Как назначить ответственного за организацию обработки персональных данных
Чтобы оператору выполнить обязанности, которые возложены на него Законом № 152-ФЗ, нужно предпринять ряд мер, перечень которых оператор определяет сам. Среди них — назначение ответственного за организацию обработки персданных. Кто может быть ответственным и как его назначить, разбираемся в статье.
Какие операторы обязаны назначать ответственного
Назначать ответственного должны:
- юридические лица (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ, далее — Закон № 152-ФЗ);
- государственные и муниципальные органы (пп. «а» п. 1 Перечня, утв. Постановлением Правительства РФ от 21.03.2012 № 211).
Законодательство о персональных данных не возлагает на индивидуальных предпринимателей обязанность назначать ответственного. При этом необходимо помнить, что на работодателя-ИП распространяются положения гл. 14 ТК РФ о защите персданных его сотрудников. Поэтому так или иначе ИП необходимо организовать у себя их обработку, чтобы не нарушать законодательство. В этой ситуации ИП может назначить ответственным самого себя.
Кого можно назначить ответственным
В Законе № 152-ФЗ нет специальных требований, которые предъявляются к такому лицу. Системный анализ законодательства о персональных данных и сложившейся практики позволяет предположить, что ответственным можно назначить (п. 7.1 ч. 3 ст. 22 Закона № 152-ФЗ, Методические рекомендации, направленные письмом Минкомсвязи от 28.08.2020 № ЛБ-С-074-24059):
- сотрудника оператора, в том числе руководителя организации, если в штате нет подходящего для этой цели работника;
- иную организацию или ИП, специально привлеченных для этой цели.
Исключение — оператор, являющийся государственным или муниципальным органом, в котором ответственным может быть только (пп. «а» п. 1 Перечня, утв. Постановлением Правительства РФ от 21.03.2012 № 211):
- государственный или муниципальный служащий этого органа;
- сотрудник этого органа, с которым заключен трудовой договор и который замещает должность не из числа должностей ГГС РФ.
По вопросу о том, сколько ответственных лиц вправе назначить оператор, существует две позиции. Исходя из анализа п. 7.1 ч. 3 ст. 22 Закона № 152-ФЗ, ответственным может быть только одно лицо — физическое или юридическое. Но некоторые суды толкуют ч. 1 ст. 22.1 Закона № 152-ФЗ шире и считают, что оператор вправе назначить несколько ответственных лиц (постановление мирового судьи судебного участка № 5 Ленинского судебного района г. Мурманска от 01.06.2015 по делу № 5-283/2015).
Обязанности ответственного
Ответственный обязан совершать ряд действий (ст. 22.1 Закона № 152-ФЗ):
- контролировать, соблюдают ли оператор и его сотрудники законодательство о персональных данных, в том числе требования к их защите;
- информировать сотрудников оператора о требованиях к защите персональных данных и о положениях НПА и ЛНА, регулирующих их обработку;
- организовывать и (или) контролировать прием и обработку запросов субъектов и их представителей.
Как назначить ответственного
Чтобы назначить ответственного, оператор выбирает один из способов, в зависимости от того, какое лицо он привлекает для этой цели.
Способ 1. Ответственный — сотрудник оператора
В этом случае оператор может придерживаться следующего алгоритма действий:
- Разработать и утвердить должностную инструкцию ответственного. В ней необходимо отразить его обязанности, предусмотренные в ч. 4 ст. 22.1 Закона № 152-ФЗ. С должностной инструкцией сотрудника нужно ознакомить.
- Издать приказ о назначении ответственного лица.
|
Способ 2. Ответственный — организация или ИП, которых оператор привлекает специально
В этой ситуации правоотношения между оператором и ответственным оформляются на основании гражданско-правового договора — например, договора поручения. В договоре обязательно необходимо закрепить:
- обязанности лица, которое привлекает оператор, закрепленные в ч. 4 ст. 22.1 Закона № 152-ФЗ;
- обязанность оператора передать такому лицу сведения, указанные в ч. 3 ст. 22 Закона № 152-ФЗ;
- порядок выполнения указаний, которые дал руководитель оператора, и порядок представления ему сведений о выполнении обязанностей, которые оператор возложил на ответственного (ч. 2 ст. 22.1 Закона № 152-ФЗ).
|
Что будет, если не назначить ответственного
До 1 июля 2017 года за такое нарушение оператора привлекали к административной ответственности по ст. 13.11 КоАП РФ (решение Петрозаводского городского суда Республики Карелия от 26.07.2012 по делу № 12а-556/12-8).
Федеральный закон от 07.02.2017 № 13-ФЗ внес изменения в ст. 13.11 КоАП РФ, в которой теперь предусмотрена ответственность за ограниченный круг нарушений Закона № 152-ФЗ. Так, ответственность оператора за неназначение ответственного не установлена.
Это не значит, что оператор может не исполнять эту обязанность. На практике при проведении проверки Роскомнадзор или прокуратура могут установить, что оператор не назначил ответственного, и выдать ему предписание (представление). Если оператор не исполнит его добровольно, то его привлекут к административной ответственности по ст. 19.5 или ст. 17.7 КоАП РФ (апелляционное определение Московского городского суда от 04.06.2018 по делу № 33а-3957/2018, постановление Березовского районного суда ХМАО-Югры от 26.10.2018 по делу № 5-220/2018).
Также оператора могут принудить назначить ответственное лицо в судебном порядке (решение Шарлыкского районного суда Оренбургской области от 05.11.2019 по делу № 2а-520/2019).
Типичные нарушения операторов
Чаще всего операторы допускают нарушения Закона № 152-ФЗ, когда:
- Не уведомляют Роскомнадзор о назначении или смене ответственного, то есть нарушают требования ст. 22 Закона № 152-ФЗ.
- Некорректно выбирают ответственного или не закрепляют в его должностной инструкции обязанности, установленные ч. 4 ст. 22.1 Закона № 152-ФЗ. Так, например, в приказе о назначении ответственного нельзя указывать, что он отвечает лишь за сбор и хранение персональных данных, но не за организацию их обработки (постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).
Читайте также:
- сохраните, чтобы не забыть