Нужен ли документ о назначении подразделения по ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, такой документ обязателен, если организация принимает решение, что вопросы обработки и защиты персональных данных будут закреплены за отдельным структурным подразделением (например, отдел ИТ-безопасности, юридический отдел или служба комплаенса). В этом случае необходимо оформить приказ руководителя, которым официально определяется ответственное подразделение и его полномочия.

Что должно быть в документе:

- наименование подразделения, которому поручено обеспечение защиты и организации обработки ПДн;
- функции подразделения (разработка документов по ПДн, контроль доступа, реагирование на инциденты, ведение журналов, взаимодействие с Роскомнадзором);
- порядок взаимодействия с другими отделами;
- назначение должностных лиц внутри подразделения, ответственных за выполнение конкретных задач.

Если же организация небольшая и функции по ПДн возлагаются на одного сотрудника (ответственного), достаточно приказа о его назначении.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан назначить лицо, ответственное за организацию обработки ПДн. Закон допускает как назначение конкретного сотрудника, так и закрепление этих обязанностей за подразделением.
• Ст. 19 ФЗ-152 — требует организационных мер по защите ПДн, что оформляется внутренними приказами и положениями.
• Приказы Роскомнадзора (рекомендательные письма) — указывают, что при проверке проверяется не только факт назначения ответственного, но и наличие документов, подтверждающих распределение обязанностей между подразделениями.

Практика Роскомнадзора

В крупных организациях (банки, медицинские учреждения, страховые компании) РКН проверяет приказы о назначении подразделений и положение о них. Отсутствие таких документов трактуется как неисполнение требований ФЗ-152. В малом бизнесе, где назначается конкретное лицо, Роскомнадзор ограничивается проверкой приказа о назначении ответственного.

Что важно учитывать

• Подразделение назначается там, где большой объём обработки ПДн или нужна система внутреннего контроля.
• Важно закрепить функции подразделения не только приказом, но и Положением о подразделении по ПДн.
• В небольших компаниях достаточно назначения одного ответственного — отдельное подразделение не требуется.

Рекомендации и выводы

Документ о назначении подразделения по ПДн нужен, если организация принимает решение о коллективной ответственности. Для малого бизнеса достаточно приказа о назначении одного ответственного. Чтобы пройти проверку без нарушений:

1. Если у вас крупная компания — оформите приказ о назначении подразделения и разработайте положение о его функциях.
2. Если бизнес небольшой — оформите приказ о назначении ответственного сотрудника (или директора).
3. В любом случае закрепите обязанности в локальных актах, чтобы при проверке показать выполнение ст. 18.1 ФЗ-152.

Компания ICTech поможет вашей организации подготовить приказы и положения для назначения подразделения или ответственного по ПДн. Это избавит от претензий Роскомнадзора и обеспечит прозрачность работы с персональными данными.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге