Может ли директор по персоналу или кадровик быть ответственным за работу с персональными данными
Валентина Митрофанова
Этот вопрос часто встает в проектах по персональным данным. И я могу ответить ответственно – нет, не может.

Почему? Давайте размышлять.

Готовы ли вы ответить на вопросы Роскомнадзора:

  • достаточно ли у ответственного лица квалификации, чтобы построить систему информационной безопасности во всей компании, в том числе по работе с персональными данными в информационных системах?
  • наделено ли должностное лицо необходимыми полномочиями, чтобы, например, давать указания другим руководителям подразделений, которые обрабатывают персональные данные, включая бухгалтерию, маркетинг, клиентские службы, СБ, службы IT?
  • провела ли организация обучение, инструктаж ответственного лица?

И понятно, что максимум, на что мы можем ответить положительно — что мы директора по персоналу или кадровика чему-то обучили (кто обучал, чему обучал, какая квалификация у того, кто обучал) или провели инструктаж (кто проводил инструктаж? как проверялись знания? и т.д.).

А может ли директор по персоналу или кадровик:

  • сделать карту обработки ПД всех субъектов, включая клиентов, физических лиц, работающих по ГПХ, потенциальных клиентов, которые оставляют заявки на сайте компании и т.д.
  • сделать Политику по всей компании?
  • подать уведомление от имени всей компании, включая описание того, как организована работа с клиентами?
  • разработать акт оценки потенциального вреда?
  • разработать документ по оценке достаточности принятых мер во всей организации, включая информационную защиту?
  • и т.д.
▶ Читать статью Чем отличается лицо, ответственное за персональные данные от лица, допущенного к персональным данным
Поэтому и получается, что назначение директора по персоналу, кадровика ответственным за персональные данные является в большинстве своем фиктивным. Ни по уровню квалификации, ни по уровню полномочий в подавляющем большинстве компаний такие специалисты не могут выстроить систему работы с персональными данными во всей компании, да еще и проверять, и контролировать ее соблюдение.

Эти обязанности ближе к специалистам по информационной безопасности (если есть такие в компании) и по уровню «минус 1» от руководителя компании.

Конечно, за работу с персональными данными своего подразделения директор по персоналу должен отвечать, так же, как главный бухгалтер должен отвечать за работу с персональными данными своего подразделения, а руководитель службы IT — своего, так же, как и директор по маркетингу, и т.д.

Но выше них должен быть специалист, который может давать распоряжения всем указанным руководителям функций и, самое главное, уметь выстроить СИСТЕМУ по защите персональных данных.

Нельзя выстроить ее в управлении персоналом (кадрах) и на этом успокоиться. А как все организовано в IT-службе? А в бухгалтерии? А в продажах? А в маркетинге? И т.д.

Работать на защиту система будет только тогда, когда это система, а не одна ячейка системы.
Ну и просто напоминаю, что с июня штрафы за нарушения в случае утечки будут измеряться миллионами. Кому нужны конкретные цифры – см. 13.11. КоАП РФ.
АУДИТ ПЕРСОНАЛЬНЫХ ДАННЫХ

Внутренний аудит поможет выявить возможные риски по работе с персданными и минимизировать их, а руководитель сможет понять реальное положение дел в работе с персональными данными и принять меры по их защите. Это позволит быть всегда готовым к проверке Роскомнадзора и избежать многомиллионных штрафов

Обратите внимание, аудит – теперь обязательная часть защиты ПД. Каждая компания должна будет его проводить, чтобы доказать, что обеспечивает информационную безопасность (это будет влиять на размеры штрафов).

Особенно важно для компаний, которые передают персональные данные за рубеж, обрабатывают биометрические и специальные категории персональных данных, а также передают персональные данные третьим лицам

Мы более 20 лет проводим аудиты для бизнеса, в том числе аудиты персональных данных.
Всего за 3 дня мы дистанционно проведем аудит персональных данных в вашей компании, представим отчет по нарушениям и расскажем, как исправить ошибки и избежать штрафов.

Аудит проводит Валентина Митрофанова, эксперт по трудовому праву, практик с большим опытом бизнес-аудитов.

🎁 ПОДАРОК! Закажите аудит прямо сейчас и получите в подарок экспертизу согласия на обработку персданных

ОСТАВИТЬ ЗАЯВКУ НА АУДИТ
Обучение
Бизнес проекты
Услуги
Как нас найти
г. Москва, ул. Арбат 12, стр. 1, подъезд 1, оф. 215
Подписаться на новостные рассылки
© 2020 Валентина Митрофанова
Назад