Ответственность ИТ-специалиста за обеспечение защиты персональных данных закрепляется во внутренних документах организации. На практике это делается через совокупность локальных актов и кадровых документов. Основные варианты:
- должностная инструкция ИТ-специалиста, где фиксируются его обязанности по обеспечению защиты ПДн в ИСПДн (информационных системах персональных данных);
- приказ руководителя о распределении обязанностей, в котором отдельно выделяется зона ответственности данного сотрудника;
- обязательство о неразглашении и сохранении конфиденциальности персональных данных;
- регламенты или инструкции по эксплуатации информационных систем, в которых закреплены конкретные технические и организационные меры безопасности.
Важно, чтобы эти документы были согласованы между собой и соответствовали требованиям ФЗ-152.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 обязывает оператора принимать локальные акты, устанавливающие порядок обработки ПДн и меры их защиты.
- Ст. 19 ФЗ-152 указывает на необходимость организационных мер, включая определение лиц, имеющих доступ к ПДн и их обязанности.
- Ст. 22.1 ФЗ-152 — оператор должен назначить ответственных за обеспечение безопасности ПДн в ИСПДн.
- Трудовой кодекс РФ, ст. 57 и ст. 189 — трудовые обязанности сотрудника должны быть отражены в трудовом договоре и локальных актах (например, должностной инструкции).
Практика проверок и рекомендации Роскомнадзора
При проверках РКН обращает внимание на то, чтобы ответственность за техническую защиту ПДн была возложена не только «формально», но и документально подтверждена. Так, в ряде случаев выявлялись нарушения, когда ИТ-специалист фактически выполнял работы по администрированию ИСПДн, но в его должностной инструкции не было ни слова о защите ПДн. Это признавалось нарушением ст. 19 ФЗ-152.
Что важно учесть
Чтобы закрепить ответственность ИТ-специалиста корректно, рекомендуется:
- прописать конкретные обязанности (резервное копирование, антивирусная защита, контроль доступа, реагирование на инциденты) в должностной инструкции;
- оформить приказ руководителя о назначении ответственного за безопасность ПДн в ИСПДн;
- ознакомить сотрудника с внутренними регламентами и правилами защиты ПДн под подпись;
- оформить обязательство о конфиденциальности.
Рекомендации и выводы
Лучший вариант — комбинировать кадровые и локальные акты: в должностной инструкции закрепить общие обязанности, в приказе — назначение ответственным за ИСПДн, а в обязательстве и регламентах — конкретные меры защиты.
Компания ICTech поможет вашей организации грамотно оформить весь комплект документов: от приказа до должностной инструкции, чтобы закрепить ответственность ИТ-специалистов в полном соответствии с ФЗ-152 и требованиями Роскомнадзора.
