Зачем компании сотрудник, который разбирается в законодательстве о ПД: 3 аргумента и пример из жизни
Мы используем файлы cookie. Оставаясь на сайте, вы подтверждаете, что ознакомлены и принимаете условия «Положения об обработке персональных данных» и даете согласие на обработку персональных данных метрическими программами.
Принимаю
Не разбрасывайте по офису флешки с персональными данными сотрудников и клиентов, обновляйте политику конфиденциальности и пользуйтесь российскими серверами.
Примерно так резюмируют мои статьи о работе с персональными данными читатели. А знаете, я и не против. Если после прочтения материала человек запомнил 10-15% содержания, это замечательно, точнее, лучше, чем ничего.
Сегодня копилочку ваших знаний о работе с ПД пополнят еще несколько важных мыслей. Речь пойдет не о бездушных серверах и устройствах, а о людях – тех, кто должен работать с информацией.
Примерно так резюмируют мои статьи о работе с персональными данными читатели. А знаете, я и не против. Если после прочтения материала человек запомнил 10-15% содержания, это замечательно, точнее, лучше, чем ничего.
Сегодня копилочку ваших знаний о работе с ПД пополнят еще несколько важных мыслей. Речь пойдет не о бездушных серверах и устройствах, а о людях – тех, кто должен работать с информацией.
Зачем обучать сотрудников работать с персональными данными
Согласно ФЗ «О персональных данных» оператор персональных данных обязан назначить ответственного за обработку персональных данных.
Некоторые руководители распределяют ответственность за обработку ПД на штат управленцев, дескать, ты собираешь флешки, ты переносишь таблицы из Google в Яндекс, а ты читаешь поправки к законам и отображаешь нововведения в политике конфиденциальности. Так делать нельзя, поскольку ответственный за обработку персональных данных может быть только один.
Узнав об этом, руководитель компании (особенно небольшой) находит наименее загруженного, на его взгляд, сотрудника. На хрупкие плечи работника ложится груз ответственности, скрываемый обнадеживающей фразой: «Погугли – делов на полчаса, ничего сложного».
Но, господа владельцы бизнесов, если бы работа с ПД была так проста, я не публиковала бы здесь серию объемных материалов, а штат юристов Legal Up не был бы загружен работой.
Так вот этот «наименее занятый» сотрудник (бухгалтер, HR, администратор, а в особо тяжелых случаях рядовой менеджер или консультант) начинает гуглить и понимает, что полчаса придется только приходить в чувства от осознания того, какой объем информации предстоит освоить и сколько нужно внедрить. Ведь ответственный за обработку ПД выполняет важные функции, в том числе:
Некоторые руководители распределяют ответственность за обработку ПД на штат управленцев, дескать, ты собираешь флешки, ты переносишь таблицы из Google в Яндекс, а ты читаешь поправки к законам и отображаешь нововведения в политике конфиденциальности. Так делать нельзя, поскольку ответственный за обработку персональных данных может быть только один.
Узнав об этом, руководитель компании (особенно небольшой) находит наименее загруженного, на его взгляд, сотрудника. На хрупкие плечи работника ложится груз ответственности, скрываемый обнадеживающей фразой: «Погугли – делов на полчаса, ничего сложного».
Но, господа владельцы бизнесов, если бы работа с ПД была так проста, я не публиковала бы здесь серию объемных материалов, а штат юристов Legal Up не был бы загружен работой.
Так вот этот «наименее занятый» сотрудник (бухгалтер, HR, администратор, а в особо тяжелых случаях рядовой менеджер или консультант) начинает гуглить и понимает, что полчаса придется только приходить в чувства от осознания того, какой объем информации предстоит освоить и сколько нужно внедрить. Ведь ответственный за обработку ПД выполняет важные функции, в том числе:
- контролирует соблюдение оператором и его работниками законодательства о ПД;
- знает закон «О персональных данных»;
- знает особенности применения закона в той сфере, в которой оператор ведет деятельность;
- доводит до сведения работников оператора положения законодательства о ПД, локальных актов по вопросам обработки ПД, требований к защите ПД;
- знает порядок рассмотрения обращений субъектов ПД и порядок взаимодействия с контролирующим органом;
- знает правила обращения с персональными данными и обучает им других сотрудников;
- создает и доводит инструкции по обращению с материальными носителями персональных данных;
- разрабатывает локальные нормативные акты (в том числе политику обработки персональных данных), актуализирует их.
Кто может стать ответственным за работу компании с ПД
Функции ответственного за обработку персональных данных разрешено совмещать с другой должностью. Это значит, что наименее загруженный сотрудник действительно может взять на себя такой труд. При этом в его должностных инструкциях необходимо закрепить новые обязанности.
