Не все акты по персональным данным (ПДн) оформляются комиссионно. В ряде случаев достаточно подписи ответственного или исполнителя, но для некоторых процедур целесообразно или прямо требуется создавать комиссию и фиксировать подписи нескольких должностных лиц. Это связано с важностью действий и необходимостью подтверждения их достоверности.
Примеры актов, где требуется подпись комиссии
- Акт уничтожения ПДн — при уничтожении бумажных носителей или электронных данных обычно создаётся комиссия, которая фиксирует факт и способ уничтожения. Подписи комиссии служат доказательством, что данные действительно были ликвидированы.
- Акт обезличивания ПДн — если оператор применяет методы обезличивания, подтверждение комиссией гарантирует, что процедура выполнена корректно и без возможности восстановления данных.
- Акт расследования инцидента с ПДн — для объективности и исключения ошибок составляется комиссией (как минимум с участием ответственного за ПДн и представителей ИТ/безопасности).
- Акт проверки доступа к ПДн — часто оформляется комиссией, так как проверка доступа требует участия разных специалистов (кадры, ИТ, безопасность).
- Акт проверки журналов учёта ПДн — также желательно комиссионное оформление, чтобы подтвердить объективность и отсутствие предвзятости.
- Акт блокировки ПДн (в отдельных случаях) — если блокировка проводится по требованию Роскомнадзора или суда, лучше привлечь комиссию для фиксации корректности процедуры.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан осуществлять внутренний контроль и документировать действия.
- Ст. 19 ФЗ-152 — меры по обеспечению безопасности включают организационные документы, фиксирующие действия с ПДн.
- Подзаконные акты (например, Приказ ФСТЭК № 21 от 18.02.2013) прямо указывают на необходимость регистрации действий и привлечения ответственных лиц.
- Требования к комиссионным актам также вытекают из практики Роскомнадзора и методических рекомендаций.
Практика и подход Роскомнадзора
В одной компании уничтожение ПДн оформлялось актами, подписанными единственным ответственным. Проверка Роскомнадзора указала на необходимость комиссионного подтверждения, так как один человек не может достоверно подтвердить факт уничтожения. В другой организации акты об инцидентах и обезличивании подписывались комиссией из трёх человек — это было признано правильной практикой.
Что важно учесть
- Комиссия особенно необходима в тех случаях, когда действие необратимо (уничтожение, обезличивание) или когда требуется объективная оценка ситуации (инциденты, проверки).
- Состав комиссии определяется приказом руководителя: обычно включаются ответственный за ПДн, представитель ИТ/безопасности, представитель кадров или юрист.
- Для плановых проверок (журналы, доступ) наличие комиссии снижает риск претензий со стороны проверяющих.
Рекомендации и выводы
Да, ряд актов по ПДн должны оформляться именно комиссией. Чтобы действовать правильно:
- Утвердите приказом состав постоянной комиссии по ПДн.
- Определите перечень актов, требующих комиссионного подписания.
- Включите эти требования в регламент по работе с ПДн.
Компания ICTech поможет вашей организации подготовить шаблоны комиссионных актов (уничтожения, инцидентов, проверок и др.), а также разработать положение о комиссии. Это обеспечит корректное оформление документов и минимизирует риски при проверках Роскомнадзора.
