Ответственный за обработку и защиту персональных данных в организации — ключевая фигура в системе обеспечения безопасности ПДн. Он обязан контролировать выполнение требований ФЗ-152 и локальных актов компании. Для этого у него должен находиться комплект документов, подтверждающий законность обработки и организацию мер защиты.
К таким документам относятся:
- Приказ о его назначении ответственным за ПДн.
- Политика компании в отношении обработки ПДн (опубликованная и внутренняя версия).
- Положение об обработке и защите ПДн.
- Перечень обрабатываемых персональных данных.
- Реестр согласий субъектов ПДн.
- Журнал учёта обращений субъектов ПДн и ответы на них.
- Порядок доступа сотрудников к ПДн и список сотрудников, имеющих доступ.
- Журналы инструктажей и обучений работников по ПДн.
- Планы реагирования на инциденты с ПДн и акты/протоколы при их возникновении.
- Переписка и уведомления в Роскомнадзор (о регистрации, об изменениях и др.).
- Договоры поручения на обработку ПДн с подрядчиками.
- Акты уничтожения или обезличивания ПДн.
Таким образом, у ответственного должна быть собрана вся ключевая документация, которая отражает текущую работу организации с персональными данными.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан назначить лицо, ответственное за организацию обработки ПДн.
- Ст. 22.1 ФЗ-152 — оператор должен документально подтверждать принятые меры по защите ПДн.
- Постановление Правительства РФ № 1119 — определяет организационные меры, включая ведение журналов и регламентов.
- Приказ Роскомнадзора № 996 от 30.05.2017 — содержит требования к подтверждению выполнения законодательства при проверках.
Практика проверок Роскомнадзора
Роскомнадзор при проверках первым делом запрашивает у ответственного за ПДн: приказ о его назначении, политику обработки, положение, перечень данных и журналы учёта обращений. В случае отсутствия части документов оператору выносится предписание, даже если технические меры защиты на месте. Там, где у ответственного собран полный пакет, проверка проходит быстрее и с меньшим риском санкций.
Что важно учитывать компаниям
Документы должны быть не только формально утверждены, но и актуализированы: устаревшие политики и журналы с последними записями двухлетней давности РКН расценивает как нарушение. Ответственному необходимо регулярно проводить внутренние аудиты и проверять соответствие документов реальной практике.
Рекомендации и выводы
У ответственного за ПДн должен быть в наличии полный комплект документов, подтверждающих организацию обработки данных. Рекомендуем:
- Сформировать папку (в бумажном и/или электронном виде) со всеми ключевыми документами.
- Регулярно обновлять документы при изменении процессов.
- Контролировать, чтобы журналы, акты и протоколы заполнялись своевременно.
- Включить документы ответственного в общий пакет документов по ФЗ-152.
Компания ICTech подготовит для вашей организации полный набор документов, организует систему журналов и обучит ответственного по ПДн, чтобы проверка Роскомнадзора прошла без рисков для бизнеса.
