Подтверждать квалификацию ответственного за обработку персональных данных по закону не требуется.
В 152-ФЗ «О персональных данных» (ст. 22.1) сказано лишь, что оператор обязан назначить лицо, ответственное за организацию обработки ПДн. Закон не устанавливает требований к наличию диплома, сертификатов или специального образования.
Однако:
-
При проверках Роскомнадзор часто обращает внимание, знаком ли ответственный с требованиями 152-ФЗ, локальными актами организации, умеет ли он объяснить порядок обработки ПДн.
-
В некоторых случаях надзорные органы указывают, что ответственный должен пройти обучение или инструктаж внутри организации.
-
Для средних и крупных компаний желательно, чтобы ответственный имел хотя бы сертификат о прохождении обучения (например, курсы по защите ПДн или информационной безопасности). Это не обязательное требование, но это плюс при проверке и снижает риски претензий.
Таким образом: формально подтверждать квалификацию (дипломом или аттестатом) не нужно, но организация должна обеспечить ответственному базовые знания. Сделать это можно путём:
-
внутреннего инструктажа,
-
направления на курсы или вебинары,
-
закрепления обучения в локальном приказе.
Обоснование по законодательству
-
152-ФЗ «О персональных данных»:
-
ст. 22.1 — оператор назначает ответственное лицо, но требования к квалификации не определены.
-
-
Трудовой кодекс РФ, ст. 22 и 196 — работодатель обязан обучать работников безопасным методам работы и обеспечивать подготовку для исполнения обязанностей.
-
Разъяснения Роскомнадзора: назначенный сотрудник должен быть обучен и знать требования законодательства, но документальное подтверждение квалификации не обязательно.
Типичные ошибки организаций
-
Назначают сотрудника «для галочки», который не знает даже базовых требований 152-ФЗ.
-
Не проводят инструктаж и не фиксируют обучение документально.
-
Считают, что формальный приказ без обучения уже выполняет требования закона.
Особенности применения на практике
-
В малом бизнесе часто назначают бухгалтера или директора, которых просто знакомят с политикой по ПДн и локальными актами.
-
В крупных компаниях ответственных отправляют на обучение (например, курсы «Специалист по ПДн»).
-
При проверке Роскомнадзор может опросить ответственного, и если он не сможет пояснить порядок обработки ПДн, это считается нарушением.
Рекомендации и выводы
-
Квалификацию подтверждать документально (дипломами, сертификатами) не обязательно.
-
Но ответственный должен реально знать законодательство и внутренние правила организации.
-
Проведите инструктаж и закрепите это актом/листом ознакомления.
-
Для повышения доверия при проверке полезно отправить ответственного на специализированные курсы.
Если вы хотите, чтобы ваш ответственный за ПДн был подготовлен к проверкам и обладал всеми необходимыми знаниями, специалисты ICTech не только разработают для вас полный пакет документов по обработке персональных данных, но и проведут обучение ответственного и сотрудников. Это даст уверенность при проверке Роскомнадзора и снизит риск штрафов.
