Работа ответственного за организацию обработки персональных данных контролируется руководителем оператора — то есть директором организации или индивидуальным предпринимателем.
Важно понимать:
-
Само назначение ответственного не освобождает оператора от ответственности. По закону (ст. 22.1 152-ФЗ) он лишь помогает руководителю организовать систему защиты ПДн.
-
Контроль за деятельностью ответственного осуществляется через:
-
руководителя организации (генерального директора, ИП) — именно он подписывает приказы, утверждает политику, распределяет полномочия;
-
службы внутреннего контроля (юридический отдел, служба ИБ, Служба безопасности), если они есть;
-
внешний контроль — Роскомнадзор, который проверяет, как в компании организована работа с персональными данными.
-
Таким образом, внутри организации ответственное лицо находится в подчинении руководителя и должно отчитываться ему о результатах работы.
Обоснование по законодательству
-
152-ФЗ «О персональных данных»:
-
ст. 22.1 ч. 1 — оператор обязан назначить ответственное лицо;
-
ст. 22.1 ч. 3 — ответственное лицо обеспечивает соблюдение законодательства и информирует работников (то есть действует по поручению руководителя).
-
-
ТК РФ:
-
ст. 22 — работодатель контролирует исполнение работниками их обязанностей.
-
Типичные ошибки организаций
-
Думают, что назначение ответственного «снимает» ответственность с руководителя (на самом деле нет).
-
Не закрепляют порядок отчётности ответственного перед директором.
-
Оставляют ответственного «одного», без взаимодействия с ИТ и юридическим отделом.
Особенности применения на практике
-
В небольших компаниях ответственный часто отчитывается напрямую директору.
-
В крупных организациях может быть система: ответственный взаимодействует с отделом ИБ, кадровой службой, юристами, но финальный контроль остаётся за руководителем.
-
Роскомнадзор при проверках обращает внимание, есть ли у ответственного реальные полномочия и как выстроен контроль за его деятельностью.
Рекомендации и выводы
-
Контроль за ответственным осуществляет руководитель организации или ИП.
-
Установите порядок отчётности: например, ежеквартальный доклад директору о выполнении требований 152-ФЗ.
-
Обеспечьте взаимодействие ответственного с другими подразделениями (кадры, ИТ, бухгалтерия).
-
При проверках Роскомнадзор оценивает не только назначение, но и реальную систему контроля — лучше иметь акты проверок, отчёты ответственного, журналы инцидентов.
Если вы хотите, чтобы работа ответственного за ПДн в вашей организации была правильно организована и документально подтверждена, специалисты ICTech подготовят для вас полный пакет документов по обработке персональных данных. Мы разработаем регламенты, формы отчётности и систему внутреннего контроля, чтобы компания была готова к любым проверкам Роскомнадзора.
