Обоснование по законодательству
Федеральный закон № 152-ФЗ «О персональных данных»:
-
ст. 18.1 ч. 1 — оператор обязан принимать меры по обеспечению выполнения требований закона, в том числе контроль;
-
ст. 22.1 ч. 3 — ответственное лицо обеспечивает соблюдение требований законодательства и информирует работников.
Это означает, что назначение ответственного не снимает с оператора обязанности контролировать его деятельность.
Типичные ошибки организаций
— Руководство назначает ответственного, но дальше не проверяет его работу.
— Проверку подменяют формальным отчётом без реальных фактов.
— Нет документа, подтверждающего результаты проверки (акта или отчёта).
— Не проверяют знания ответственного и его готовность к взаимодействию с Роскомнадзором.
Особенности применения на практике
Проверка может включать:
-
анализ отчётов ответственного (годовых или квартальных);
-
проверку ведения журналов согласий, актов об уничтожении, учёта запросов субъектов;
-
выборочную проверку выполнения обязанностей сотрудниками — ознакомление с политикой, подписание согласий;
-
проверку актуальности приказов, регламентов и политики по ПДн;
-
устное собеседование с ответственным по ключевым вопросам 152-ФЗ.
Результаты проверки фиксируются актом или служебной запиской руководителю.
Рекомендации и выводы
Работу ответственного за ПДн необходимо проверять регулярно — не реже одного раза в год. Проверка должна быть документально оформлена и включать анализ отчётов, журналов и локальных актов. Руководитель должен убедиться, что ответственный владеет ситуацией и может объяснить порядок работы с персональными данными.
Если вы хотите быть уверены, что проверка ответственного пройдёт без проблем и все документы будут в порядке, обратитесь в ICTech. Мы разработаем для вашей компании полный пакет документов по обработке персональных данных, подготовим формы актов и отчётов для ответственного и обеспечим систему внутреннего контроля. Это позволит вам показать Роскомнадзору, что работа ведётся не формально, а реально.
