хочет привлечь стороннего специалиста или организацию, возможны следующие варианты:

    1. Полная передача функции ответственного за организацию обработки персональных данных на третье лицо, не являющееся работником оператора.

    В этом случае отношения оформляются на основании гражданско-правового договора, в котором также закрепляются:

    • обязанности, предусмотренные ч.4 ст.22.1 Закона о персональных данных;
    • обязанности оператора предоставить сведения, указанные в ч. 3 ст. 22 Закона о персональных данных;
    • порядок выполнения указаний исполнительного органа оператора и порядок предоставления ему отчетности.

    2. Привлечение аутсорсинговой компании для консультирования и технической поддержки деятельности оператора, оставляя внутреннего сотрудника формально ответственным лицом перед контролирующими органами.

    Обращаем внимание, что при изменении ответственного за организацию обработки персональных данных, оператор обязан подать в Роскомнадзор уведомление о внесении изменений в реестр операторов персональных данных не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.

    Команда ЦПО групп готова реализовать детальный аудит процессов обработки персональных данных и дать свои рекомендации для минимизации рисков привлечения к ответственности. Мы готовы составить пакет документации, необходимой оператору персональных данных, а также провести комплексное обучающее мероприятие для сотрудников оператора для повышения общего уровня осведомленности о требованиях законодательства в области персональных данных.

    Младший юрисконсульт практики «ИТ и персональные данные»
    +7 (812) 603-45-25 (доб. 356)
    E-mail: cpo52@pravorf.ru

    Правовая охрана персональных данных

    Комплексное сопровождение бизнеса по вопросу правовой охраны персональных данных

    IT и электронная коммерция

    Пакет услуг для компаний-производителей цифровых продуктов

    • 27.03.2025

    • 16.03.2025

    • Персональные данные (152-ФЗ)

      06.02.2025

    • 28.12.2024

    • Персональные данные (152-ФЗ)

      10.12.2024

    Спасибо! Ваше сообщение получено

    Источник

    Понравилась статья? Поделить с друзьями:
    0 0 голоса
    Рейтинг статьи
    Подписаться
    Уведомить о
    guest

    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии
  • Yamaha p45 инструкция на русском языке
  • Инструкция по сборке рулонной шторы день ночь с леской
  • Lasea таблетки инструкция по применению
  • Винпоцетин мазь инструкция по применению
  • Момейд инструкция по применению мазь взрослым от чего