Обоснование
- ФЗ-152, ст. 18.1 — оператор обязан организовать учёт всех действий с персональными данными и определить круг ответственных лиц.
- ГК РФ, ст. 185–189 — доверенность должна оформляться письменно и иметь срок действия, а её выдача и отзыв подлежат учёту.
- Приказы Роскомнадзора (методические рекомендации по проверкам) указывают, что организация должна документально фиксировать, кто и на каком основании имеет право работать с ПДн.
Практика проверок Роскомнадзора
Инспекторы РКН неоднократно фиксировали нарушения, когда доверенности на работу с ПДн выдавались, но не учитывались. В подобных случаях организация не могла доказать, что полномочия сотрудника были ограничены по сроку и объёму. Рекомендация Роскомнадзора — вести журнал регистрации доверенностей с указанием даты выдачи, ФИО доверенного лица, содержания полномочий, срока действия и отметки о возврате/отзыве.
Что важно учитывать компаниям
- Журнал может вестись как в бумажном, так и в электронном виде.
- Отдельно стоит фиксировать факты отзыва доверенностей, чтобы исключить риски использования просроченных документов.
- Доступ к журналу должен быть ограничен, он хранится у ответственного за ПДн.
Рекомендации и выводы
Ведение журнала регистрации доверенностей — это способ доказать, что организация контролирует, кто и на каком основании получает доступ к персональным данным. Такой журнал снижает риски нарушений при проверках и позволяет защитить бизнес от претензий. Компания ICTech может подготовить для вашей организации форму журнала и встроить её в общий пакет документов по ФЗ-152.
