Расширенный поиск
8 (800) 300-83-09 officeros@yandex.ru
Личный кабинет
Главная Авторские обзоры Позиция юрисконсульта Лицо, ответственное за обработку персональных данных в образ...
17 Июня 2025, 05:50
431
Версия для печати

Лицо, ответственное за обработку персональных данных в образовательной организации

В соответствии с п. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПД) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Согласно ч. 1 ст. 22.1 Закона о ПД оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

Соответственно, образовательной организации как оператору персональных данных необходимо назначить лицо, ответственное за их обработку.

По нашему мнению, лицо, ответственное за обработку персональных данных, должно быть назначено приказом руководителя образовательной организации или иного уполномоченного лица. Кроме того, с указанного ответственного лица необходимо взять обязательство о неразглашении персональных данных.

Вместе с тем, на основании ч. 4 ст. 22.1 Закона о ПД лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

  1. осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
  2. доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
  3. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Следовательно, Законом о ПД установлен перечень обязанностей лица, ответственного за организацию обработки персональных данных, однако указанный перечень не является исчерпывающим. Например, в обязанности названного лица следует включить обязанности работодателя, связанные с обработку персональных данных, предусмотренные трудовым законодательство РФ. 

В свою очередь, законодательством в области обработки персональных данных требования к лицу, ответственному за организацию обработки персональных данных, не установлены. В тоже время, полагаем, что назначаемое лицо должно:

  • относиться к числу руководителей, например руководитель отдела кадров, с целью более оперативного получения информации от структурных подразделений образовательной организации;
  • обладать достаточной квалификации для выполнения обязанностей, предусмотренных ч. 4 ст. 22.1 Закона о ПД.

Как следствие, несмотря на отсутствие обязанности оператора персональных данных обучить лицо, ответственное за обработку   персональных данных, по нашему мнению, с целью минимизации рисков нарушения законодательства, образовательной организации следует обеспечить проведение такого обучения.

Учитывая вышеизложенное, можно заключить, что образовательная организация самостоятельно назначает лицо, ответственное за организацию обработки персональных данных, при этом требования к такому лицу на законодательном уровне не установлены. Полагаем, что при выборе указанного лица образовательной организации следует руководствоваться квалификацией работника, а также при необходимости обеспечить прохождение им соответствующего обучения.

Одновременно с этим, в силу ч. 3 ст. 6 Закона о ПД оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о ПД, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о ПД.

В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 Закона о ПД, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона о ПД, в том числе требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 Закона о ПД.

Таким образом, образовательная организации вправе на основании договора поручить обработку персональных данных другому лицу, при этом лицо, персональные данные которого обрабатываются, должно дать соответствующее согласие.