В законе 2020 года указано, что каждый субъект бизнеса, у которого есть персональные данные его работников, должен защищать их и не допускать доступа к ним сторонних лиц. За обеспечение этого ответственность законом возложена непосредственно на руководителя.
С целью определения состава персональных данных и механизма по их защите на предприятии разрабатывается специальный документ — положение по защите персональных данных.
Поскольку директор отвечает за общее функционирование предприятия, он может установить одно либо несколько лиц, которые будут иметь доступ к персональным данных на предприятии и осуществлять необходимые мероприятия по их защите.
Такие лица могут производить доступ ко всем имеющимся данным без получения предварительного разрешения на данные действия. Для того, чтобы закрепить свой выбор, руководитель оформляет приказ на назначение ответственного лица.
Обычно, ответственным лицом назначается руководитель либо один из работников кадрового отдела. При осуществлении данных обязанностей он должен руководствоваться действующим у субъекта бизнеса положением и иными внутренними актами.
Но предварительно, чтобы работать с данными, ему необходимо получить от каждого работника согласие на обработку персональных данных.
Поскольку персональные данные каждого человека являются очень важными, за их разглашение либо предоставление несанкционированного доступа может налагаться не только дисциплинарная, но также в отдельных случаях материальная, административная либо уголовная ответственности. Поэтому, очень важно закрепить в письменной форме кто за что должен отвечать.
Законодательный акт устанавливает, что составление и издание данного приказа по назначению ответственного лица является обязательным для каждого субъекта бизнеса.
Только в таком приказе устанавливаются лица, которые имеют право на предприятии работать с персональными данными, осуществлять их обработку и мероприятия по защите.
Отсутствие такого приказа будет определяться как нарушение, с наложением ответственности согласно действующих норм КОАП.
Закон о персональных данных указывает, что каждый субъект бизнеса самостоятельно выбирает лицо, которое внутри него будет осуществлять работу с персональными данными. Таким образом, в качестве него может выступать любой штатный работник организации.
В законе не прописаны какие-либо особые требования к такому лицу — какими он должен обладать знаниями, навыками, на какой должности работать.
Но оно должно в полной мере выполнять функции и обязанности, предназначенные для ответственного сотрудника по защите персональных данных:
• Контролировать внутри организации исполнение закона по персональным данным, в том числе мероприятий по их защите;
• Объяснять работникам субъекта бизнеса действие отдельных положений нормативных актов, отвечающих за работу с персональными данными;
• Принимать и обрабатывать запросы на доступ к данным работников.
Выполнение таких обязанностей будет требовать от кандидата умения подготавливать распорядительные документы, а также работать с законодательными актами всех уровней.
Наиболее оптимальным вариантом для такой работы будет работник юридического отдела. Если же такого специалиста на предприятии нет, то обычно указанные обязанности налагаются на секретаря либо кадровика.
Допускается назначить ответственными за защиту данных целый отдел предприятия. В этом случае основную ответственность будет нести руководитель данного подразделения.
Если работник, который ранее исполнял обязанности по защите данных, увольняется, то необходимо назначить новое лицо. При этом издается новый приказ, первым пунктом которого будет объявление предыдущего приказа о назначении ответственного лица, недействительным.
В отношении данного распоряжения не существует строго определенной нормами законодательства формы. Приказ может оформляться в свободном виде.
Для этого может применяться фирменный бланк, или обычный бланк, где содержание приказа излагается в доступном виде. Главное требование при этом — приказ должен содержать все обязательные для него элементы.
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
Если для оформления распоряжения используется обычный бланк, то в верхней части располагается наименование компании, ее адрес и все регистрационные коды, присвоенные фирме.
Далее ниже проставляется наименование документа «ПРИКАЗ». Здесь же отмечается номер документа, присваиваемый ему после регистрации его в книге приказов. В дальнейшем этот номер и дата будут являться главным идентификатором приказа в системе делопроизводства компании.
Ниже отражается наименование приказа, которое фиксирует краткое содержание этого распоряжения. Здесь можно написать, к примеру, «О назначении ответственного по работе с персональными данными».
В следующей строке записывается дата составления приказа, а также наименование населенного пункта, в котором он подписывается.
При заполнении вводной части распоряжения, нужно обязательно сделать ссылку к нормативному акту. Например, ст. 22.1 закона 152-ФЗ.
После этого следует распорядительная часть, которая начинается со слов «ПРИКАЗЫВАЮ» и может включать в себя:
1. Распоряжение об установлении ответственного лица на предприятии за работу с персональными данными с указанием его должности и личных данных.
2. Установление ответственного лица для случая, когда основной работник будет отсутствовать по самым разным причинам на предприятии и определение размера полагающейся ему доплаты за это.
3. Распоряжение должностным лиц, во исполнение которого они будут осуществлять защиту и ограниченный доступ к персональным данным.
4. Назначить лицо, на которое будет возложен контроль за реализацией выше перечисленного в приказе.
В этот приказ можно включать распоряжение провести отражение в этом документе также необходимости корректировки должностной инструкции лица, в обязанности которого включается функция ответственного по персональным данным.
Составленный документ должен быть подписан руководителем компании.
Далее в качестве подтверждения факта ознакомления работников, перечисленных в этом документе, они проставляют свою визу, указывают свои данные и проставляют дату этого события.
Нормами законодательства предусматривается, что хозяйствующий субъект должен определять ответственных лиц для работы с персональными данными.
Чтобы выполнить данную обязанность, руководитель организации издает приказ, которым утверждается должностное лицо для работы с персональными данными.
В соответствии с нормами только это лицо должно вести работу с персональными данными, обеспечивать их защиту, ограничивать доступ к ним третьих лиц, не допускать несанкционированное их использование, поэтому игнорировать составление приказа на ответственное лицо, считается нарушением законодательства о персональных данных.
Статью подготовила руководитель отдела подбора персонала Толмачёва Диана Глебовна. 
