Во исполнение Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (ред. от 23.07.2013) руководство приняло решение назначить ответственного за обработку персональных данных. Обязательно ли назначать ответственное лицо и кого можно назначить ответственным? Какие обязанности вменить ответственному лицу?
Ответ: Назначение ответственного лица за обработку персональных данных является обязательным на основании ст. 22.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (ред. от 23.07.2013) (далее - Федеральный закон N 152-ФЗ). Ограничений по назначению ответственного лица в законодательстве не установлено.
Обоснование: Организация, у которой есть работники, является оператором по обработке персональных данных (п. 2 ст. 3 Федерального закона N 152-ФЗ).
Согласно требованиям ст. 22.1 Федерального закона N 152-ФЗ в обязанности юридических лиц, которые выступают в качестве операторов персональных данных работников, входит назначение лица, ответственного за организацию обработки персональных данных.
Отсутствие лица, ответственного за обработку персональных данных работников, может быть выявлено в результате контрольных мероприятий (Постановление Четырнадцатого арбитражного апелляционного суда от 21.01.2013 по делу N А44-5910/2012).
В должностные обязанности ответственного за обработку данных лица входит следующее:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Кроме того, лицо, ответственное за обработку персональных данных работников, должно руководствоваться положениями ст. 86 ТК РФ. В обязанности лица, ответственного за обработку данных, входит соблюдение норм законодательства о защите персональных данных, а именно:
- все персональные данные работника следует получать у него самого;
- работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами;
- при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
- защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;
- работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также с их правами и обязанностями в этой области.
Требований к назначению ответственного лица в законодательстве не установлено. В связи с этим лицом, ответственным за обработку персональных данных, может выступать любой работник организации, например работник отдела кадров, бухгалтерии или юридической службы.
За нарушение порядка обработки персональных данных предусмотрена административная ответственность по ст. 13.11 Кодекса РФ об административных правонарушениях.
Е. В.Шестакова
ООО "Актуальный менеджмент"
01.12.2013