Бесплатная консультация юриста в Москве
8 499 705-84-25
Поиск

Консультируйтесь с юристом онлайн

276 юристов готовы ответить сейчас
Ответ за 15 минут
276 юристов сейчас на сайте
  1. Категории
  2. Трудовое право

Защита персональных прав 152-фз

Кто может быть назначен ответственным за обеспечение защиты персональных данных?

С персональными данными граждан (как сотрудников, так и пациентов) работают: регистратура, статисты, бухгалтерия, непосредственно медперсонал, программное обеспечение.

Меня решили назначить "ответственным за обеспечение защиты". Я не хочу брать на себя такую ответственность.

Могу ли я отказаться? Какова процедура мероприятий согласно 152-фз?

05 Ноября 2013, 20:01, вопрос №286640 Екатерина
Свернуть

Ответы юристов (3)

  • Юрист - Крицков Юрий

    Ответственным за организацию обработки персональных данных может быть назначено любое лицо. Обычно это сотрудник бухгалтерии или кадровой службы.

    На счёт того можете ли Вы отказаться. В первую очередь это вопрос к Вашему трудовому договору, должностной инструкции и т.д.

    Если прямо включить в Ваши обязанности эту работу нельзя, то работодатель может или изменить условия Вашего трудового договора (с уведомлением Вас за два месяца и прочим соблюдением процедуры, предусмотренной ст. 74 ТК). 

    Или это может быть оформлено как дополнительная работа (ст. 60.2 ТК). Дополнительная работа может быть Вам назначена с Вашего согласия и за дополнительную оплату.

    В общем тут нужно знать подробности.

    На счёт мероприятий...

    Ну вообще лицо, ответственное за организацию обработки имеет широкий круг обязанностей и должно быть наделено не меньшими полномочиями для выполнения этих обязанностей.

    Основные положения следуют из ст. 22.1 закона о персональных данных.

    Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях

    1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

    2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

    3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.

    4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

    1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

    2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

    3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

    В реальности в крупной организации, особенно связанной с медициной (как следует из текста Вашего обращения) это очень большой объём работы, зачастую требующий специальных знаний.

    Это разработка внутренних нормативных документов (приказа об установлении списка лиц, имеющих право доступа к персональным данным с указанием кто на какой должности к какой информации и в каких случаях может иметь доступ; обязательство о неразглашении персональных данных для персонала; иных документов, положений, инструкций).

    Это контроль за соблюдением инструкций людьми и соответствием этих инструкций текущему законодательству.

    Отдельный вопрос — соответствие аппаратной части нормативным актам. Т.е. если персональные данные [я так понимаю в том числе медицинские персональные данные пациентов — специальная категория ПД] храняться на компьютерах, соответствуют ли эти компьютеры требованиям. Требуется ли для них сертификация, использование шифрования. Выполнены ли эти работы.

    В общем это довольно специфическая деятельность.

    05 Ноября 2013, 20:36
    Ответ юриста был полезен? + 1 - 0
    Свернуть

    Уточнение клиента

    Простите, я немного не так задала вопрос - не "за организацию обработки" , а за "обеспечение защиты". Я думаю, что это существенная разница.

    05 Ноября 2013, 21:36
  • Юрист - Крицков Юрий

    Да нет, Вы сразу написали «за обеспечение защиты». Просто в законодательстве такая должность не упомянута. Есть лишь должность «ответственный за организацию обработки».

    Вместе с тем.

    Обработка ПД - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

    Таким образом обеспечение защиты персональных данных это часть обработки. Значит «ответственный за обеспечение защиты» производная от ответственного «за организацию обработки», но с несколько ограниченным кругом задач.

    Фактически, если вернуться к тому, что в нормативных актах такой должности нет, для выяснения круга обязанностей человека, замещающего эту должность, нужно смотреть внутренние нормативные акты Вашей организации. Ту же должностную инструкцию ответственного.

    06 Ноября 2013, 08:26
    Ответ юриста был полезен? + 1 - 0
    Свернуть
  • Юрист - Петин Дмитрий

    Добрый день как правило, когда в организации создают систему защиты и безопасности персональных данных, то назначают ответственного за осуществление мероприятий по безопасности и защите персональных данных, данная формулировка следует из ведомственных приказов ФСТЭК.

    В дальнейшем в соответствии со ст. 22.1. ФЗ № 152 назначается ответственный за организацию обработки персональных данных (работников и пациентов в вашем случае)

    Если это распоряжение руководителя, то вы имеете право его не подписывать.

    06 Ноября 2013, 10:13
    Ответ юриста был полезен? + 1 - 0
    Свернуть

Похожие вопросы

stats