«Исходя из объема бизнеса и данных граждан, которые обрабатываются в организации, это должно быть или структурное подразделение, или ответственное лицо либо несколько лиц. Кто это может быть? 80% работы ответственного лица — это юридическая составляющая. Поэтому категорически неверно определять единственным ответственным человека, который занимается информационной безопасностью либо администрированием сетей и ресурсов. Этот человек не справится с той работой, которую должен выполнить ответственный согласно законодательству», — сказал директор центра.
Неправильно возлагать ответственность и на тех людей, кто непосредственно обрабатывает персональные данные, например работников кадровых служб, потому что возникает конфликт интересов, считает Андрей Гаев.
Если это не структурное подразделение, то в первую очередь ответственным за работу с персональными данными должен быть юрист. Вторым ответственным может быть системный администратор.
В качестве примера Гаев привел организацию процесса в центре защиты персональных данных, где ответственный за них — человек с базовым юридическим образованием, но который интересуется IT-сферой и обладает определенными знаниями в ней.
