Алексей Ветров
Эксперт по защите данных IC-TECH
Да, закон прямо не запрещает назначать директора ответственным за организацию обработки персональных данных. На практике в малом и среднем бизнесе это распространённое решение: у компании нет отдельного специалиста по безопасности или юриста, и руководитель совмещает эту функцию. Главное — оформить приказ и прописать обязанности.
Когда это оправдано:
- в небольшой компании или у ИП, где нет выделенного сотрудника;
- когда директор фактически контролирует кадровый учёт, работу с клиентскими базами, договорами и документацией;
- для подтверждения формального соответствия закону в случае проверки Роскомнадзора.
На что обратить внимание:
- директор в этом случае совмещает две роли: как руководитель компании и как ответственное лицо по ФЗ-152;
- приказ о назначении обязателен, даже если назначается сам директор;
- обязанности должны быть зафиксированы: организация обработки, контроль соблюдения требований, взаимодействие с Роскомнадзором, работа с запросами субъектов.
Когда это оправдано:
- в небольшой компании или у ИП, где нет выделенного сотрудника;
- когда директор фактически контролирует кадровый учёт, работу с клиентскими базами, договорами и документацией;
- для подтверждения формального соответствия закону в случае проверки Роскомнадзора.
На что обратить внимание:
- директор в этом случае совмещает две роли: как руководитель компании и как ответственное лицо по ФЗ-152;
- приказ о назначении обязателен, даже если назначается сам директор;
- обязанности должны быть зафиксированы: организация обработки, контроль соблюдения требований, взаимодействие с Роскомнадзором, работа с запросами субъектов.
Обоснование по законодательству
- Ст. 22 ФЗ-152 — оператор обязан назначить лицо, ответственное за организацию обработки ПДн. Закон не ограничивает круг лиц, это может быть как отдельный сотрудник, так и руководитель.
- Ст. 18.1 ФЗ-152 — обязывает закрепить ответственное лицо и локальные акты, регулирующие обработку ПДн.
Практика проверок Роскомнадзора
- В небольших компаниях РКН положительно воспринимает назначение директора ответственным, если приказ оформлен корректно и обязанности прописаны.
- В случаях, когда приказа нет, даже если директор фактически отвечает за ПДн, это считается нарушением.
- В крупных организациях Роскомнадзор рекомендует назначать отдельного сотрудника, так как директор физически не может исполнять все обязанности по контролю.
Важные нюансы
- При назначении директора ответственным нужно составить приказ и должностную инструкцию, где будут закреплены его обязанности по ФЗ-152.
- Если у компании появляются информационные системы с большим объёмом ПДн или несколько подразделений, лучше назначить отдельного специалиста.
- Даже если директор назначен ответственным, ответственность за нарушения всё равно лежит на юридическом лице и его руководителе.
Рекомендации и выводы
Да, директора можно назначить ответственным за ПДн. Это законно и практично для небольших компаний. Чтобы соответствовать требованиям:
- Издайте приказ о назначении директора ответственным за ПДн.
- Пропишите его обязанности: контроль обработки, взаимодействие с РКН, учёт обращений субъектов.
- Дополните приказ должностной инструкцией или отдельным регламентом.
- Убедитесь, что документы реально используются в работе.
Компания ICTech подготовит корректный приказ и инструкции для назначения директора ответственным за ПДн, а также полный пакет документов по ФЗ-152. Это позволит малому бизнесу минимизировать расходы и пройти проверку Роскомнадзора без штрафов.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
