Назначение сотрудника головного офиса, расположенного на территории другого государства, лицом, ответственным за обработку ПДн в российской организации

Как быть с назначением ответственного за безопасность ПДн, если в российском юр.лице нет отдела IT / ИБ, а есть только в головной компании в Европе? Возможно ли указать в приказе, что функции ответственного за безопасность фактически исполняет соответствующий сотрудник головной компании?

Отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами регулируются Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ).

В соответствии с требованиями ч. 1 ст. 22.1 Федерального закона № 152-ФЗ оператор, являющийся юридическим лицом, должен назначить лицо, ответственное за организацию обработки персональных данных.

Действующие нормы Федерального закона № 152-ФЗ не содержат ограничений по кругу лиц, которые могу быть назначены ответственным за организацию обработки персональных данных в операторе, являющимся юридическим лицом.

Учитывая указанные обстоятельства, Вы имеете возможность назначить лицом, ответственным за организацию обработки персональных данных работника, не осуществляющего свою трудовую деятельность в отделе IT/ИБ, а также физическое лицо, осуществляющее свою трудовую деятельность в ином юридическом лице при условии соблюдения положений законодательства Российской Федерации и локальных нормативных актов.

Одновременно стоит обратить внимание на то, что принятие оператором решения о назначении указанных лиц должно быть осуществлено с учетом требований ч. 2-4 ст. 22.1 Федерального закона № 152-ФЗ.

Ответ подготовил Сергей Носуля (07.11.2020)