Согласно статье 18.1 Федерального закона № 152-ФЗ, каждый оператор, являющийся юридическим лицом, обязан назначить лицо, ответственное за организацию обработки персональных данных (в международной практике — DPO, Data Protection Officer). Это не рекомендация, а императивное требование. Отсутствие приказа о назначении такого сотрудника является самостоятельным составом административного правонарушения. Однако роль Ответственного за обработку ПДн часто недооценивают, назначая на эту должность номинального «стрелочника» — кадровика или системного администратора, что приводит к фатальным ошибкам при проверках.
Ответственный за обработку ПДн — это ключевая фигура в системе compliance. Этот человек (или внешний консультант) должен обладать уникальным набором компетенций: знать юридические тонкости закона, понимать IT-архитектуру компании и обладать административным ресурсом для внедрения изменений. Главная задача DPO — не подписывать бумаги, а выстроить процесс так, чтобы данные были защищены, а бизнес не останавливался из-за бюрократии.
Обязанности и полномочия Ответственного
Закон четко регламентирует функции DPO. Назначенное лицо обязано:
- Осуществлять внутренний контроль. Регулярно проверять, как сотрудники и информационные системы соблюдают законодательство. Это не разовая акция, а постоянный аудит.
- Взаимодействовать с гражданами. Принимать жалобы и обращения субъектов данных (например, требования удалить данные или объяснить, откуда взялся номер телефона), организовывать ответы в установленные законом сроки.
- Взаимодействовать с регулятором. Быть контактным лицом для Роскомнадзора при проверках или запросах информации.
- Обучать персонал. Доводить до сведения работников положения законодательства и внутренних актов, формировать культуру обращения с данными.
Кого назначить: Инхаус или Аутсорсинг?
Многие компании назначают «крайнего» из числа текущих сотрудников.
Риски такого подхода:
- Конфликт интересов. IT-директор не может сам себя контролировать. Маркетолог заинтересован в сборе максимума данных, что противоречит принципу минимизации.
- Нехватка компетенций. Кадровик знает ТК РФ, но не знает требований ФСТЭК к уровню защищенности информационных систем.
- Ответственность. Штатный сотрудник несет ограниченную материальную ответственность. Внешний консультант отвечает по договору (часто со страховкой ответственности).
Аутсорсинг функции DPO (DPO-as-a-service) становится стандартом для среднего и крупного бизнеса. Вы получаете не одного человека, а команду юристов и специалистов по информационной безопасности, которые ведут вашу документацию, отвечают на запросы и мониторят изменения в законах.
Ответственность за отсутствие DPO
Если в ходе проверки выяснится, что Ответственный не назначен, или назначен номинально (нет должностной инструкции, человек не знает своих обязанностей), компания получит штраф. Но страшнее не штраф, а последствия некомпетентности: пропуск сроков уведомления об утечке (24 часа), неправильный ответ на запрос гражданина или незаконная трансграничная передача данных. Все это — прямая зона ответственности DPO.
Мы предлагаем услугу внешнего Ответственного за обработку ПДн. Мы берем на себя всю бюрократию, общение с РКН и контроль за соблюдением 152-ФЗ, позволяя вашим сотрудникам заниматься бизнесом, а не бумагами.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов