Оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных, определяют цели такой обработки, состав подлежащих обработке персональных данных, а также перечень совершаемых с ними действий (операций) (п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»). Например, организация является оператором персональных данных в отношении своих сотрудников и иных физлиц, чьи данные получает.
Оператор-юрлицо обязан назначить ответственного за организацию обработки персональных данных (ст. 22.1 Федерального закона N 152-ФЗ). Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
В связи с этим организации нужно издать:
- приказ о назначении лица, ответственного за организацию обработки персональных данных (п. 1 части 1 ст. 18.1, часть 1 ст. 22.1 Федерального закона N 152-ФЗ).
Таким лицом может быть любой работник организации, например специалист отдела по управлению персоналом. Главное, чтобы он смог выполнять вышеуказанные обязанности;
- приказ об утверждении перечня лиц, которые отвечают за обработку персональных данных (абз. 6 ст. 88 ТК РФ).
Ответственных за обработку персональных данных назначают приказом. Помимо прочего, в нем надо определить, с какой информацией работает конкретное лицо (группа лиц). Доступ надо ограничить теми персональными данными, которые необходимы для выполнения конкретных функций (ст. 88 ТК РФ).
Рекомендуем у всех этих лиц взять письменное обязательство о неразглашении (соблюдении конфиденциальности) персональных данных, учитывая абз. 4 ст. 88 ТК РФ, часть 3 ст. 6 Федерального закона N 152-ФЗ.
Образцы приказов и обязательства смотрите в Типовой ситуации: Персональные данные работников: понятие, обработка, защита и передача (Издательство «Главная книга», 2025) {КонсультантПлюс}.
Также смотрите форму: Должностная инструкция ответственного за обработку персональных данных (Подготовлен для системы КонсультантПлюс, 2025).
На заметку: новый раздел «Всё о персональных данных» на нашем сайте поможет проверить, готова ли ваша компания к проверке Роскомнадзора.
Если ответственный за персональные данные сменился, то необходимо подать уведомление об изменении сведений в Роскомнадзор. Подробнее рассказано в обзоре на нашем сайте.
Читайте подробнее
Бухгалтерам
Кадровикам
