Какие требования Роскомнадзор предъявляет к ответственному за ПДн при проверке

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Роскомнадзор при проверке уделяет особое внимание назначению и функционалу ответственного за обработку персональных данных (далее — ОПДн). Организация обязана назначить сотрудника или группу сотрудников, которые будут отвечать за соблюдение требований 152-ФЗ, вести учет обработки персональных данных, обеспечивать выполнение мер защиты и взаимодействие с контролирующими органами. Ответственный за ПДн должен иметь достаточную компетенцию в области законодательства о персональных данных, знать внутренние регламенты организации, понимать технические и организационные меры защиты информации и обеспечивать их выполнение. Во время проверки инспекторы оценивают, насколько реально исполняются обязанности ОПДн: ведется ли реестр обработки персональных данных, контролируется ли доступ к данным, соблюдаются ли согласия субъектов данных, ведутся ли журналы учёта и отчеты по инцидентам. Также важно, чтобы ОПДн был официально закреплен приказом или другим внутренним документом, имел утвержденные регламенты и понимал ответственность за нарушения законодательства.

Обоснование по законодательству

— Федеральный закон №152-ФЗ «О персональных данных» — ст. 19 (права субъектов персональных данных), ст. 24 (меры по защите персональных данных), ст. 18 (права и обязанности операторов и ответственных лиц).
— Приказ Роскомнадзора от 1 июня 2017 г. №136 — регламентирует требования к структуре организации и закреплению ответственных лиц при проверке.
— Методические рекомендации Роскомнадзора по проведению проверок и подготовке пакета документов по 152-ФЗ.

Типичные ошибки организаций

— Не закрепляют ответственного за ПДн официальным приказом.
— Назначают сотрудника без достаточной компетенции и понимания требований 152-ФЗ.
— Не ведут внутренние журналы учета и не документируют действия по обеспечению защиты данных.
— ОПДн формально существует «для галочки», но не взаимодействует с IT, юридическим отделом и руководством.

Практические особенности

Роскомнадзор при проверке не ограничивается формальной проверкой наличия ответственного: инспекторы оценивают, насколько реально выполняются его обязанности. Например, важно, чтобы ОПДн мог предоставить отчеты по обработке персональных данных, демонстрировать внедрение мер защиты, давать пояснения по согласиям субъектов данных и действиям в случае инцидентов. Если ОПДн отсутствует или его функции формальны, это рассматривается как нарушение законодательства и может повлечь штрафы.

Рекомендации и выводы

1. Назначьте ответственного за ПДн официальным приказом, закрепив его права и обязанности.

2. Обеспечьте обучение и инструктаж ОПДн по требованиям 152-ФЗ, внутренним регламентам и техническим мерам защиты.

3. Ведите реестр обработки персональных данных, журналы учета доступа и отчеты по инцидентам.

4. Организуйте взаимодействие ОПДн с IT, юридическим отделом и руководством для эффективного исполнения обязанностей.

5. Использование услуги ICTech «Разработка комплекта документов по защите персональных данных 152-ФЗ для организаций» позволит правильно оформить должностные обязанности, регламенты и процедуры, чтобы успешно пройти проверку Роскомнадзора и минимизировать риски штрафов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге