В соответствии с
п. 1 ст. 18.1 152-ФЗ, оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных. Часто в РФ такое лицо называют DPO (Data Protection Officer), хотя термин исходит из GDPR (
ст. 37).
Согласно
ч. 4 ст. 22.1 152-ФЗ к основным обязанностям DPO относится:
· ведение внутреннего контроля соблюдения оператором законодательства РФ о персональных данных (ПДн);
· доведение до сведения работников оператора положений нормативных актов (в т.ч. локальных) о ПДн;
· организация приема и обработки обращений и запросов субъектов ПДн (их представителей) и контроль за данными мероприятиями.
Также в качестве мировой практики можно обратить внимание на задачи DPO (
ст. 39 GDPR):
· консультирование работников компании в части исполнения требований законодательства при обработке ПДн;
· ведение контроля соблюдения требований GDPR, иных законов, а также локальных актов компании о ПДн;
· повышение осведомленности работников и их обучение компании в части обработки и защиты ПДн;
· предоставление консультаций при проведении в компании оценки воздействия на защиту ПДн (DPIA) и контроль проведения такой оценки;
· взаимодействие с надзорным органом в области обработки ПДн и представление в качестве контактного лица.
Законодательством РФ права DPO прямо не предусмотрены. При этом, в соответствии с
ч. 2 и ч. 3 ст. 22.1152-ФЗ, компания должна обеспечить:
· подотчетность DPO напрямую исполнительному органу организации;
· предоставление доступа к информации, указанной в
ч. 3 ст. 22 152-ФЗ.
Также исходя из лучших практик и
Руководства для DPO, рекомендуется предоставлять DPO следующие права:
· независимость и неприкосновенность при исполнении своих обязанностей;
· получение необходимых документов у подразделений компании для организации обработки и защиты ПДн;
· принятие совместно с руководством компании решений о приостановке работ в случае утечки ПДн;
принятие участия в выборе подрядчиков для проведения работ по защите ПДн.
#Privacy#ПолезноЗнать