Зачем готовить сотрудников
Сотрудники, имеющие доступ к персональным данным, обязаны знать:
- что считается персональными данными и какие сведения обрабатываются в компании;
- кто отвечает за обработку и защиту данных;
- где хранятся документы по ПДн и кто имеет к ним доступ;
- что можно и нельзя сообщать проверяющим;
- куда направлять запросы и вопросы Роскомнадзора.
Неподготовленный сотрудник может непреднамеренно подтвердить нарушение, даже если его фактически нет.
Основные шаги подготовки персонала
1. Назначить ответственного за взаимодействие с проверяющими
Приказом по организации следует определить:
- основного ответственного за контакт с представителями Роскомнадзора (обычно — специалист по защите ПДн или юрист);
- порядок уведомления руководства о визите проверяющих.
Это поможет избежать ситуации, когда проверка начинается, а сотрудники не знают, кто должен отвечать.
2. Провести инструктаж для сотрудников
Перед плановыми проверками рекомендуется провести внутренний инструктаж, на котором объясняются:
- цели проверки и её возможный сценарий;
- права и обязанности проверяющих и проверяемых;
- алгоритм действий при визите Роскомнадзора;
- правила общения: отвечать только на вопросы в рамках своих полномочий, не предоставлять документы без поручения ответственного.
Итог инструктажа фиксируется в журнале обучения и инструктажа по ПДн или отдельным актом проведения инструктажа.
3. Разработать памятку для персонала
Краткая памятка поможет сотрудникам не растеряться. В ней стоит указать:
- кто встречает проверяющих;
- кому сообщать о визите;
- кто имеет право давать комментарии;
- каковы стандартные формулировки ответов на типовые вопросы (например, «обработка ПДн осуществляется на основании согласия, копии согласий хранятся у ответственного по ПДн»).
Памятку можно разместить в папке «Роскомнадзор» рядом с комплектом документов.
4. Провести тестирование знаний
Регулярное тестирование помогает убедиться, что сотрудники не просто слышали о политике по ПДн, но и понимают свои обязанности. Результаты фиксируются в журнале проверки знаний, что также можно предъявить при проверке как доказательство внутреннего контроля.
5. Подготовить комплект документов для ответов
Сотрудники должны знать, где находятся:
- политика обработки ПДн;
- приказы о назначении ответственного;
- образцы согласий и регламенты;
- журналы учёта, акты проверок и обучения.
Эти документы лучше собрать в отдельную папку для проверки Роскомнадзора, доступ к которой имеет только ответственный.
Как проходит общение с проверяющими
При визите Роскомнадзора сотрудники должны:
- Проверить удостоверения и распоряжение о проверке.
- Сообщить ответственному или руководителю.
- Не предоставлять документы и пояснения без участия ответственного лица.
- Отвечать только в рамках своей должности и компетенции.
- Фиксировать все действия проверяющих (в идеале — составить внутренний журнал или акт посещения).
Если сотрудник не уверен в ответе, допустимо корректно сказать:
«Этот вопрос находится в компетенции ответственного за обработку ПДн. Я передам ваш запрос ему».
Обоснование по законодательству
- Федеральный закон № 152-ФЗ, ст. 18.1 — обязанность оператора обеспечить внутренний контроль и обучение сотрудников.
- Постановление Правительства РФ № 1119 — требования к организационным мерам защиты данных.
- Рекомендации Роскомнадзора от 25.07.2019 — о взаимодействии при проверках.
Вывод
Подготовка сотрудников к проверке Роскомнадзора — это не формальность, а способ защитить организацию от ненужных рисков. Обученный персонал действует спокойно, уверенно и не допускает ошибок, которые могут стоить штрафа.
Чтобы сократить риски, компаниям стоит:
- проводить регулярные инструктажи и проверки знаний;
- назначить ответственного за общение с проверяющими;
- оформить журналы обучения и памятку для сотрудников.
Компания ICTech помогает организациям разработать полный пакет документов для подготовки к проверкам Роскомнадзора — включая шаблоны инструктажей, регламентов общения и обучающие материалы.
