Определение понятий
В нормативных правовых актах отсутствуют определения терминам «лицо, ответственное за организацию обработки персональных данных» и «лицо, ответственное за обеспечение безопасности персональных данных в информационных системах».
Тем не менее, опираясь на ст. 22.1 Федерального закона № 152 «О персональных данных» (далее — 152-ФЗ), постановление Правительства Р Ф от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — ПП РФ № 1119), а также разъяснения Роскомнадзора, можно составить следующее описание:
Лицо, ответственное за организацию обработки персональных данных (или DPO, Data Protection Officer)
Оператор персональных данных может назначить в качестве ответственного за организацию обработки физическое или юридическое лицо.
Возможность назначения юридического лица установлена в перечне сведений, которые в обязательном порядке должны содержаться в уведомлении об обработке ПДн, согласно п. 7.1 ч. 3 ст. 22 152-ФЗ. В
форме уведомления на сайте Роскомнадзора есть соответствующая возможность выбора между физическим лицом и сторонней организацией, назначенными оператором в качестве ответственных лиц.
Если у организации отсутствуют необходимые кадровые ресурсы, можно обратиться к компаниям, предоставляющим услуги DPO. Одной из таких является компания Б-152,
оказывающая услуги аутсорсинга ответственного за организацию обработки ПДн.
(пример указания ООО “Б152” в качестве ответственного лица в реестре операторов РКН)
При этом, в законе отсутствует четкий ответ по поводу возможность назначения нескольких ответственных за организацию обработки. Такая ситуация может быть наиболее актуальна для крупных организаций, имеющих сложное внутреннее устройство. Исходя из того, что в п. 1 ч. 1 ст. 18.1, п. 7.1 ч. 3 ст. 22 152-ФЗ, а также в самой форме уведомления ответственный за организацию обработки ПДн упоминается исключительно в единственном числе, рекомендуется назначить одно такое лицо.
По данному вопросу также имеются разъяснения Роскомнадзора, согласно которым лицо, ответственное за организацию обработки ПДн, может назначить в структурных подразделениях уполномоченных лиц, делегируя им часть своих полномочий. При этом общие полномочия, подотчетность, генеральная ответственность — за всё это отвечать будет все равно ответственное лицо, назначенное приказом руководителя организации
Ознакомиться с самим разъяснением можно
по ссылке Относительно обязанности назначения ответственного за организацию обработки важно подчеркнуть, что в законе такая обязанность прямо предусмотрена только для юридических лиц. Это закреплено формулировками п. 1 ч. 1 ст. 18.1, а также ч. 1 ст. 22.1 152-ФЗ. Для иных операторов — опционально.
Обязанность назначения лица, ответственного за обеспечение безопасности ПДн, начинается с третьего уровня защищенности персональных данных при их обработке в информационной системе (п. 14 ПП РФ № 1119).
Таким образом, если в организации есть информационные системы, где возникает необходимость обеспечения третьего уровня защищенности ПДн и выше, на оператора возлагается обязанность назначить соответствующее ответственное лицо.
В данном постановлении требования к защите установлены в зависимости от уровня защищенности персональных данных, определение которого предусмотрено в п. 9−12 ПП РФ № 1119.
В соответствии с ч. 1, п. 2 ч. 2 ст. 19 152-ФЗ оператор обязан обеспечивать безопасность ПДн, что достигается, в частности, принятием организационных и технических мер для защиты ПДн при их обработке в информационных системах. В качестве одной из возможных организационных мер может быть назначение оператором ответственного лица. Более детальные требования к защите ПДн установлены в ПП РФ № 1119.
Лицо, ответственное за обеспечение безопасности персональных данных в информационных системах
нет, отсутствует требование к назначению ответственного за обеспечение безопасности ПДн
(п. 13 ПП РФ №1119)
да, необходимо назначить ответственного за обеспечение безопасности
(п. 14 ПП РФ №1119)
да, необходимо назначить ответственного за обеспечение безопасности
(п. 14−15 ПП РФ №1119)
да, а также необходимо создать структурное подразделение, ответственное за обеспечение безопасности
(пп. «б» п. 16 ПП РФ № 1119)