1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.
4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
1. В случае если в качестве оператора выступает юридическое лицо, в том числе учреждение или иной государственный орган, одной из обязательных организационных мер по защите персональных данных субъекта является назначение ответственного за обработку таких персональных данных. В зарубежной практике подобные лица обычно именуются data protection officer. Как правило, такое лицо назначается приказом руководителя организации. При этом в соответствии с ч. 2 комментируемой статьи ответственное за организацию обработки персональных данных лицо получает указания непосредственно от руководителя и подотчетно ему. Закон не предъявляет каких-либо требований к квалификации такого лица. Как правило, таковым назначают менеджера по персоналу, так как трудовая функция этого специалиста предполагает непосредственное взаимодействие с личными делами и персональными данными работников организации. В случае отсутствия в штате оператора подходящих работников функции лица, ответственного за организацию обработки персональных данных, руководитель организации должен возложить соответствующим приказом на самого себя. Закон не предусматривает аналогичных положений специально о группах компаний: каждая из организаций, входящих в группу, должна иметь лицо, ответственное за организацию обработки персональных данных. Однако Закон и не требует, чтобы такое лицо было обязательно связано трудовыми отношениями с соответствующей организацией, поэтому вполне допустимо назначать в качестве такового сотрудника иной организации, а в конечном счете - даже одно лицо на всю группу компаний.
2. В ч. 4 комментируемой статьи дается примерный перечень функций лица, ответственного за организацию обработки персональных данных. К числу таких функций относятся три основные:
1) контролирующая - внутренний контроль за соблюдением оператором и его работниками законодательства о персональных данных;
2) информационная - информирование работников оператора о положениях законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, о требованиях к защите персональных данных;
3) коммуникационная - организация приема и обработки обращений и запросов субъектов персональных данных.
С целью обеспечения возможности выполнения вышеуказанных функций оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, аналогичные тем, которые предоставляются в Роскомнадзор перед началом обработки персональных данных (см. комментарий к ст. 22 настоящего Закона). При этом обязанность, предусмотренная в положении ч. 3 комментируемой статьи, является безусловной и не может быть заблокирована внутренними инструкциями и регламентами организации-оператора. Принимая во внимание вышеуказанные положения, можно назвать лицо, ответственное за организацию обработки персональных данных, своего рода "роскомнадзором" в рамках отдельно взятой организации.
3. Положения о лице, ответственном за организацию обработки персональных данных в организации, появились в поправках 2011 г. к Закону о персональных данных и являются следствием заимствования соответствующих положений из европейского законодательства. В этой связи имеет смысл обратиться к регулированию данного вопроса, которое содержится в Регламенте 2016 г. Первое, что обращает на себя внимание, - это введение риск-ориентированного подхода к реализации данной обязанности. Назначение лица, ответственного за организацию обработки персональных данных, не является безусловно обязательным для любого оператора - юридического лица. Обязательным оно является лишь для органов власти, за исключением судов; организаций, для которых обработка персональных данных составляет ядро их деятельности и сопряжена с систематическим и регулярным мониторингом деятельности значительного количества субъектов персональных данных; причем основным направлением деятельности оператора является широкомасштабная обработка персональных данных специальных категорий или сведений о судимости (ст. 37 (1) Регламента 2016 г.). При этом возможно назначение одного такого лица для целой группы компаний оператора. Главное, чтобы оно обладало специальными познаниями в области законодательства о персональных данных и могло выполнять возлагаемые на него контролирующие, информационные и коммуникационные функции.
Глава 5. ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ
ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ
ТРЕБОВАНИЙ НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА
