Юридический консалтинг для
фармацевтических и медицинских организаций

Обработка персональных данных клиентов

Кто из сотрудников организации имеет право работать с персональными данными клиентов? Каким внутренним нормативным актом назначается это лицо и на какой период?
 5 ноября 2013 г. 1024
 13 ноября 2013 г.
Пожалуйста, обращайте внимание на дату ответа – ситуация могла измениться.
Статьей 18.1. Федерального закона РФ от 27.07.2006 г. N 152-ФЗ «О персональных данных» (в ред. от 23.07.2013) определены меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных этим федеральным законом.
Так, организация, осуществляющая обработку персональных данных (оператор) обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных данным Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень таких мер. К таким мерам относятся назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
Таким образом, возможно издание руководителем компании приказа, которым  назначается ответственный сотрудник за осуществление мероприятий, по защите персональных данных. Специальных требований к такому сотруднику закон не предъявляет. Исходя из положений Закона такой сотрудник, как минимум, должен владеть навыками работы с кадровой и бухгалтерской документацией, а также разбираться в IT-технологиях. Он обязан постоянно контролировать обеспечение безопасности персональных данных, предусмотренной в ч. 2 ст. 19 Закона, - например, выявлять факты несанкционированного доступа к такой информации и принимать соответствующие меры.
Приказ об установлении списка лиц, имеющих право доступа к персональным данным необходим при осуществлении обработки персональных данных. Здесь целесообразно указать не только фамилии и должности уполномоченных работников, но и виды информации, доступ к которой они получают, а также ссылку на то, что полученные сведения могут быть использованы лишь для тех целей, для которых они сообщались (абз. 4 ст. 88 Трудового кодекса РФ). Специальных требований к таким сотрудникам законом также не установлено.
Законом предусмотрено ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников (пп.6 п.1 ст.18.1 Закона).
Законом не установлен период, на который назначаются вышеназванные сотрудники. Организация сама вправе определить срок, если считает это необходимым, на который назначаются сотрудники, ответственные за осуществление мероприятий по защите и непосредственно осуществляющие обработку персональных данных.
Автор ответа:
Юрисконсульт юридической компании «Юнико-94»
Н. И. Стрелкина
Удалить
Вопрос относится к темaм: