Полномочия ответственного лица по персональным данным должны быть закреплены в ряде документов. Это важно для того, чтобы при проверке Роскомнадзор мог убедиться: назначение состоялось официально, обязанности зафиксированы, а сотрудник реально выполняет функции по организации защиты ПДн.
Основные документы
- Приказ о назначении ответственного — ключевой документ, которым руководитель официально возлагает обязанности на сотрудника (ст. 18.1 ФЗ-152).
- Должностная инструкция — в неё вносят обязанности по организации обработки ПДн и контролю за соблюдением требований.
- Положение об обработке ПДн или иной локальный акт — где закреплена роль ответственного и порядок его взаимодействия с другими сотрудниками.
- Распределение полномочий — внутренние регламенты, где отражено, что именно делает ответственное лицо (контроль, обучение сотрудников, организация защиты ИСПДн).
- Акты приёма-передачи (при смене ответственного) — подтверждают передачу документов и обязанностей.
Практика проверок Роскомнадзора
Инспекторы РКН запрашивают именно приказ и должностную инструкцию, а также проверяют, что ответственный ознакомлен с локальными актами под подпись. В одной из проверок организация получила предписание, так как ответственный был назначен, но его обязанности нигде не были конкретизированы — формально назначение считалось «для галочки».
Рекомендации компаниям
- Приказ без закреплённых обязанностей недостаточен. Нужно, чтобы в должностной инструкции и положениях были чёткие функции.
- Ответственный должен расписаться в ознакомлении со всеми локальными актами по ПДн.
- Хорошей практикой является оформление отдельного положения об ответственном лице, где подробно перечислены его права и обязанности.
Вывод
Полномочия ответственного подтверждаются не одним документом, а комплексом: приказом, должностной инструкцией, локальными актами и подписями в ознакомлении. Такой пакет позволяет доказать законность и полноту его назначения при проверках.
