воскресенье, 31 июля 2011 г.

Оператор обязан назначить лицо, ответственное за организацию обработки ПДн



   В законе о ПДн появилась достаточно интересная статья 22.1 «Лица, ответственные за организацию обработки персональных данных в организациях».
   В прошлой редакции закона оператор мог (но не был обязан) назначать лицо, ответственное за защиту ПДн. В нынешней редакции имеем:
«1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.
3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.
4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов».
   Таким образом, получается, что оператор фактически обязан назначить лицо, ответственное за организацию обработки ПДн. При этом, данное лицо подчиняется непосредственно исполнительному органу оператора и занимается фактически только контролем исполнения законодательства, повышением осведомленности сотрудников оператора и взаимодействовать с субъектами при их обращении к оператору.
   На кого будет возложена данная функция? Первое, что приходит в голову, так это сотрудник кадровой службы. Так что, придется кадровикам заниматься повышением осведомленности сотрудников своей организации и отбиваться от запросов субъектов. Естественно, ни о каких дополнительных вакансиях, особенно в гос.организациях, речи быть не может.

15 комментариев:

  1. Тут кроется иная мега проблема. "Лицо" может быть как физическим, так и юридическим. И если с первым все в принципе понятно и относительно логично, то со вторым... то-то попросил обработчика - вот и рассмотрим его в этом контексте. Итак, Оператор-юрлицо заключил договор на обработку персональных данных с обработчиком-юрлицом.
    По-шагово:
    1. реализация п. 1 статьи 22.1: заключаем договор в котором назначается лицо (а это у нас обработчик-юрлицо), которое отвечает за обработку (оставлю за кадром вопрос параллельного назначения физлица у оператора - этого может и не быть).
    2. реализация п. 1 статьи 22.1: обработчик-юрлицо становится не только зависимо от оператора по договору (читаем, что оператор его обязал в статье 6), но и обязан выполнять его указания. И самое интересное, обработчик-юрлицо становится подотчетным оператору-юрлицу. При буквальном прочтении - во всем. В назначениях, в расходовании средств и т.д. Читаю - как есть.
    3. п. 3 статьи 22.1 - логичный.
    4. часть 1 п. 4 статьи 22.1 - обработчик-юрлицо становится надсмоторщиком над оператором-юрлицом! И это при п. 2 статьи 22.1!
    5. часть 2 п. 4 статьи 22.1 - обработчик-юрлицо обязан обучать сотрудников оператора-юрлица!
    6. часть 3 п. 4 статьи 22.1 - логично и неоспоримо. Ведь именно обработчик-юрлицо работает с субъектами ПДн. Только делать он должен это на обе организации.

    Вывод: господа придумщики поправок (и их инициаторы) - что же Вы натворили?! Как нам теперь жить????? Ведь лицо в этой статье специально было оставлено, чтобы задействовать институт обработчика. Только когда 2-4 пункты писали немножко об этом забыли.

    ZZubra

    ОтветитьУдалить
  2. 2 ZZubra

    Вы видимо перепутали лицо организующее обработку и лицо осуществляющее обработку ;)

    Обработчик не организует обработку, потому у него не может быть лица отвественно за организацию обработки (естественно касается целей по которым он обработчик) и он не может быть этим лицом.

    На счет возложения внутреннего контроля на лицо организующее обработку я был против - нельзя, чтоб кто-то контролоировал сам себя...

    ОтветитьУдалить
  3. Название статей не есть норма. Норма в самих статьях. А я про обработчика и не говорю ))) я про оператора из первого пункта. Пока Вы меня даже не поколебали. :)
    ZZubra

    ОтветитьУдалить
  4. 2 ZZubra

    Неправильная логика в:

    >4. часть 1 п. 4 статьи 22.1 - обработчик-юрлицо становится надсмоторщиком над оператором-юрлицом! И это при п. 2 статьи 22.1!
    >5. часть 2 п. 4 статьи 22.1 - обработчик-юрлицо обязан обучать сотрудников оператора-юрлица!
    >6. часть 3 п. 4 статьи 22.1

    Необходимо поменять местами оператора и обработчика в этих пунктах

    За все отвечает оператор. Обработчик отвечает лишь за исполнение требований __установленных оператором__
    И с жалобами обязан работать оператор (даже если он вообще не осуществляет обработку), а не обработчик.

    ОтветитьУдалить
  5. Вы все правильно говорите. Но в соответствии с иными статьями. А тут написано именно так. Я же читаю как написано, а не так как хотели.

    Это еще один камень в огород. Как это коллизии внутри ФЗ между статьями возникли.

    У меня уже 8 уровень нирваны по этому изменению ФЗ. )))))

    ZZubra

    ОтветитьУдалить
  6. Вся проблема в словах и понятиях. "ЛИЦО" - в законах - это и физическое и юридическое, если иное не оговорено специально. И теперь ... (делайте) как хотите.

    Спасибо за копипасты из европейского законодательства. Без учета нашего.

    ZZubra

    ОтветитьУдалить
  7. 2 ZZubra

    >Вы все правильно говорите. Но в соответствии с иными статьями

    Естественно с другими статьями - а точнее всегда пляшем из определения оператора ПДн ;)

    >Как это коллизии внутри ФЗ между статьями возникли

    Коллизий между статьями действительно хватает. Но не в указанном Вами.

