Обоснование по законодательству
Федеральный закон № 152-ФЗ «О персональных данных»:
-
ст. 22.1 ч. 1 — оператор обязан назначить лицо, ответственное за организацию обработки ПДн;
-
ст. 18.1 ч. 1 — оператор принимает меры для обеспечения выполнения обязанностей;
-
ст. 19 — оператор обязан обеспечить защиту ПДн.
КоАП РФ:
-
ст. 13.11 — штрафы за нарушения правил обработки ПДн налагаются на юридическое лицо и должностных лиц, в том числе руководителя.
Типичные ошибки организаций
— Назначают формального ответственного, но не разрабатывают для него должностную инструкцию.
— Не проводят инструктажи сотрудников и не ведут журналы.
— Документы (политика, согласия, приказы) отсутствуют или лежат «мертвым грузом».
— При проверке ответственный не может ответить на элементарные вопросы инспекторов, что сразу указывает на фиктивность его назначения.
Особенности применения на практике
В случае проверки Роскомнадзор задаёт вопросы ответственному и оценивает его компетентность. Если выясняется, что работа не ведётся, ответственность ложится на оператора. На практике это значит: штраф получает юридическое лицо и руководитель, а сам «ответственный для галочки» максимум может понести дисциплинарное взыскание по внутренним документам.
Рекомендации и выводы
Даже если назначен ответственный, вся полнота ответственности за соблюдение 152-ФЗ остаётся на организации. Формальное назначение без реальной работы — прямой риск штрафов. Поэтому нужно не только издать приказ, но и обеспечить: должностную инструкцию, обучение, регламенты, ведение журналов и отчётность.
Если вы хотите исключить формализм и показать при проверке Роскомнадзора, что работа по защите персональных данных действительно ведётся, обратитесь в ICTech. Мы разработаем для вашей компании полный пакет документов по обработке персональных данных, подготовим инструкции для ответственного и организуем систему внутреннего контроля. Это позволит вам доказать добросовестность и избежать штрафов.
