Даже если разработка документов поручена ответственному за ПДн, службе ИБ или внешнему подрядчику, утверждение и юридическая сила документов возникают только после их утверждения оператором. Отсутствие подписи уполномоченного лица или утверждение «не тем» субъектом рассматривается Роскомнадзором как самостоятельное нарушение требований 152-ФЗ.
Кто по закону отвечает за организацию обработки персональных данных
В соответствии с 152-ФЗ ответственность за организацию обработки и защиту персональных данных возлагается на оператора персональных данных. Оператором признаётся лицо, которое определяет цели и способы обработки персональных данных и организует соответствующие процессы.
Это означает, что именно оператор:
-
принимает решения о том, какие персональные данные и с какой целью обрабатываются;
-
определяет порядок доступа к персональным данным;
-
выбирает меры защиты персональных данных;
-
отвечает за соблюдение прав субъектов персональных данных;
-
несёт ответственность за нарушения требований законодательства.
Связь между ответственностью и утверждением документов прямая. Лицо, которое отвечает за организацию обработки персональных данных, должно подтверждать свои решения документально.
Именно поэтому утверждение документов по персональным данным рассматривается как функция оператора, а не вспомогательных служб или отдельных сотрудников.
Кто утверждает документы по персональным данным в организации
В организациях документы по персональным данным утверждает руководитель оператора персональных данных — как правило, генеральный директор или иное лицо, действующее от имени организации без доверенности. Именно руководитель наделён полномочиями принимать управленческие решения и нести ответственность за их последствия.
К документам, которые подлежат утверждению руководителем, относятся:
-
приказы о назначении ответственных лиц за обработку и защиту персональных данных;
-
положения и регламенты по обработке и защите персональных данных;
-
локальные нормативные акты, устанавливающие порядок доступа, хранения и уничтожения персональных данных;
-
документы внутреннего контроля в сфере персональных данных.
Подпись руководителя подтверждает, что установленные правила являются обязательными для исполнения всеми сотрудниками организации.
При проверках Роскомнадзор в первую очередь обращает внимание на наличие утверждения документов именно руководителем, поскольку это подтверждает их юридическую силу и обязательность.
Может ли утверждать документы не руководитель
В отдельных случаях утверждение документов по персональным данным может быть делегировано иному должностному лицу, однако такое делегирование возможно только при соблюдении установленных условий и не освобождает руководителя от ответственности.
Допустимые варианты:
-
утверждение документов заместителем руководителя;
-
утверждение документов иным должностным лицом, если такие полномочия прямо закреплены во внутренних документах или доверенности;
-
утверждение отдельных регламентов в рамках функциональной ответственности (например, ИБ), при наличии формального наделения полномочиями.
При этом необходимо учитывать:
-
делегирование должно быть оформлено документально;
-
полномочия на утверждение должны быть однозначно определены;
-
ответственность за организацию обработки персональных данных всё равно остаётся за оператором и его руководителем.
Формальное делегирование без документального закрепления либо утверждение документов лицом, не наделённым соответствующими полномочиями, при проверках Роскомнадзора квалифицируется как отсутствие надлежащего утверждения документов и рассматривается как нарушение требований 152-ФЗ.
Кто утверждает документы у ИП и самозанятых
У индивидуальных предпринимателей и самозанятых лиц документы по персональным данным утверждает сам оператор персональных данных. В этих случаях функции оператора и руководителя совмещены в одном лице, поэтому делегирование полномочий на утверждение документов невозможно.
ИП и самозанятые:
-
самостоятельно утверждают все документы по персональным данным;
-
подписывают приказы, положения и регламенты от своего имени;
-
несут персональную ответственность за соблюдение требований 152-ФЗ.
Отсутствие подписи оператора приравнивается к отсутствию утверждённых документов и рассматривается Роскомнадзором как нарушение.
Даже если разработка документов поручена внешнему специалисту или подрядчику, юридическую силу документы приобретают только после их утверждения самим ИП или самозанятым.
Кто утверждает документы для сайта
Владельцем и оператором персональных данных при обработке через сайт признаётся лицо, которое определяет цели и способы сбора данных, независимо от наличия юридического лица. Именно это лицо утверждает документы, связанные с обработкой персональных данных через сайт.
К таким документам относятся:
-
политика конфиденциальности;
-
формы согласий на обработку персональных данных;
-
иные документы, размещаемые на сайте и регулирующие обработку персональных данных.
Ответственность за содержание и утверждение этих документов несёт владелец сайта.
Передача технического администрирования сайта третьим лицам не освобождает оператора от обязанности утверждать и контролировать документы по персональным данным.
Какие документы обязательно должны быть утверждены
При проверках Роскомнадзор исходит из того, что все документы, устанавливающие обязательные правила обработки персональных данных, должны быть утверждены уполномоченным лицом.
К таким документам относятся:
-
приказы и распоряжения;
-
положения и регламенты по обработке и защите персональных данных;
-
политики и локальные нормативные акты;
-
документы, устанавливающие порядок доступа, хранения и уничтожения персональных данных;
-
документы внутреннего контроля.
Журналы и формы, как правило, утверждаются в составе соответствующих регламентов либо приказов. Отсутствие утверждения обязательных документов квалифицируется как самостоятельное нарушение требований законодательства.
Типичные ошибки при утверждении документов
На практике при проверках Роскомнадзора чаще всего выявляются одни и те же ошибки, связанные именно с процессом утверждения документов.
Наиболее распространённые ошибки:
-
отсутствие подписи и реквизитов утверждения;
-
утверждение документов «задним числом»;
-
подпись неуполномоченного лица;
-
расхождение дат приказов и локальных актов;
-
отсутствие приказа о введении документов в действие.
Даже при корректном содержании документов такие ошибки лишают их юридической силы при проверке.
Как правильно выстроить процесс утверждения
Корректный процесс утверждения документов по персональным данным должен быть встроен в общую систему ОРД и учитывать структуру оператора.
Практически это означает:
-
определение уполномоченного лица на утверждение документов;
-
документальное закрепление полномочий при делегировании;
-
утверждение всех обязательных документов до их применения;
-
актуализацию и повторное утверждение при изменении деятельности;
-
хранение оригиналов утверждённых документов.
Для выстраивания корректной системы необходимо разработать индивидуальный комплект организационно-распорядительной документации, который не только формально соответствует требованиям 152-ФЗ, но и точно описывает ваши реальные процессы обработки данных, учитывая сложившуюся практику проверок Роскомнадзора.
На практике
На практике Роскомнадзор расценивает отсутствие утверждения документов или их подписание неуполномоченным лицом как самостоятельное нарушение, независимо от содержания документов. Именно такие формальные ошибки часто становятся основанием для предписаний и повторных проверок.
Утверждение документов по персональным данным — это не формальность, а ключевой элемент системы обработки персональных данных. Корректно выстроенный процесс утверждения позволяет подтвердить выполнение требований 152-ФЗ и существенно снизить риски при проверках.