Если в компании все загружены донельзя или все наотрез отказываются брать на себя функции ответственного за работу с ПД, то можно привлечь в качестве ответственного за обработку ПД другое юридическое лицо: закон позволяет это делать.
То есть оператор персональных данных вправе назначить ответственным своего же работника либо заключить договор со сторонними специалистами и доверить контроль обработки ПД им.
Если в компании все загружены донельзя или все наотрез отказываются брать на себя функции ответственного за работу с ПД, то можно привлечь в качестве ответственного за обработку ПД другое юридическое лицо: закон позволяет это делать.
То есть оператор персональных данных вправе назначить ответственным своего же работника либо заключить договор со сторонними специалистами и доверить контроль обработки ПД им.
Кто имеет право обрабатывать ПД
Такие полномочия есть не только у ответственного за обработку ПД. Ответственный всегда один, а обработку могут делать и другие работники (кадровики, бухгалтеры и т.д.).
Круг работников, обрабатывающих персональные данные, определяется приказом оператора ПД.
Вообще операторам нужно помнить, что:
Круг работников, обрабатывающих персональные данные, определяется приказом оператора ПД.
Вообще операторам нужно помнить, что:
- доступ к персональным данным должен быть у небольшого количества сотрудников;
- необходимо собирать только те сведения, которые действительно важны для достижения заявленных целей (подробнее об этом я говорила здесь, освежите в памяти).
Пример грубой ошибки в работе с ПД
Недавно мне попалась хорошая иллюстрация того, как незнание основ работы с ПД привело к штрафам.
Сотрудники Севастопольского регионального отделения Фонда социального страхования направили письмо законному представителю ребенка-инвалида. Это рядовое действие не вызвало бы резонанса, если бы на конверте не было указано то, о чем я сказала в предыдущем предложении. Да, они так и написали: законному представителю ребенка-инвалида. Сотрудники Фонда социального страхования распространили специальную категорию персональных данных, не получив на это письменного согласия. Итог: Фонд привлекли к административной ответственности (Четвертый кассационный суд дело № П16-280/2023).
В 2023 за подобные нарушения можно было получить штраф 30 000 рублей. В 2025 за аналогичную ошибку придется заплатить от 300 000 до 700 000 рублей (ч.2 ст. 13.11 КоАП РФ).
Чтобы в финансовой истории вашей компании не было печальных записей о штрафах за неправильную работу с ПД, нужно назначать и обучать ответственного и своевременно доводить до коллектива информацию обо всех нововведениях. Штрафы за недостаточную защиту персональных данных и утечки будут только расти. РКН не сжалится над вашей компанией, даже если в ней работает три человека, а ее годовой оборот составляет 1 млн рублей. В законе нет поблажек для малого бизнеса: даже микропредприятия должны иметь ответственного за обработку персональных данных и обучать правильной работе сотрудников, обрабатывающих ПД.
Разумеется, вы всегда можете обратиться к юристу по защите персональных данных для решения ситуативных задач и/или воспользоваться услугой сопровождения бизнеса: выгоднее прийти за помощью, чем платить штраф.
Сотрудники Севастопольского регионального отделения Фонда социального страхования направили письмо законному представителю ребенка-инвалида. Это рядовое действие не вызвало бы резонанса, если бы на конверте не было указано то, о чем я сказала в предыдущем предложении. Да, они так и написали: законному представителю ребенка-инвалида. Сотрудники Фонда социального страхования распространили специальную категорию персональных данных, не получив на это письменного согласия. Итог: Фонд привлекли к административной ответственности (Четвертый кассационный суд дело № П16-280/2023).
В 2023 за подобные нарушения можно было получить штраф 30 000 рублей. В 2025 за аналогичную ошибку придется заплатить от 300 000 до 700 000 рублей (ч.2 ст. 13.11 КоАП РФ).
Чтобы в финансовой истории вашей компании не было печальных записей о штрафах за неправильную работу с ПД, нужно назначать и обучать ответственного и своевременно доводить до коллектива информацию обо всех нововведениях. Штрафы за недостаточную защиту персональных данных и утечки будут только расти. РКН не сжалится над вашей компанией, даже если в ней работает три человека, а ее годовой оборот составляет 1 млн рублей. В законе нет поблажек для малого бизнеса: даже микропредприятия должны иметь ответственного за обработку персональных данных и обучать правильной работе сотрудников, обрабатывающих ПД.
Разумеется, вы всегда можете обратиться к юристу по защите персональных данных для решения ситуативных задач и/или воспользоваться услугой сопровождения бизнеса: выгоднее прийти за помощью, чем платить штраф.