Как документировать отчёт ответственного за ПДн

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Отчёт ответственного за организацию обработки персональных данных лучше всего оформлять в письменном виде как внутренний документ организации. Закон прямо не устанавливает его форму и периодичность, но наличие таких отчётов подтверждает, что работа по контролю действительно ведётся, а назначение ответственного не является формальным.

Обоснование по законодательству

Федеральный закон № 152-ФЗ «О персональных данных»:

• ст. 22.1 ч. 3 — ответственное лицо обязано обеспечивать соблюдение требований законодательства и информировать работников;

• ст. 18.1 ч. 1 — оператор должен принимать меры по обеспечению выполнения обязанностей, включая контроль.

Таким образом, отчётность — это форма фиксации выполнения обязанностей, которая может быть предъявлена при проверке Роскомнадзора.

Типичные ошибки организаций

— Не ведут никаких отчётов, ограничиваясь приказом о назначении ответственного.
— Оформляют отчёт в устной форме без фиксации на бумаге или в электронном документе.
— Пишут слишком общо («нарушений нет»), без конкретных данных и проверок.
— Не определяют периодичность и порядок представления отчётов руководителю.

Особенности применения на практике

В малых компаниях отчёт может быть кратким и предоставляться раз в год. В более крупных организациях целесообразно делать квартальные отчёты. В документе фиксируют:

• перечень проведённых мероприятий (обновление политики, инструктаж сотрудников, проверка журналов согласий и актов об уничтожении ПДн);

• выявленные нарушения или риски;

• принятые меры и предложения по улучшению системы защиты ПДн;

• сведения о запросах субъектов ПДн и о предоставленных ответах.

Документ подписывается ответственным и направляется руководителю. На отчёте можно проставлять резолюцию («Принято к сведению», «Согласен»).

Рекомендации и выводы

Оформляйте отчёт ответственного за ПДн как внутренний документ — письменный или электронный, с подписью. Определите периодичность (раз в квартал или раз в год), указывайте конкретные факты, мероприятия и выводы. Храните отчёты вместе с остальными документами по ПДн, чтобы показать Роскомнадзору, что в компании есть реальный контроль.

Если вы хотите, чтобы система работы ответственного была документально подтверждена и все отчёты соответствовали требованиям закона, закажите в ICTech разработку полного пакета документов по обработке персональных данных в организации. Мы подготовим для вас шаблоны отчётов, приказы, регламенты и обеспечим вашей компании готовность к любой проверке, снизив риск штрафов и претензий.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге