.svg)
Инструкция ответственного за обработку персональных данных
Назначение лица ответственным за организацию обработки персональных данных – обязанность оператора ПДн, являющегося юридическим лицом. Данная обязанность установлена Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", статьей 22.1. Для того, чтобы работник был ознакомлен со своими правами и обязанностями, требуется подготовить инструкцию, которая бы их содержала. Предлагаемый шаблон содержит наиболее типовые положения, обычно указываемые в данного рода документе.
Следует отметить, что законодательство не содержит каких-либо специальных требований к квалификации лица, назначаемого ответственным за организацию обработки персональных данных. Обычно эту ответственность возлагают на кого-нибудь из менеджмента компании. Типовыми обязанностями ответственного являются:
- контроль, учет работников, допущенных к процессам обработки;
- своевременная актуализация нормативной базы;
- договорная работа;
- осуществление периодического контроля.
Помимо этого, именно Ответственный указывается в уведомлении об осуществлении обработки персональных данных, направляемом в Роскомнадзор. Он же участвует со стороны оператора в переписке с этим контролирующим органом. В случае выявления нарушений и привлечения к ответственности должностного лица, именно он является привлекаемым лицом. Инструкция ответственного за организацию обработки персональных данных утверждается приказом руководителя оператора. Для составления этого приказа на нашем сайте присутствует отдельный шаблон.
Приложение № 1
к Приказу о назначении ответственного за организацию обработки персональных данных в № от г.
Инструкция Ответственного за организацию обработки персональных данных
Общие положения
Ответственный за организацию обработки персональных данных в (далее – Ответственный) назначается приказом руководителя (далее – Учреждение) и отвечает за организацию обработки персональных данных (далее – ПДн), соответствие обработки требованиям законодательства Российской Федерации о ПДн, а также локальным нормативным актам.
Непосредственным руководителем Ответственного является .
Ответственный должен знать нормативно-правовую базу обработки в Российской Федерации персональных данных: федеральное законодательство, подзаконные акты, методические материалы в сфере обработки и защиты ПДн. Ответственный обязан отслеживать изменения в данных областях, знать содержание лучших практик в сфере обработки и защиты персональных данных.
Ответственный при организации и контроле за обработкой персональных руководствуется Политикой информационной безопасности, Политикой обработки персональных данных, настоящей Инструкцией, иными локальными нормативными актами, Федеральными законами от 27.07.2006 N 152-ФЗ, "О персональных данных", от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", руководящими и нормативными документами ФСТЭК, ФСБ, иным действующим законодательством Российской Федерации.
Основные функции и сфера компетенции Ответственного за организацию обработки персональных данных
К компетенции Ответственного за организацию обработки персональных данных относится:
Контроль и учет работников , допущенных к процессам обработки ПДн в информационных системах ;
Контроль за актуализацией локальных нормативных актов, журналов, форм учета по работе с ПДн;
Договорная работа в сфере организации обработки персональных данных и их защиты;
Организация внутреннего контроля за соблюдением оператором законодательства РФ о персональных данных, исполнением локальных нормативных актов о защите данных;
Контроль за соответствием процессов обработки ПДн требованиям техники безопасности, охраны труда.
Оперативное уведомление Роскомнадзора касательно сферы осуществления обработки персональных данных в порядке ст. 22 Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ.
Взаимодействие с уполномоченным территориальным органом по защите прав субъектов персональных данных (Роскомнадзором);
Подготовка предложений, направленных на совершенствование защиты ПДн в ;
Обязанности Ответственного за организацию обработки персональных данных
Ответственный за организацию обработки персональных данных обязан:
Неукоснительно соблюдать требования действующего законодательства Российской Федерации в области обработки и защиты ПДн, локальных нормативных актов .
Владеть исчерпывающей информацией о целях обработки ПДн в , разновидностях обрабатываемых данных и операциях, проводимых с ними.
Осуществлять внутренний контроль за соблюдением и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, а также курировать проведение периодического контроля принятых мер по защите;
Доводить до сведения работников положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
Обеспечивать оперативную актуализацию локальных нормативных актов по защите ПДн в случае возникновения необходимости в этом, а также в случае поступления соответствующих требований от регулирующего органа.
Контролировать своевременную актуализацию технических паспортов информационных систем.
Периодически осуществлять оценку вреда, который может быть причинен субъекту персональных данных в случае нарушений требований по обработке и обеспечению безопасности персональных данных.
Вести контроль расследования инцидентов в области информационной безопасности, иницировать разработку предложений по устранению недостатков и предупреждению повторения инцидентов.
Осуществлять непосредственное руководство деятельностью Администратора безопасности в .
Организовывать проведение занятий и инструктажей с работниками по вопросам обработки и защиты ПДн, имеющих доступ к таким данным.
Курировать выполнение технического обслуживания элементов ИСПДн с привлечением сторонних физических лиц и организаций.
Курировать применение мер по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий, привлекать для этого иных работников по согласованию с руководителями отделов (структурных подразделений).
Организовать приём и обработку обращений субъектов ПДн и их представителей, согласно п.3 ч.4 ст. 22.1 Федерального закона от 27.07.06 № 152-ФЗ "О персональных данных" и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Права и полномочия
Ответственный за организацию обработки персональных данных имеет право:
Требовать от работников соблюдения требований законодательства Российской Федерации и локальных нормативных актов по вопросам обработки и защиты ПДн;
Давать работникам обязательные для выполнения указания по обработке и защите ПДн, определяемые законодательством Российской Федерации и локальными нормативными актами ;
Знакомиться с документами и материалами, необходимыми для выполнения возложенных на него задач;
Проводить проверки соблюдения режима обеспечения безопасности ПДн во всех структурных и (или) территориальных подразделениях в соответствии с утвержденным приказом руководителя Планом мероприятий по обеспечению безопасности персональных данных;
Инициировать служебную проверку в случае обнаружения факта нарушения требований обработки ПДн;
Требовать письменных объяснений от работников по предмету проводимых служебных проверок по вопросам нарушения требований в области обработки и защиты ПДн;
Доводить до сведения руководителя информацию о работниках, систематически не исполняющих требования в области обработки и защиты персональных данных, а также вносить представления об отстранении от выполнения служебных обязанностей работников, систематически нарушающих требования по обработке и защите ПДн;
Участвовать в анализе ситуаций, касающихся функционирования средств защиты информации, и расследованиях фактов (попыток) несанкционированного доступа.