Должен ли ответственный участвовать в разработке локальных актов

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, ответственный за организацию обработки персональных данных должен участвовать в разработке и актуализации локальных нормативных актов. Хотя формально документы утверждает руководитель организации, именно ответственный обеспечивает их соответствие 152-ФЗ и контролирует их практическое применение. Без его участия велика вероятность ошибок или пробелов, которые могут привести к штрафам при проверке Роскомнадзора.

Обоснование по законодательству

Федеральный закон № 152-ФЗ «О персональных данных»:

• ст. 22.1 ч. 3 — ответственное лицо обеспечивает соблюдение законодательства о ПДн и информирует работников;

• ст. 18.1 ч. 1 — оператор обязан принимать правовые, организационные и технические меры по защите ПДн, в том числе утверждать локальные акты.

Таким образом, разработка и внедрение локальных актов — обязанность организации, а участие ответственного в этом процессе — необходимое условие их соответствия закону.

Типичные ошибки организаций

— Документы разрабатываются юристами или кадровиками без участия ответственного, в результате акты остаются «мертвыми» и не применяются на практике.
— Ответственного назначают, но локальные акты вообще не пересматривают под его работу.
— В актах нет раздела об обязанностях ответственного, поэтому он формально «есть», но юридически никак не закреплён.
— Организация использует «универсальные шаблоны из интернета» без учёта своей специфики и без согласования с ответственным.

Особенности применения на практике

Ответственный обычно участвует в подготовке следующих документов:

• политика по обработке ПДн;

• положение о защите ПДн;

• приказы о назначении ответственного и иных лиц с доступом к данным;

• регламенты хранения, уничтожения и передачи ПДн;

• формы согласий субъектов и журнал их учёта;

• инструкции по реагированию на инциденты;

• должностные инструкции сотрудников, работающих с ПДн.

Его участие заключается в согласовании проектов документов, внесении предложений и контроле внедрения.

Рекомендации и выводы

Ответственный должен участвовать в разработке и актуализации всех локальных актов по ПДн, так как именно он отвечает за практическое соблюдение закона внутри компании. Без его участия документы рискуют остаться формальными и неработающими.

Если вы хотите, чтобы все ваши локальные акты по персональным данным были оформлены правильно и учитывали реальные процессы в компании, закажите в ICTech разработку полного пакета документов по обработке персональных данных. Мы подготовим политику, регламенты, приказы и инструкции с учётом требований 152-ФЗ и особенностей вашей организации, чтобы у проверяющих органов не возникло претензий.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге