Ответственный за персональные данные: кого назначить и какие обязанности
Кого назначить ответственным за обработку персональных данных по 152-ФЗ, как оформить приказ, какие обязанности возлагаются на DPO и когда выгоднее отдать функцию на аутсорсинг.
Ответственный за персональные данные: кого назначить и какие обязанности
Каждая организация, обрабатывающая персональные данные, обязана назначить ответственного за организацию обработки ПДн. Это требование статьи 22.1 Федерального закона 152-ФЗ. Разберёмся, кого назначить, как оформить и какие обязанности на него возложить.
Правовая основа
Статья 22.1 закона 152-ФЗ обязывает оператора персональных данных назначить лицо, ответственное за организацию обработки ПДн. Сведения об этом лице указываются в уведомлении в Роскомнадзор и должны быть актуальными.
Ответственный за ПДн (в международной практике — DPO, Data Protection Officer) — это не просто формальная должность. Это человек, который контролирует соблюдение законодательства о персональных данных внутри организации и является точкой контакта с Роскомнадзором.
Важно: Отсутствие назначенного ответственного за ПДн — нарушение, которое выявляется при любой проверке Роскомнадзора и влечёт штрафные санкции.
Кого можно назначить
Закон не устанавливает жёстких требований к квалификации ответственного. На практике выбор зависит от размера компании:
| Размер компании | Кого обычно назначают | Комментарий |
|---|---|---|
| Микробизнес (до 15 человек) | Руководитель (генеральный директор) | Самый простой вариант, но руководителю придётся вникать в тему |
| Малый бизнес (15-50 человек) | Юрист, HR-директор или заместитель руководителя | Лучше выбрать того, кто уже работает с документами и данными сотрудников |
| Средний бизнес (50-250 человек) | Выделенный специалист по ИБ или комплаенс | Оптимально — создать отдельную функцию |
| Крупный бизнес (250+ человек) | Отдельная должность DPO с командой | Полноценная служба защиты данных |
Требования к кандидату
Хотя закон не требует специального образования, ответственный за ПДн должен:
- Знать требования 152-ФЗ и подзаконных актов
- Понимать процессы обработки данных в организации
- Иметь доступ к руководству для эскалации вопросов
- Обладать достаточными полномочиями для внедрения изменений
- Не иметь конфликта интересов (не рекомендуется назначать руководителя IT-отдела, который сам строит информационные системы)
Как оформить назначение
Назначение ответственного оформляется приказом руководителя организации. Структура приказа:
Типовая структура приказа
- Шапка — наименование организации, дата и номер приказа
- Основание — ссылка на ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ
- Приказная часть:
- Назначить ФИО на должность ответственного за организацию обработки ПДн
- Утвердить перечень обязанностей (можно отдельным приложением)
- Установить подчинённость (как правило — непосредственно руководителю)
- Определить порядок замещения на время отсутствия
- Ознакомление — подпись назначаемого лица
- Подпись руководителя
Важно: Ответственный должен быть ознакомлен с приказом под подпись и дать своё согласие на выполнение возложенных обязанностей. Назначение без согласия работника — нарушение трудового законодательства.
Обязанности ответственного за ПДн
Полный перечень обязанностей, как правило, фиксируется в должностной инструкции или приложении к приказу:
Основные обязанности
- Внутренний контроль — регулярная проверка соблюдения 152-ФЗ во всех подразделениях
- Разработка локальных актов — политика обработки ПДн, положения, инструкции, регламенты
- Организация обучения — ознакомление сотрудников с требованиями законодательства и внутренними документами
- Обработка обращений субъектов — ответы на запросы физических лиц об их персональных данных (срок ответа — 10 рабочих дней)
- Взаимодействие с Роскомнадзором — подготовка ответов на запросы, сопровождение проверок
- Контроль уведомления — своевременное обновление сведений в реестре операторов
- Реагирование на инциденты — действия при утечках данных, уведомление РКН в течение 24 часов
- Аудит процессов — периодическая оценка рисков и соответствия
Дополнительные функции
- Участие в проектировании информационных систем (privacy by design)
- Оценка воздействия на права субъектов при внедрении новых процессов
- Ведение реестра деятельности по обработке данных
- Организация уничтожения данных по истечении сроков хранения
Штатный DPO vs аутсорсинг
Не каждая компания может позволить себе выделенного специалиста. Закон 152-ФЗ не запрещает привлекать внешнего специалиста для выполнения функций ответственного за ПДн.
| Критерий | Штатный DPO | Аутсорсинг DPO |
|---|---|---|
| Стоимость | от 80 000 ₽/мес (зарплата + налоги) | от 15 000 ₽/мес |
| Погружённость в процессы | Высокая — работает внутри компании | Средняя — требуется время на изучение |
| Экспертиза | Зависит от квалификации конкретного сотрудника | Как правило, выше — специализация на 152-ФЗ |
| Независимость | Может быть ограничена внутренней иерархией | Высокая — нет конфликта интересов |
| Доступность | В рабочее время, оперативно | По согласованному SLA |
| Ответственность | Дисциплинарная | Договорная |
| Обучение | Требуется за счёт работодателя | Включено в услугу |
Важно: Даже при аутсорсинге функций DPO формально ответственным в приказе должен быть назначен сотрудник организации. Внешний специалист выступает как консультант и исполнитель, но ответственность перед РКН несёт оператор.
Типичные ошибки
Ошибка 1: Формальное назначение
Назначить ответственного и забыть — не вариант. Если при проверке выяснится, что назначенное лицо не знает своих обязанностей, не прошло обучение и не выполняет функции контроля — это приравнивается к отсутствию ответственного.
Ошибка 2: Назначение без полномочий
Ответственный должен иметь реальный доступ к руководству и возможность влиять на процессы. Назначение рядового сотрудника без полномочий — формальность, которая не спасёт при проверке.
Ошибка 3: Конфликт интересов
Не рекомендуется назначать ответственным руководителя IT-отдела, который сам проектирует и администрирует информационные системы. Контролёр не должен проверять сам себя.
Ошибка 4: Отсутствие актуализации в реестре
При смене ответственного необходимо в течение 10 рабочих дней уведомить Роскомнадзор. Несоответствие данных в реестре — нарушение.
Что делать прямо сейчас
- Проверьте, назначен ли у вас ответственный за ПДн — приказ должен быть оформлен и подписан
- Убедитесь, что данные ответственного актуальны в реестре РКН
- Проверьте, выполняет ли ответственный свои обязанности на практике
- Обеспечьте обучение ответственного (курсы, семинары, консультации)
Если вы ещё не назначили ответственного или хотите передать эту функцию профессионалам — в Бюро 152 мы предлагаем услугу аутсорсинга DPO. Подготовим приказ, должностную инструкцию, обучим назначенного сотрудника или возьмём функции на себя.
Также рекомендуем провести комплексный аудит процессов обработки данных и проверить соответствие требованиям ФСТЭК в части технической защиты.
Нужна помощь с назначением ответственного за ПДн? Пройдите бесплатный экспресс-аудит и узнайте, какие документы вам нужны. Или свяжитесь с нами — подготовим приказ и полный комплект документации.