Обоснование по законодательству
- ФЗ-152, ст. 18.1 — оператор обязан назначить ответственных лиц за организацию обработки ПДн и регламентировать порядок действий сотрудников.
- ФЗ-152, ст. 19 — оператор должен принимать организационные меры по обеспечению безопасности ПДн, включая разграничение доступа.
- Трудовой кодекс РФ, ст. 22 — работодатель обязан определять и закреплять круг полномочий работников.
Как это работает на практике
Роскомнадзор при проверках нередко требует показать, кто уполномочен работать с согласиями и фиксировать их получение. Если полномочия не разграничены, это расценивается как организационное нарушение. В некоторых организациях ответственность за сбор согласий формально возлагается на всех сотрудников отдела, но не закрепляется документально — такой подход вызывает претензии.
Вести отдельный список удобнее всего в форме:
- приказа руководителя с приложением списка уполномоченных сотрудников;
- журнала, где фиксируются сотрудники, имеющие право подписывать или принимать согласия, с их подписями об ознакомлении.
Что важно учесть компаниям
- Список должен регулярно актуализироваться при кадровых изменениях.
- Желательно указывать не только ФИО, но и должность сотрудника.
- Доступ к согласию и право его подписывать должны подтверждаться должностной инструкцией или локальным актом.
Рекомендации и выводы
Хотя отдельный список сотрудников с правом подписания согласий не назван в ФЗ-152 как обязательный документ, его ведение помогает компании:
- Подтвердить, что обработка согласий контролируется.
- Исключить риск неправомерного оформления согласий неподготовленными сотрудниками.
- Обеспечить прозрачность для Роскомнадзора при проверках.
Компания ICTech может разработать для вашей организации форму списка уполномоченных сотрудников и встроить её в общий пакет документов по ПДн, что упростит администрирование и поможет избежать претензий.
