Может ли быть несколько ответственных за ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

По закону организация обязана назначить одного ответственного за организацию обработки персональных данных. Это следует прямо из ФЗ-152: формулировка употребляется в единственном числе. Ответственный назначается приказом руководителя, и именно он несёт ответственность за соблюдение требований закона и взаимодействие с Роскомнадзором.

Однако на практике в крупных компаниях или холдингах возможно распределение функций:

- формально приказом назначается один ответственный за ПДн;
- ему в помощь создаётся рабочая группа или комитет по защите ПДн;
- на уровне подразделений могут назначаться координаторы или кураторы, которые помогают выполнять задачи по защите информации.

Таким образом, несколько человек могут быть вовлечены в работу, но юридически и официально закрепляется только один ответственный.

Обоснование по законодательству

• Ст. 22.1 ФЗ-152 — оператор обязан назначить лицо, ответственное за организацию обработки ПДн.
• Методические рекомендации Роскомнадзора — уточняют, что назначение оформляется приказом, где указывается ФИО, должность и обязанности ответственного.
• Трудовой кодекс РФ, ст. 22 — работодатель вправе распределять обязанности между сотрудниками, но ответственность по локальному акту закрепляется за конкретным лицом.

Практика Роскомнадзора
При проверках инспекторы требуют приказ о назначении ответственного. В компаниях, где таких приказов было несколько (например, по каждому филиалу), Роскомнадзор указывал на нарушение и требовал внести корректировки. При этом инспекторы положительно оценивают, когда у ответственного есть рабочая группа или назначены уполномоченные в подразделениях.

Что важно учитывать компаниям

• Назначать нужно именно одного официального ответственного.
• Если компания крупная, целесообразно оформить отдельный документ — «Положение о рабочей группе по защите ПДн», где распределить задачи.
• Ответственный должен иметь реальную возможность исполнять свои обязанности: доступ к документам, участие в проверках, полномочия для контроля.

Рекомендации и выводы
Формально может быть только один ответственный за ПДн, закреплённый приказом. Но в реальности рекомендуется создать систему кураторов или помощников на уровне подразделений, чтобы обеспечить выполнение требований во всех процессах.

Компания ICTech поможет правильно оформить приказ, разработать должностные обязанности ответственного и выстроить систему распределения функций по работе с ПДн без риска нарушений.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге