Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам , в частности, относится назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных.
Назначение ответственного лица за организацию обработки персональных данных является одним из обязательных требований законодательства Российской Федерации о персональных данных.
Ответственное лицо должно быть назначено руководителем организацией, которая собирает и обрабатывает персональные данные, и оно должно обеспечивать соблюдение требований законодательства о персональных данных.
Задачи лица ответственного за организацию обработки персональных данных:
- организация работы по защите персональных данных, включая разработку и внедрение политики безопасности персональных данных;
- обеспечение выполнения требований законодательства о персональных данных при обработке персональных данных;
- организация и контроль за соблюдением прав субъектов персональных данных;
- обучение сотрудников организации, работающих с персональными данными, требованиям законодательства о персональных данных;
- разработка и утверждение внутренних документов, регламентирующих обработку персональных данных;
- взаимодействие с уполномоченным органом по защите прав субъектов персональных данных;
- проверка соответствия обработки персональных данных требованиям законодательства о персональных данных.
Ответственное лицо должно иметь достаточный уровень компетенции и знаний в области законодательства о персональных данных, а также иметь возможность управлять процессом обработки персональных данных в организации.
Федеральный закон №152-ФЗ от 27.07.2006 «О персональных данных» не содержит требований к должности или квалификации такого работника. На практике ответственным лицом чаще всего назначают сотрудника отдела кадров, поскольку он и так по работе имеет доступ к персональным данным работников. Причем им может быть как руководитель отдела кадров, так и нижестоящий сотрудник. По выбору руководителя организации ответственным лицом может быть назначен и любой другой специалист в любой иной должности. Например, бухгалтер. Если такого сотрудника найти не удастся среди наемных работников, то руководитель организации может возложить на себя обязанности лица ответственного за организацию обработки персональных данных.