Выйти из системы

Сменить пользователя

Обработка и защита персональных данных: кто ответственный?

Недавно мы выступали на крупнейшем форуме директоров по информационной безопасности “CISO-FORUM 2023”. Там обсуждалась защита персональных данных и обновление ФЗ-152. В закрытом чате мероприятия коллега поинтересовался:

“Как правильно обосновать, что ответственный за организацию обработки ПДн и ответственный за обеспечение безопасности ПДн должны быть разные люди?”

Как это выглядит с точки зрения закона, разбираемся с Вероникой Нечаевой, нашим директором по информационной безопасности.

Кто такой “Ответственный за организацию обработки ПДн” 

Это штатный сотрудник, который решает, какие ПДн собирать, как их хранить и использовать. Назначается он на организацию в целом. Им может быть и руководитель, и главбух, и другой, назначенный на эту роль. 

За что он отвечает:

– за разработку и реализацию политики обработки ПДн;

– за ведение реестра обработки ПДн;

– за заключение договоров с операторами и обработчиками ПДн; 

– за обучение сотрудников правилам обработки ПДн.

Что ещё делает:

– определяет уровень доступа и ответственность лиц, участвующих в обработке ПДн;

– контролирует выполнение мер защиты информации, которые внедряет ответственный за обеспечение безопасности персональных данных;

– подписывает и утверждает разработанную ответственным за обеспечение безопасности персональных данных документацию.

Зоны ответственности и правила регулируются статьей 22.1 ФЗ №152. Как самостоятельно выполнить ФЗ-152 – рассказывали здесь.

Кто такой “Ответственный за обеспечение безопасности персональных данных”

Это штатный сотрудник, который заботится о том, чтобы ПДн не были утеряны.

Что он делает:

– разрабатывает и внедряет технические и организационные меры защиты от: 

  • несанкционированного доступа
  • утраты
  • разрушения
  • изменения 
  • блокирования 
  • копирования и распространения

– следит за их работоспособностью и устраняет уязвимости;

– реагирует на инциденты и оценивает риски;

– контролирует соблюдение требований по защите ПДн в подразделениях.
Ответственный назначается для информационных систем с 3 уровня защищенности. Зоны ответственности, правила и задачи описаны в постановлении правительства РФ № 1119 от 1.11.2012.

“Ответственный за организацию обработки ПДн – вышестоящее должностное лицо – руководитель предприятия, его заместитель, или заместитель, курирующий направление ИТ – тот, кто имеет возможность давать поручение, ставить задачи и т.д. НЕ руководящая должность НЕ МОЖЕТ БЫТЬ ответственной за организацию обработки ПДн

Ответственный за обеспечение безопасности персональных данных — это «рабочая голова, руки и ноги», который выполняет все работы, связанные с защитой ПДн”

– Вероника Нечаева, директор по информационной безопасности CORTEL

Об ответственности

Согласно ФЗ-152, оба лица несут ответственность за сохранение безопасности персональных данных. 

Пример 1:

Лицо, ответственное за обеспечение безопасности, проведя аудит внутри организации, пришло к лицу, ответственному за обработку ПДн с обращением купить средства защиты от несанкционированного доступа для АРМ. 

*Важно:

Все обращения должны быть зафиксированы, например, в форме служебной записки.

Однако лицо, ответственное за обработку ПДн, отказало в финансировании. 

В случае инцидента, при наличии доказательств, к ответу привлекут ответственного за организацию обработки ПДн. Если доказательств нет, ответственность понесут оба.

Пример 2:

Произошла утечка данных. Виной инцидента стал сотрудник, который передавал информацию по незащищённым каналам.


Ответственность понесёт и лицо, ответственное за организацию обработки персональных данных, и лицо, ответственное за обеспечение безопасности.

Пример 3:

Ответственный за обеспечение безопасности ПДн не провел корректную настройку средств защиты информации.

Через неделю ФСБ проверяет СЗИ. Если регулятор нашёл уязвимость, связанную с настройкой СЗИ, к ответу привлекут только лицо, ответственное за обеспечение безопасности.

Подробнее об ответственности за несоблюдение законодательства в сфере защиты персональных данных рассказывали здесь.

О том, как выполнить ФЗ-152 без головной боли, закупки оборудования и оформления документации – здесь.