Кого назначить ответственным по персональным данным (ПДн)?
Может ли системный администратор быть ответственным за организацию обработки персональных данных?
Вопросы по теме
Комплекс услуг по обеспечению информационной безопасности предприятия. Подключение к ГИС: АИСТ ГБД, ЕГИСМ и др.
Узнать больше
Оператор, являющийся юридическим лицом, самостоятельно назначает лицо, ответственное за организацию обработки персональных данных, поэтому ответственным может быть назначен любой сотрудник организации.
Другой вопрос, сможет ли системный администратор выполнять функции и обязанности, возложенные на ответственного за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Исполнение функции ответственного зачастую связано с подготовкой организационно-распорядительной документации и требует знания соответствующих нормативных документов. Наиболее оптимальным вариантом является назначение на роль ответственного за организацию обработки персональных данных сотрудника юридической службы, а при отсутствии таковой сотрудника отдела кадров.
Системный администратор больше подходит для исполнения роли ответственного за обеспечение безопасности персональных данных в информационной системе, так как владеет информацией о структурно-функциональных характеристиках информационной системы и применяемых в ней информационных технологий.
Схожий вопрос: большинство инструкций и генерируемый Контур пакет документов в том числе предполагают, что ответственным за безопасность ПДн является сотрудник компании, а как быть тем компаниям, которые пользуются услугой системного администрирования на аутсорсе (настройками политик, домена, рабочих станций, антивируса и т.п. занимается сторонняя организация)? Кого в этом случае назначать ответственным за безопасность ПДн, другую организацию?