Назначениe лица, ответственного за организацию обработки персональных данных

Кто может быть назначен ответственным за обработку персональных данных? Примеры приказов о назначении ответственных лиц

18 июня 2019 г.

Лицо, ответственное за организацию обработки персональных данных

В соответствии с требованиями Федерального закона 152 «О персональных данных» Оператор персональных данных, являющийся юридическим лицом, обязан назначить приказом лицо, ответственное за организацию обработки персональных данных. В GDPR имеются аналогичные требования.

У оператора есть несколько вариантов действий:

  1. Открыть штатную единицу и нанять на работу Ответственное лицо.
  2. Передать обязанности на аутсорсинг.
  3. Назначить в качестве ответственного лица имеющегося работника.

Чаще всего на роль ответственного назначают одного из следующий сотрудников:

  1. Юрист
  2. Специалист подразделения информационных технологий
  3. Специалист по защите информации
  4. Сотрудник отдела кадров
  5. Менеджер по рискам
  6. Административный директор
  7. Директор по работе с государственными органами

Исполнение функции ответственного зачастую связано с подготовкой организационно-распорядительной документации и требует знания соответствующих нормативных документов. Наиболее оптимальным вариантом является назначение на роль ответственного за организацию обработки персональных данных сотрудника юридической службы, а при отсутствии таковой сотрудника отдела кадров. Специалист отдела ИТ или ИБ больше подходит для исполнения роли ответственного за обеспечение безопасности персональных данных в информационной системе, так как владеет информацией о структурно-функциональных характеристиках информационной системы и применяемых в ней информационных технологий.

Кроме этого, по мнению Роскомнадзора, ответственным лицом должен быть скорее сотрудник юридического отдела, чем специалист по информационной безопасности, так как в новых Правилах проверок Роскомнадзора определено, что их действие не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

Образец формы приказа о назначении ответственного за организацию обработки персональных данных

ПРИКАЗ

о назначении ответственного за организацию обработки персональных данных

№ _____.__.20__

В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,

ПРИКАЗЫВАЮ:

  1. Назначить ответственным за организацию обработки персональных данных в Компании (указать наименование) (указать должность, ФИО).
  2. Контроль за выполнением требований действующего законодательства в сфере организации обработки персональных данных возложить на ответственного за организацию обработки персональных данных.
  3. Возложить функции, полномочия и ответственность, предусмотренные локальными актами Оператора (здесь обычно перечисляются внутренние документы Оператора по вопросам обработки персональных данных), на ответственного за организацию обработки персональных данных.
  4. Контроль за выполнением требований действующего законодательства в сфере организации обработки персональных данных возложить на ответственного за организацию обработки персональных данных.

«__» ______________ 20___г. ________________ ________________________________

Образец формы приказа о назначении ответственного за обеспечение безопасности персональных данных в информационной системе

ПРИКАЗ

о назначении ответственного за организацию обработки персональных данных

№ _____.__.20__

В соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»,

ПРИКАЗЫВАЮ:

  1. Назначить ответственным за обеспечением безопасности персональных данных в информационных системах персональных данных в Компании (указать наименование) (указать должность, ФИО).
  2. Наделить ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных следующими правами:
    1. требовать от лиц, обеспечивающих информационную безопасность и обеспечивающих применение информационных технологий, выполнение следующих действий, предусмотренных законодательством РФ, а также локальными актами Компании (указать наименование), но не ограничиваясь ими:
      • осуществление регулярного обнаружения уязвимостей и угроз безопасности персональных данных;
      • участие в определении актуальных угроз безопасности персональных данных;
      • участие в проведении работ по проработке технических решений по защите персональных данных, внедрению и эксплуатации программных и аппаратных средств защиты, а также инфраструктуры информационной системы персональных данных;
      • участие в разработке и поддержании в актуальном состоянии организационно-распорядительной документации средств защиты персональных данных;
      • участие в реализации разрешительной системы доступа к персональным данным;
    2. запрашивать и получать от иных работников Оператора информацию для исполнения своих обязанностей;
    3. вносить предложения руководителю Компании (указать наименование):
      • о внесении изменений в технологические процессы, связанные с обработкой персональных данных, а также в информационные системы персональных данных, если это обусловлено необходимостью обеспечения безопасности персональных данных в соответствии с требованиями законодательства РФ;
      • необходимости проведения организационных и технических мероприятий с целью обеспечения безопасности персональных данных в соответствии с требованиями законодательства РФ;
      • поощрении или привлечении к ответственности работников Компании (указать наименование) в связи с исполнением ими обязанностей, связанных с обработкой персональных данных.
  3. Возложить на ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных следующие обязанности:
    1. участие в разработке Модели защиты персональных данных при их обработке в информационных системах персональных данных;
    2. определение типа актуальных угроз информационной безопасности персональных данных для каждой информационной системы персональных данных;
    3. определение необходимого уровня защищённости персональных данных при их обработке в информационных системах персональных данных;
    4. определение требований к созданию средств защиты персональных данных для информационных систем персональных данных;
    5. участие в выборе средств защиты информации для средств защиты персональных данных в соответствии с Приказом ФСТЭК № 21;
    6. участие в создании и вводе в эксплуатацию средств защиты персональных данных;
    7. учет применяемых для обеспечения безопасности персональных данных средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов;
    8. контроль выполнения мероприятий, предусмотренных Положением об организации обработки и обеспечении безопасности персональных данных в Компании (указать наименование).

«__» ______________ 20___г. ________________ ________________________________

Лента сообщений в удобном формате: