Здравствуйте, подскажите пожалуйста - существует ли закрепленное на законодательном уровне требование к уровню образования/опыту/подготовки сотрудника, назначаемым администратором безопасности в организации? ИС ПДн УЗ 3,4. Если да, поделитесь ссылкой на источник. Спасибо.

Если заниматьс, буквоедство м, то согласно ПП РФ 1119 для уз.3 назначается "лицо, ответственное за обеспечение безопасности персональных данных в информационной системе". Исходя из этого его должностные обязанности должны содержать определенный функционал и исходя из этого функционала вытекают требования к образованию.

Да, я с Вами согласна. Меня интересует в первую очередь требования регулятора, подтвержденное в  ПП. Получается, назначить исполняющим обязанности АБ(например замдира) можно любого сотрудника, и это не буде являться нарушением действующего законодательства? и второй момент, может ли быть АБ сотрудник другого ЮЛ (например по договору оказания услуг)?

или АБ может быть только штатный сотрудник?

В рамках 152-фз и ПП РФ, модно назначить кого угодно на усмотрение владельца в рамках границ логики, главное чтобы их название совпадало с трактовкой в нормативных актах. Если речь идёт про ИСПДн ( ПК и сервера и т.п.) то резоннее назначить данным лицом ( понятие лицо...взято из ПП РФ 1119) ответственного за администрирование. Со стороны тоже можно взять, прописав соответствующие зоны ответственности в договоре.

АБ это более широкое понятие, которое выходит за границы обработки Пдн.

​​📣 Публичный семинар для операторов персональных данных

К сожалению, в этом году Роскомнадзор (по понятным причинам) был скуп на общение с операторами персональных данных и другими, заинтересованными в корректной реализации Федерального закона «О персональных данных» специалистами, да и просто гражданами.

Совершенно неожиданно 26 ноября 2020 года в Роскомнадзор планирует провести публичный семинар для операторов персональных данных по итогам контрольно-надзорной деятельности ведомства за 9 месяцев 2020 года.

⚠️ На мероприятии планируется секция вопросов и ответов, поэтому есть возможность заранее (до 20 ноября) направить свой вопрос, чтобы получить наиболее проработанный ответ.
➡️ E-mail: для направления вопросов: event@rspectr.com

⚠️ Участие в мероприятии бесплатное, но необходима предварительная регистрация.

Лицо, ответственное за организацию обработки персональных данных должно получать указания непосредственно от исполнительного органа оператора и быть ему подотчетно (ч. 2 ст. 22.1 Закона 152ФЗ). Обязанности лица, ответственного за обработку персональных данных, установлены в ч. 4 ст. 22.1 Закона. Если кратко: внутренний контроль, обучение сотрудников, прием и обработка обращений от субъектов ПДн. При передаче функции "на сторону" вылазит очень много ньюансов, от согласия на передачу ПДн третим лицам до наличия лицензии на ТЗКИ.

Назначение отв лица и согласие на передачу Пдн никак не взаимосвязаны! Он может вообще не иметь доступа к Пдн работников организации.  Лица ответственные и  указанные в нормах 152-фз и ПП РФ 1119 никак не взаимосвязаны. Деятельность лицензируется только в случае оказания услуг по установке и обслуживанию средств защиты информации, проведения аттестации и несёт ответственность лицо, которое оказывает такие услуги не имея лицензии.

Вопрос - можно ли привлекать со стороны лиц как в рамках уз 3  ПП РФ 1119 так и в рамках ст. 18 ФЗ 152-фз можно, ограничений нет.

В этом и суть. Назначить можно кого угодно,  а подтвердить выполнение им функций, в соответствии с законодательством, уже не получится. Уже обжигались в ходе контроля.

В качестве примера: как осуществить "прием и обработку обращений от субъектов ПДн" без доступа к ПДн? А это одна из функций ответственного лица

Лица, ответственные за организацию обработки ПДн - все штатные сотрудники. Заминка -  в части назначений администраторов  безопасности(. Они есть де факто, но де юре - трудоустроены в разных ЮЛ.

просматривается два варианта, или устраивать их совместителями, или вводить дополнительный документооборот в части организации предоставления услуг ЮЛ по администрированию.

по доступу к ПДн - доп.соглашение к договору об обеспечению защиты и не разглашению...

есть ещё конечно третий - в качестве АБ назначить штатного работника, но, как верно заметил коллега - доказать проверяющему, что условная Марьвановна знает и умеет - весьма проблематично.

Ну м отлично, для конторы требования выполнены, в случае утечки есть с кого спросить, в случае проверки - есть что показать

Не вижу препятствий, законодательно не определено какие запросы он должен рассматривать, а в локальных актах можно прописать все что угодно

Возьмите за основу административный регламент проверки Роскомнадзора и от него отталкиваетесь. Сверх того что в нем прописано проверить не могут( не имеют права).

Спасибо за помощь!