Комментарии.org Комментарии Российского законодательства
Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
Материал представляет собой постатейный научно-практический комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных". В нем рассматриваются правоотношения, складывающиеся в процессе получения, хранения и обработки персональных данных на территории Российской Федерации.
Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях

Комментарий к статье 22.1

1. В случае если в качестве оператора выступает юридическое лицо, в том числе учреждение или иной государственный орган, одной из обязательных организационных мер по защите персональных данных субъекта является назначение ответственного за обработку таких персональных данных. В зарубежной практике подобные лица обычно именуются data protection officer. Как правило, такое лицо назначается приказом руководителя организации. При этом в соответствии с ч. 2 комментируемой статьи ответственное за организацию обработки персональных данных лицо получает указания непосредственно от руководителя и подотчетно ему. Закон не предъявляет каких-либо требований к квалификации такого лица. Как правило, таковым назначают менеджера по персоналу, так как трудовая функция этого специалиста предполагает непосредственное взаимодействие с личными делами и персональными данными работников организации. В случае отсутствия в штате оператора подходящих работников функции лица, ответственного за организацию обработки персональных данных, руководитель организации должен возложить соответствующим приказом на самого себя. Закон не предусматривает аналогичных положений специально о группах компаний: каждая из организаций, входящих в группу, должна иметь лицо, ответственное за организацию обработки персональных данных. Однако Закон и не требует, чтобы такое лицо было обязательно связано трудовыми отношениями с соответствующей организацией, поэтому вполне допустимо назначать в качестве такового сотрудника иной организации, а в конечном счете - даже одно лицо на всю группу компаний.
2. В ч. 4 комментируемой статьи дается примерный перечень функций лица, ответственного за организацию обработки персональных данных. К числу таких функций относятся три основные:
1) контролирующая - внутренний контроль за соблюдением оператором и его работниками законодательства о персональных данных;
2) информационная - информирование работников оператора о положениях законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, о требованиях к защите персональных данных;
3) коммуникационная - организация приема и обработки обращений и запросов субъектов персональных данных.
С целью обеспечения возможности выполнения вышеуказанных функций оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, аналогичные тем, которые предоставляются в Роскомнадзор перед началом обработки персональных данных (см. комментарий к ст. 22 настоящего Закона). При этом обязанность, предусмотренная в положении ч. 3 комментируемой статьи, является безусловной и не может быть заблокирована внутренними инструкциями и регламентами организации-оператора. Принимая во внимание вышеуказанные положения, можно назвать лицо, ответственное за организацию обработки персональных данных, своего рода "роскомнадзором" в рамках отдельно взятой организации.
3. Положения о лице, ответственном за организацию обработки персональных данных в организации, появились в поправках 2011 г. к Закону о персональных данных и являются следствием заимствования соответствующих положений из европейского законодательства. В этой связи имеет смысл обратиться к регулированию данного вопроса, которое содержится в Регламенте 2016 г. Первое, что обращает на себя внимание, - это введение риск-ориентированного подхода к реализации данной обязанности. Назначение лица, ответственного за организацию обработки персональных данных, не является безусловно обязательным для любого оператора - юридического лица. Обязательным оно является лишь для органов власти, за исключением судов; организаций, для которых обработка персональных данных составляет ядро их деятельности и сопряжена с систематическим и регулярным мониторингом деятельности значительного количества субъектов персональных данных; причем основным направлением деятельности оператора является широкомасштабная обработка персональных данных специальных категорий или сведений о судимости (ст. 37 (1) Регламента 2016 г.). При этом возможно назначение одного такого лица для целой группы компаний оператора. Главное, чтобы оно обладало специальными познаниями в области законодательства о персональных данных и могло выполнять возлагаемые на него контролирующие, информационные и коммуникационные функции.

Безымянная страница

Rambler's Top100
На правах рекламы:
Copyright 2007 - 2018 гг. Комментарии.ORG. All rights reserved.
При использовании материалов сайта активная гипер ссылка  обязательна!