Алексей Ветров
Эксперт по защите данных IC-TECH
Да, документ об ответственности сотрудников обязателен. Согласно ФЗ-152, оператор обязан закрепить порядок доступа к персональным данным и обеспечить, чтобы каждый сотрудник, работающий с ПДн, понимал свою ответственность за нарушение правил обработки. Это не только мера внутреннего контроля, но и одно из требований Роскомнадзора при проверке.
Какие документы подтверждают ответственность сотрудников:
- Приказ руководителя — об утверждении правил работы с ПДн и введении их в действие.
- Инструкция по работе с ПДн — где описаны права и обязанности сотрудников, а также меры ответственности за нарушения.
- Обязательство о неразглашении ПДн — каждый сотрудник подписывает индивидуальный документ о сохранении конфиденциальности.
- Должностные инструкции — включают пункты о работе с ПДн и ответственности за нарушения.
- Журнал инструктажа — фиксирует факт ознакомления сотрудника с требованиями ФЗ-152 и локальных актов.
Какие документы подтверждают ответственность сотрудников:
- Приказ руководителя — об утверждении правил работы с ПДн и введении их в действие.
- Инструкция по работе с ПДн — где описаны права и обязанности сотрудников, а также меры ответственности за нарушения.
- Обязательство о неразглашении ПДн — каждый сотрудник подписывает индивидуальный документ о сохранении конфиденциальности.
- Должностные инструкции — включают пункты о работе с ПДн и ответственности за нарушения.
- Журнал инструктажа — фиксирует факт ознакомления сотрудника с требованиями ФЗ-152 и локальных актов.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан ограничивать доступ к ПДн и принимать внутренние акты, устанавливающие порядок обработки.
- Ст. 19 ФЗ-152 — оператор обязан принимать меры по предотвращению неправомерного доступа к ПДн.
- Ст. 90 ТК РФ — работники обязаны хранить в тайне персональные данные других лиц, ставшие им известными в связи с трудовой деятельностью.
- Ст. 81 ТК РФ — нарушение правил охраны труда и требований законодательства может служить основанием для увольнения, что распространяется и на ПДн.
Практика Роскомнадзора
На проверках РКН часто запрашивает у компаний подписанные обязательства сотрудников о неразглашении ПДн и журналы инструктажей. В одной организации сотрудники имели доступ к базе клиентов, но никаких документов об ответственности не подписывали — Роскомнадзор признал это нарушением. В другой компании были приказы, инструкции и подписанные обязательства — претензий не возникло.
Что важно учитывать
- Документ об ответственности должен быть индивидуальным для каждого сотрудника (подпись подтверждает ознакомление).
- Недостаточно просто прописать в политике — нужно оформить отдельные обязательства и включить пункты в должностные инструкции.
- Ответственность сотрудников должна коррелировать с общим регламентом безопасности ПДн в компании.
Рекомендации и выводы
Да, документ об ответственности сотрудников за ПДн обязателен. Чтобы соответствовать ФЗ-152 и требованиям Роскомнадзора:
- Подготовьте приказы и инструкции, закрепляющие обязанности и ответственность.
- Включите положения о ПДн в должностные инструкции.
- Обеспечьте подписание каждым сотрудником обязательства о неразглашении.
- Ведите журнал инструктажей и ознакомления с локальными актами.
Компания ICTech подготовит для вашей организации пакет документов по ответственности сотрудников за ПДн: инструкции, приказы, обязательства и формы учёта. Это поможет пройти проверку Роскомнадзора без нарушений.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
