Как в организации назначить ответственного за персональные данные?

Оператор персональных данных - это государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий (операций) (п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"). Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.

Оператор - юрлицо обязан назначить ответственного за организацию обработки персональных данных (ст.22.1 Федерального закона N 152-ФЗ). Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1. осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства о персональных данных, в том числе требований к защите персональных данных;
2. доводить до сведения работников оператора положения законодательства о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

В связи с этим организации нужно издать:

• приказ о назначении лица, ответственного за организацию обработки персональных данных (п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Федерального закона N 152-ФЗ).

Таким лицом может быть любой работник организации, например специалист отдела по управлению персоналом. Главное, чтобы он смог выполнять вышеуказанные обязанности.

• приказ об утверждении перечня лиц, которые отвечают за обработку персональных данных (абз. 6 ст. 88 ТК РФ).

Ответственных за обработку персональных данных назначают приказом. Помимо прочего в нем надо определить, с какой информацией работает конкретное лицо (группа лиц). Доступ надо ограничить теми персональными данными, которые необходимы для выполнения конкретных функций (ст. 88 ТК РФ).

Рекомендуем у всех этих лиц взять письменное обязательство о неразглашении (соблюдении конфиденциальности) персональных данных, учитывая абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 Федерального закона N 152-ФЗ.

Образцы приказов и обязательства смотрите в Типовой ситуации: Персональные данные работников: понятие, обработка, защита и передача (Издательство "Главная книга", 2025) {КонсультантПлюс}.

Также смотрите Форму: Должностная инструкция ответственного за обработку персональных данных (Подготовлен для системы КонсультантПлюс, 2025).

На заметку: новый раздел Всё о персональных данных на нашем сайте поможет проверить, готова ли ваша компания к проверке Роскомнадзора.

Если ответственный за персональные данные сменился, то необходимо подать уведомление об изменении сведений в Роскомнадзор. Подробнее рассказано в обзоре на нашем сайте.