    Например по тому же определению оператора ПДн: нашел РКН неправильно обрабатываемые ПДн и дал предписание их уничтожить - и, сразу, стал одним из операторов организующих обработку этих ПДн, а бывший оператор стал ЛООПДППО по этой цели :lol:

    >"ЛИЦО" - в законах - это и физическое и юридическое, если иное не оговорено специально. И теперь ... (делайте) как хотите.

    Если не для собственных нужд (см. п.1 ст.2 куда ЗоПД не распространяется), то физик тоже может быть оператором. И, соответственно, на эти цели на него __в полном объеме__ распространяется ЗоПД.

    ОтветитьУдалить
  8. Так не честно. Я Вам про одну статью говорю, а Вы все время на другие показываете. Четко по статье 22.1. Не путайте понятия. В ней все указано. Читаю только как написано.

    Лицо - не ФЗ ФЗ152 лицо, а вообще во всех законах "ЛИЦО" - это И физическое И юридическое, если иное не оговорено специально.

    Если хотели бы "законотворцы" написать эту статью про работника оператора, они бы так и написали. А тут юридическая дефиниция "ЛИЦО". И я рассмотрел вариант с юридическим.

    ОтветитьУдалить
  9. >Четко по статье 22.1.

    Еще раз.

    Оператор (пофиг юрик или физик) назначает лицо ответственное за __организацию__ обработки.
    Если это должностное лицо, то он так и остается оператором.
    Если это иное лицо (не важно физик или юрик), то имеем аутсорсинг организации обработки и, соотвественно, это лицо становится сооператором (т.е. оператором организующим совместно с первым оператором), а не обработчиком (ЛООПДППО). При этом обязанности оператора с первого оператора никто не снимает.

    Обработчик (ЛООПДППО) обрабатывает, а не организует обработку и подчиняется (в рамках поручения оператора) оператору/операторам

    ОтветитьУдалить
  10. Действительно, масло масленное получается. Всего из двух понятий из статьи 22.1 "оператор" и "лицо, ответственное за организацию обработки персональных данных" можно путем простых логических рассуждений сделать еще несколько "обработчик (ЛООПДППО)", "сооператор" и т.п. Все смешалось в доме Облонских. Скоро появится понятие "сообработчик" и т.п.

    ОтветитьУдалить
  11. 2 Игорь

    ЛООПДППО (обработчкик) - это из ст.6

    Сооператор - это уже мое извращение из того, что в п.2 ст.3 определено, что организацию обработки могут делать совместно несколько лиц ;)

    Чтож поделаешь, что никак нельзя рассматрвивать одну статью без привязки ко всему остальному ЗоПД и вообще нормативной базе РФ

    ОтветитьУдалить
  12. Огромное количество людей будет читать так, как я читал. Вот увидите.

    ОтветитьУдалить
  13. >Огромное количество людей будет читать так, как я читал. Вот увидите

    Не удивлюсь ;)

    Хорошо бы только этим вопросом все бы и ограничилось. Но в измененном варианте действительно хватает так и не устраненных проблем. И это не считая 19 статьи и всего с нtq связанного...

    И именно потому в "письме пяти" предлагалось вынести на __общественное обсуждение__ - т.к. кулуарное показало, что взамен одних нестыковок вносятся другие...
    Тот же пример с ИСПДн, который так и не удалось выправить: ИСПДн - это прежде всего сейчас база данных. В ЗоПД определения нет, но есть в ГК РФ. И база данных, по этому определению, может быть только для обработки на СВТ. Соответственно картотеки, хранилища личных дел и прочее не могут быть ИСПДн (как и не могли быть до того - привет ПП687)

    Или Вы можете объяснить что такое "предполагаемыем пользователи ПДн" (п.3 ч.3 ст.18)?

    ОтветитьУдалить
  14. Интересно, как же кадровик сможет компетентно быть ответственным за обработку ПДн? Не думаю, что он сможет вдаваться в такие тонкости, как это описано здесь http://infowatch.livejournal.com/235162.html?view=4155802#t4155802 А между тем, проблема достаточно серьезная – ведь, по сути, в посте сказано, что ДЛП от Макафи нельзя использовать для работы с документацией на русском языке.

    ОтветитьУдалить
  15. Уважаемые специалисты. Прошу помочь разобраться вот в таком вопросе. Например, имеется Управление Федеральной службы по субъекту РФ (пусть будет налоговой). ИСПДн ну уж очень много: кадры, бухгалтерия, и самая большая испдн - данные физических лиц. Как здесь быть с назначение ответственного лица?
    Согласно Указу Президента Российской Федерации от 30 мая 2005 г. N 609 Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела - Представитель нанимателя определяет лиц, как правило, из числа работников кадровой службы государственного органа, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных гражданских служащих в государственном органе и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных, т.е. за организацию обработки ПДн госслужащих ответственны отделы кадров. Но есть ещё и другие ИСПДн... Получается, что таких ответственных нужно несколько.

    ОтветитьУдалить