Кто такие лица, ответственные за обработку и безопасность персональных данных, и зачем они нужны

13.01.2023
11/04/25
Б-152
Дарья Давыдова
Кто такие лица, ответственные за обработку и безопасность персональных данных, и зачем они нужны
Статья рассматривает роль и обязанности лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных в организациях, которые необходимы для соблюдения законодательства и защиты информации.
Назначение этих лиц помогает обеспечить внутренний контроль, обучение сотрудников, защиту данных и формирование культуры ответственного отношения к персональным данным в компании.

Определение понятий

В нормативных правовых актах отсутствуют определения терминам «лицо, ответственное за организацию обработки персональных данных» и «лицо, ответственное за обеспечение безопасности персональных данных в информационных системах».
Тем не менее, опираясь на ст. 22.1 Федерального закона № 152 «О персональных данных» (далее — 152-ФЗ), постановление Правительства Р Ф от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — ПП РФ № 1119), а также разъяснения Роскомнадзора, можно составить следующее описание:
Лицо, ответственное за организацию обработки персональных данных (или DPO, Data Protection Officer)
Оператор персональных данных может назначить в качестве ответственного за организацию обработки физическое или юридическое лицо.
Возможность назначения юридического лица установлена в перечне сведений, которые в обязательном порядке должны содержаться в уведомлении об обработке ПДн, согласно п. 7.1 ч. 3 ст. 22 152-ФЗ. В форме уведомления на сайте Роскомнадзора есть соответствующая возможность выбора между физическим лицом и сторонней организацией, назначенными оператором в качестве ответственных лиц.
Если у организации отсутствуют необходимые кадровые ресурсы, можно обратиться к компаниям, предоставляющим услуги DPO. Одной из таких является компания Б-152, оказывающая услуги аутсорсинга ответственного за организацию обработки ПДн.
(пример указания ООО “Б152” в качестве ответственного лица в реестре операторов РКН)
При этом, в законе отсутствует четкий ответ по поводу возможность назначения нескольких ответственных за организацию обработки. Такая ситуация может быть наиболее актуальна для крупных организаций, имеющих сложное внутреннее устройство. Исходя из того, что в п. 1 ч. 1 ст. 18.1, п. 7.1 ч. 3 ст. 22 152-ФЗ, а также в самой форме уведомления ответственный за организацию обработки ПДн упоминается исключительно в единственном числе, рекомендуется назначить одно такое лицо.
По данному вопросу также имеются разъяснения Роскомнадзора, согласно которым лицо, ответственное за организацию обработки ПДн, может назначить в структурных подразделениях уполномоченных лиц, делегируя им часть своих полномочий. При этом общие полномочия, подотчетность, генеральная ответственность — за всё это отвечать будет все равно ответственное лицо, назначенное приказом руководителя организации
Ознакомиться с самим разъяснением можно по ссылке
Относительно обязанности назначения ответственного за организацию обработки важно подчеркнуть, что в законе такая обязанность прямо предусмотрена только для юридических лиц. Это закреплено формулировками п. 1 ч. 1 ст. 18.1, а также ч. 1 ст. 22.1 152-ФЗ. Для иных операторов — опционально.
Обязанность назначения лица, ответственного за обеспечение безопасности ПДн, начинается с третьего уровня защищенности персональных данных при их обработке в информационной системе (п. 14 ПП РФ № 1119).
Таким образом, если в организации есть информационные системы, где возникает необходимость обеспечения третьего уровня защищенности ПДн и выше, на оператора возлагается обязанность назначить соответствующее ответственное лицо.
В данном постановлении требования к защите установлены в зависимости от уровня защищенности персональных данных, определение которого предусмотрено в п. 9−12 ПП РФ № 1119.
В соответствии с ч. 1, п. 2 ч. 2 ст. 19 152-ФЗ оператор обязан обеспечивать безопасность ПДн, что достигается, в частности, принятием организационных и технических мер для защиты ПДн при их обработке в информационных системах. В качестве одной из возможных организационных мер может быть назначение оператором ответственного лица. Более детальные требования к защите ПДн установлены в ПП РФ № 1119.
Лицо, ответственное за обеспечение безопасности персональных данных в информационных системах
3 уровень защищенности
2 уровень защищенности
1 уровень защищенности
4 уровень защищенности
нет, отсутствует требование к назначению ответственного за обеспечение безопасности ПДн

(п. 13 ПП РФ №1119)
да, необходимо назначить ответственного за обеспечение безопасности

(п. 14 ПП РФ №1119)
да, необходимо назначить ответственного за обеспечение безопасности

(п. 14−15 ПП РФ №1119)
да, а также необходимо создать структурное подразделение, ответственное за обеспечение безопасности

(пп. «б» п. 16 ПП РФ № 1119)
Оставить заявку на аутсорсинг ответственного за организацию обработки ПДн

