Приказ о назначении заместителя ответственного за организацию обработки персональных данных является необходимым, если компания решила предусмотреть такую роль. Закон прямо требует наличия ответственного лица (ст. 18.1 ФЗ-152), а введение заместителя относится к организационным мерам по обеспечению непрерывности и безопасности обработки.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан назначить ответственное лицо за организацию обработки ПДн.
- Ст. 19 ФЗ-152 — меры обеспечения безопасности должны быть документально оформлены.
- Трудовой кодекс РФ — закрепление дополнительных обязанностей сотрудника оформляется приказом работодателя.
Как оформить назначение заместителя
- Издать отдельный приказ руководителя о назначении заместителя ответственного.
- В приказе указать:
- ФИО и должность заместителя;
- обязанности, которые он выполняет в отсутствие основного ответственного;
- порядок взаимодействия с основным ответственным.
- Внести соответствующие изменения в должностную инструкцию или отдельное положение.
- При необходимости закрепить распределение функций в локальном акте по ПДн.
Практика проверок и рекомендации
Роскомнадзор в ходе проверок обращает внимание, что обязанность назначить именно заместителя в законе не прописана. Однако в организациях с большим количеством сотрудников или высоким риском обработки ПДн это считается хорошей практикой:
- снижает риск «провала» в управлении защитой данных при отпуске или болезни ответственного;
- демонстрирует повышенную организационную зрелость компании;
- уменьшает вероятность претензий при инцидентах.
Рекомендации и выводы
- Назначение заместителя — не обязанность, но рекомендуемая мера, особенно для средних и крупных компаний.
- Приказ о назначении заместителя лучше хранить вместе с основным приказом и актами по ПДн.
- Внутренние регламенты должны отражать его функции и границы полномочий.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
