Закон не выдвигает особых требований к должности лица, назначенного ответственным за организацию обработки персональных данных. Напомним, что под «обработкой персональных данных» понимается любое действие или операция с персональными данными, включая их сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон о персональных данных).
Согласно ч. 1 ст. 22.1 Закона о персональных данных компания должна назначить лицо, ответственное за организацию обработки персональных данных (сотрудников, клиентов и других граждан). Причем этот сотрудник согласно ч. 2 ст. 22.1 Закона о персональных данных получает указания непосредственно от руководителя организации и подотчетен ему.
Как мы отметили выше, в законе нет требований к должности или квалификации такого работника. На практике ответственным лицом чаще всего назначают сотрудника отдела кадров, поскольку он и так по работе имеет доступ к персональным данным работников. Причем им может быть как руководитель отдела кадров, так и нижестоящий сотрудник. Некоторые специалисты рекомендуют назначать ответственными за организацию обработки персональных данных сотрудников на руководящих позициях, чтобы не было нарушений субординации. Ведь по Закону о персональных данных ответственные лица подчиняются непосредственно руководителю компании. А в случае, если это рядовой сотрудник, то он, с одной стороны, по основной работе подчиняется своему непосредственному начальнику, а, с другой стороны, в связи с работой с персональными данными – руководителю организации. На наш взгляд, никаких сложностей на практике здесь не возникнет. Кстати, по выбору руководства ответственным лицом может быть назначен и любой другой специалист в любой иной должности. Например, секретарь или бухгалтер. Причем если такого сотрудника найти не удастся среди подчиненных работников, то возложить ответственность за организацию обработки персональных данных руководитель должен на себя.
Чтобы понять, справится работник или нет с возложенным на него участком работы, изучите конкретные обязанности ответственного за работу с персональными данными. Он должен (ч. 4 ст. 22.1 Закона о персональных данных):
1) осуществлять внутренний контроль за соблюдением работодателем и его работниками законодательства РФ о персональных данных, в том числе требований к их защите;
2) доводить до сведения работников положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов работников и клиентов, осуществлять контроль за приемом и обработкой таких обращений и запросов.
Естественно, этим его обязанности не ограничиваются. А значит, перед выбором определенного лица необходимо учитывать его нагрузку по основной работе.
Назначение лица, ответственного за работу с персональными данными, производится приказом (см. Пример).
Пример. Приказ о назначении лица, ответственного за обработку персональных данных
Не забудьте заблаговременно прописать соответствующую обязанность в трудовом договоре или должностной инструкции работника / инструкции по профессии (при наличии). Более широкие права и обязанности ответственного за обработку персональных данных лица можно указать в локальном нормативном документе (называться он может по-разному, например, Положение о защите персональных данных работников, Положение об обработке персональных данных работников и пр.). Напомним, что согласно ст. 87 ТК РФ работодатель обязан принять подобный ЛНА, который будет регулировать порядок хранения и использования персональных данных сотрудников.