Обязанности ответственных лиц

Лицо, ответственное за организацию обработки персональных данных
Обязанности лица, ответственного за организацию обработки ПДн, в общем виде предусмотрены ч. 4 ст. 22.1 152-ФЗ. Среди них:
  1. Внутренний контроль за соблюдением требований законодательства о персональных данных: следить за тем, чтобы оператор и его сотрудники соблюдали нормы о персональных данных, включая требования по их защите, в частности, посредством проведения аудита бизнес-процессов;
  2. Ознакомление работников с положениями законодательства, а также локальных актов в отношении обработки персональных данных: проводить обучение, осуществлять рассылку информационных материалов для оператора и его сотрудников, доводя до сведения законодательные требования, внутренние правила в отношении обработки персональных данных;
  3. Организация и координирование приема и обработки обращений, запросов по вопросам персональных данных, включая создание каналов для подачи обращений субъектов персональных данных, контроль за своевременностью обработки таких обращений.
Если в организации отсутствует соответствующее структурное подразделение, то среди сотрудников оператора чаще всего такие обязанности возлагаются на юристов или кадровых специалистов, либо руководитель организации выполняет самостоятельно данный функционал (актуально для организаций с небольшим штатом).
Исходя из этого, ответственные за обработку и безопасность персональных данных играют ключевую роль в формировании адекватных инструментов и механизмов при работе с персональными данными.
Их основная задача заключается в том, чтобы гарантировать соблюдение законодательства о персональных данных, а также внедрять эффективные меры по их защите. Тем не менее, эти специалисты следят не только за соответствием требований законодательства, но и формируют внутри организации культуру ответственного отношения к обработке персональных данных.
  1. Оценка угроз и применяемых мер безопасности: определять угрозы безопасности персональных данных и применять необходимые организационные и технические меры для защиты, соответствующие требованиям, установленным Правительством Российской Федерации.
  2. Использование сертифицированных средств защиты: применять средства защиты информации, прошедшие процедуру оценки соответствия, в том числе в случаях нейтрализации актуальных угроз.
  3. Мониторинг и реагирование на инциденты: обнаруживать факты несанкционированного доступа к персональным данным, принимать меры по предотвращению и ликвидации последствий компьютерных атак, а также восстанавливать данные, модифицированные или уничтоженные в результате таких инцидентов.
  4. Управление доступом и контроль: устанавливать правила доступа к персональным данным, обеспечивать регистрацию всех действий с ними и контролировать эффективность принимаемых мер по обеспечению безопасности и защищенности информационных систем.
Для адекватного обеспечения безопасности персональных данных ответственное лицо должно организовывать и контролировать выполнение всех требований, предъявляемых к защите, в частности, в ч. 2 ст. 19 152-ФЗ, в ПП РФ № 1119. Среди таких требований (но не ограничиваясь ими):
Лицо, ответственное за обеспечение безопасности персональных данных в информационных системах

Частые вопросы

Можно ли одного сотрудника назначить ответственным и за организацию обработки, и за обеспечение безопасности персональных данных?
Да, законодательных ограничений нет по такой возможности. Но рекомендуется, в первую очередь, исходить из целесообразности и эффективности такого назначения, чтобы ответственное лицо было не для «галочки».
Такой позиции придерживается и Роскомнадзор
Может ли в компании не быть кого-то из таких ответственных лиц?
Лицо, ответственное за организацию обработки персональных данных, должно быть в каждой организации. В противном случае есть два риска:
Нет, так как в п. 14 ПП РФ № 1119 есть прямое указание «должностное лицо (работник)». Поэтому ответственное лицо должно быть назначено среди штатных сотрудников организации.
Тем не менее, это не препятствует возможности дополнительного привлечения сторонних организаций при необходимости — например, привлечение компании Б-152 для проведения аудита информационной безопасности, разработки и внедрения мер защиты информации и т. д.
Может ли лицо, ответственное за обеспечение безопасности персональных данных, тоже быть сторонней организацией, как в случае с ответственным за организацию обработки?
Во-первых, невозможность подачи уведомления об обработке персональных данных. Обязательным является внесение следующей информации (п. 7.1 ч. 3 ст. 22 152-ФЗ):
7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты
Во-вторых, ч. 4 ст. 18.1 152-ФЗ предусмотрено, что по запросу уполномоченного органа оператор обязан подтвердить принятие мер, указанных в ч. 1 ст. 18.1 152-ФЗ, среди которых назначение оператором лица, ответственного за организацию обработки персональных данных.
В отношении лица, ответственного за обеспечение безопасности персональных данных, как уже упоминалось ранее, обязанность назначения наступает в случаях, если при обработке ПДн в информационных системах возникает необходимость обеспечения третьего уровня защищенности и выше. Для обеспечения первого уровня защищенности ПДн также потребуется создание соответствующего структурного подразделения.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме