Ответ: Действующее законодательство не выдвигает особых требований к должности лица, назначенного ответственным за организацию обработки персональных данных. Однако исходя из буквального толкования положений ст. 22.1 Закона о персональных данных предполагается, что речь идет об ответственном лице в единственном числе. Таким образом, ответственным за обработку персональных данных может быть назначено одно лицо.
Для оптимальной организации процесса работы с персональными данными своих сотрудников и сотрудников контрагентов, работодатель должен издать приказ об утверждении перечня лиц, имеющих доступ к персональным данным сотрудников организации и сотрудников контрагентов.
Обоснование: Для защиты персональных данных работников работодатель должен создать комплект следующих основных документов:
1) приказ о назначении лица, ответственного за организацию обработки персональных данных работников (п. 1 ч. 1 ст. 18.1 Закона о персональных данных).
Действующее законодательство не выдвигает особых требований к должности лица, назначенного ответственным за организацию обработки персональных данных. Однако исходя из буквального толкования положений ст. 22.1 Закона о персональных данных предполагается, что речь идет об ответственном лице в единственном числе. Причем это лицо, согласно ч. 2 ст. 22.1 Закона о персональных данных, получает указания непосредственно от руководителя организации и подотчетно ему.
Ответственным за обработку персональных данных может быть любой работник организации, например, специалист отдела по управлению персоналом. Главное, чтобы он смог выполнять обязанности, перечисленные в ч. 4 ст. 22.1 Закона о персональных данных.
К обязанностям такого лица, в частности, относятся (п. 2 ч. 4 ст. 22.1 Закона о персональных данных):
- осуществление внутреннего контроля за соблюдением оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
- доведение до сведения работников оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.
Организация при назначении лица, ответственного за обработку персональных данных, должна указывать в приказе не только должность, но и Ф.И.О. конкретного работника.
2) положение о защите персональных данных работников или иной локальный нормативный акт, регулирующий порядок хранения, использования, обработки таких данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных);
3) приказ об утверждении перечня лиц, имеющих доступ к персональным данным работников. Такой приказ следует издать во исполнение требований абз. 6 ст. 88 ТК РФ.
Рекомендуем у всех этих лиц взять письменное обязательство о неразглашении (соблюдении конфиденциальности) персональных данных, учитывая абз. 4 ст. 88 ТК РФ, ч. 3 ст. 6 Закона о персональных данных.
Вы можете включить в этот комплект и другие необходимые для вас документы. Например, это могут быть журналы учета персональных данных, их выдачи и передачи другим лицам, представителям сторонних организаций и государственным органам.
В положении о защите персональных данных работников установите порядок работы с данными, перечень лиц, имеющих к ним доступ, правила хранения личных дел и других кадровых документов, способы защиты электронных документов. Утвердите положение приказом руководителя и ознакомьте с ним работников под роспись (ст. 88 ТК РФ, п. 15 Положения об обработке персональных данных).
Документы по данному вопросу из системы КонсультантПлюс: Путеводитель по кадровым вопросам. Персональные данные работников.