Закон 152-ФЗ — все о защите и обработке персональных данных
16.03.2020
Правда, что «Любая информация об определяемом или определенном лице будет персональными данными»?
18.03.2020
Показать все

Кто должен обучать персонал по ПДн? Специализированная организация или назначенный за обработку персональных данных работник?

Защита персональных данных является на первый взгляд простым делом. Но при детальном изучении работник может столкнуться с вопросами, требующими более глубоких знаний в 152-ФЗ.

Как установлено ст. 196 ТК РФ необходимость подготовки работников (профессиональное образование и профессиональное обучение) и дополнительного профессионального образования определяет сам работодатель.

Согласно законодательству в области персональных данных (далее — Закон о ПД, 152-ФЗ) оператор персональных данных (работодатель) обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ, в том числе назначать ответственного за организацию обработки персональных данных, применять правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии Законом.

В связи с назначением работника ответственным за обработку персональных данных, работник не обладающий специальными знаниями и навыками в области защиты ПД имеет право на дополнительное профессиональное образование. Это право закреплено в ст. 197 ТК РФ.

В вопросе автор не указал, как будут обрабатываться ПД: с использованием автоматизированных систем или без них. Поэтому рассмотрим оба варианта.

При варианте «без использования автоматизированных средств» возможно отправить работников на одно- двух дневные курсы, на которых будут разъяснены положения Закона о ПД, Постановления Правительства РФ № 687, и выдан сертификат, либо сам оператор персональных данных (работодатель) может разъяснить положения законодательства, при этом необходимо разъяснить работникам, а также собрать подписи в журнале проведения инструктажа. Законодательство не содержит в данном случае разъяснений и обязанности работодателя в отношении обязательного обучения. Вместе с тем оператор персональных данных несет ответственность за обработку персональных данных. И при привлечении к ответственности согласно ст. 13.11 КоАП одновременно могут привлечь и организацию,и виновное физическое лицо ( подробнее об ответственности за нарушение 152-ФЗ)

Обязанности обучения персонала по обработке персональных данных возложить на работника, назначенного ответственным за обработку ПД возможно только в том случае, если данные обязанности отражены в трудовом договоре и /или должностной инструкции. При этом, если указанных обязанностей не предусмотрено трудовым договором и /или должностной инструкцией, при наделении работника дополнительными обязанностями, работодатель обязан соблюсти требования ТК РФ и внести изменения в трудовой договор и/или должностную инструкцию согласно требованиям ТК РФ. В ином случае оснований обязать работника проводить обучение других сотрудников у работодателя не имеется.

При варианте с использованием автоматизированных систем следует обратиться не только к Закону о ПД, но и к Постановлению Правительства РФ № 79″О лицензировании деятельности по технической защите конфиденциальной информации». То есть, лицензия необходима организации, которая занимается технической защитой конфиденциальной информации (ТЗКИ).

Следует различать, в случае, когда организация не извлекает прибыль из ТЗКИ и указанной деятельности нет в уставе, получать лицензию не нужно.

Более подробно о получении лицензии можно узнать из положений ПП № 79, а так же проконсультировавшись по вопросам организации системы защиты персональных данных у команды ПДМастер

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *