Утверждение инструкции должностного лица, ответственного за организацию обработки персональных данных

1. Общие положения
1.1. Ответственный за организацию обработки персональных данных в [наименование организации] (далее – Ответственный) назначается приказом [наименование организации] (далее – Общество) и отвечает за организацию, обеспечение своевременного и квалифицированного выполнения работниками Общества законодательства Российской Федерации о персональных данных (далее – ПДн), в том числе требований к обработке и защите ПДн.
1.2. Ответственный должен знать нормы действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности ПДн.
1.3. В своей деятельности Ответственный руководствуется Политикой в отношении обработки персональных данных в [наименование организации], настоящей Инструкцией.

2. Основные функции и обязанности ответственного за организацию обработки персональных данных
Функции Ответственного:

2.1. Ответственный изучает все стороны деятельности Общества и вырабатывает рекомендации по организации обработки ПДн при решении следующих основных вопросов:
– организация доступа к ПДн и учет работников Общества, допущенных к обработке ПДн, как в программных комплексах, входящих в состав информационных систем персональных данных, так и на бумажных носителях;

– контроль за поддержанием в актуальном состоянии действующих локальных актов, журналов и форм учета по работе с ПДн;

– контроль за обеспечением соответствия проводимых работ в части обработки ПДн технике безопасности, правилам и нормам охраны труда;

– организация работы по заключению договоров на работы по защите ПДн;

– контроль за поддержанием в актуальном состоянии уведомления об обработке ПДн;

– рассмотрение предложений по совершенствованию действующей системы защиты ПДн, предоставленных Ответственным за обеспечение безопасности ПДн в информационных системах персональных данных Общества;

– осуществление в пределах своей компетенции иных функций в соответствии с целями и задачами Общества.

Ответственный обязан:

2.2. Знать цели обработки ПДн в Обществе и перечень обрабатываемых ПДн;
2.3. Соблюдать требования Политики в отношении обработки персональных данных в [наименование организации] и иных локальных актов Общества, устанавливающих порядок работы с ПДн;
2.4. Обеспечивать доведение до сведения работников Общества норм действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности ПДн, локальных актов Общества по вопросам обработки ПДн;
2.5. Осуществлять внутренний контроль за соблюдением работниками Общества норм действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности ПДн;
2.6. Контролировать ведение документации, предусмотренной локальными актами Общества в части обеспечения безопасности ПДн;
2.7. Обеспечивать доработку нормативно-методических документов по защите ПДн Общества;
2.8. Расследовать нарушения по вопросам защиты информации, имевшие место, разрабатывать предложения по устранению недостатков и предупреждению подобного рода нарушений;
2.9. Обеспечивать организацию проведения занятий со специалистами Общества по организационным вопросам обработки ПДн (проводить инструктаж работников, осуществляющих обработку ПДн и имеющих доступ к ПДн, обрабатываемым в Обществе);
2.10. Обеспечивать организацию приема и обработки обращений и запросов субъектов ПДн или их представителей по вопросам обработки ПДн и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов согласно п. 3 ч. 4 ст. 22.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
2.11. Осуществлять оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Обществом Федерального закона «О персональных данных», в соответствии с Правилами оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», утвержденными приказом Общества.

3. Права ответственного за организацию обработки персональных данных
Ответственный имеет право:

3.1. Знакомиться в установленном порядке с документами и материалами, необходимыми для выполнения возложенных на него задач;
3.2. Проводить проверки соблюдения режима обеспечения безопасности ПДн в структурных и (или) территориальных подразделениях Общества (при их наличии);
3.3. Требовать от работников Общества соблюдения требований Политики в отношении обработки персональных данных в Обществе, а также соблюдения требований действующего законодательства Российской Федерации в сфере (области) обработки и обеспечения безопасности ПДн;
3.4. Инициировать проведение служебных расследований по фактам нарушения установленных требований обработки ПДн;
3.5. Требовать от работников Общества письменных объяснений при проведении служебных расследований по вопросам нарушений требований по обработке и защите ПДн;
3.6. Давать работникам Общества обязательные для выполнения указания по обработке и защите ПДн, определяемые законодательством Российской Федерации и требованиями Общества;
3.7. Привлекать в установленном порядке специалистов, имеющих непосредственное отношение к рассматриваемым проблемам, для более детального изучения отдельных вопросов, возникающих в процессе работы.

4. Ответственность ответственного за организацию обработки персональных данных
Ответственный в соответствии с возложенными на него обязанностями несет ответственность за:

4.1. Несоблюдение требований локальных актов Общества, устанавливающих порядок работы с ПДн, в пределах, установленных трудовым договором (служебным контрактом);
4.2. Разглашение ПДн, в пределах, установленных действующим административным, уголовным и гражданским законодательством Российской Федерации.