Инструкция ответственного за обеспечение безопасности персональных данных: кто назначается, обязанности, функции, требования законодательства, образец документа и порядок утверждения.
Кто такой ответственный за обеспечение безопасности ПДн
Ответственный за обеспечение безопасности персональных данных — это сотрудник организации, который контролирует выполнение требований законодательства в сфере защиты информации и обеспечивает безопасность персональных данных при их обработке в информационных системах.
Многие компании ошибочно считают, что ответственный за обеспечение безопасности персональных данных и ответственный за организацию обработки персональных данных — это одно и то же лицо. Однако законодательство не требует обязательного совмещения этих функций. Ответственный за организацию обработки ПДн контролирует соблюдение требований Федерального закона № 152-ФЗ в целом, а специалист по безопасности отвечает за технические и организационные меры защиты информации.
Назначение такого сотрудника особенно актуально для организаций, которые используют информационные системы персональных данных, обрабатывают сведения о работниках, клиентах, контрагентах и пользователях сайта.
Нормативная база
При разработке инструкции ответственного за обеспечение безопасности персональных данных необходимо учитывать требования следующих нормативных документов:
- Федеральный закон № 152-ФЗ «О персональных данных»;
- Постановление Правительства РФ № 1119;
- Приказ ФСТЭК России № 21;
- нормативные документы ФСБ России;
- методические рекомендации Роскомнадзора;
- локальные нормативные акты организации.
Основной задачей оператора является обеспечение безопасности персональных данных на всех этапах их обработки, хранения, передачи и уничтожения.
В соответствии с законодательством меры защиты должны соответствовать уровню актуальных угроз безопасности и особенностям используемых информационных систем.
Обязан ли оператор назначать ответственного
Прямой обязанности назначать отдельного ответственного за обеспечение безопасности персональных данных в каждой организации законодательство не устанавливает. Однако оператор обязан обеспечить выполнение требований по защите персональных данных.
На практике эти функции закрепляют приказом руководителя за конкретным сотрудником. Это может быть специалист по информационной безопасности, системный администратор, руководитель ИТ-подразделения или другое уполномоченное лицо.
Приказ о назначении ответственного позволяет определить круг обязанностей сотрудника и установить персональную ответственность за выполнение требований законодательства.
Кроме того, наличие назначенного ответственного лица положительно оценивается при проверках Роскомнадзора и проведении внутреннего аудита.
Основные обязанности ответственного за безопасность персональных данных
Инструкция ответственного по защите персональных данных должна содержать полный перечень функций и полномочий сотрудника.
К основным обязанностям относятся:
- контроль соблюдения требований законодательства РФ;
- беспечение безопасности персональных данных при их обработке;
- рганизация защиты информации в информационных системах;
- контроль доступа сотрудников к персональным данным;
- проведение внутренних проверок;
- участие в расследовании инцидентов информационной безопасности;
- выявление рисков утечки сведений;
- контроль выполнения требований локальных нормативных актов;
- организация обучения работников;
- взаимодействие с Роскомнадзором и другими контролирующими органами.
Ответственный должен регулярно анализировать состояние системы защиты, выявлять уязвимости и предлагать меры по их устранению.
Что должна содержать инструкция
Инструкция ответственного за обеспечение безопасности персональных данных относится к локальным нормативным актам организации. Унифицированная форма документа законодательством не предусмотрена, поэтому оператор вправе разработать собственный шаблон.
Как правило, инструкция включает следующие разделы:
Общие положения
Указываются цели документа, нормативные основания и порядок назначения сотрудника.
Функции
Описываются задачи по обеспечению безопасности персональных данных и контролю за соблюдением требований законодательства.
Права
Ответственный сотрудник должен иметь право запрашивать необходимые документы, участвовать в проверках, получать доступ к информации, необходимой для выполнения своих обязанностей.
Обязанности
Закрепляются конкретные действия по организации защиты информации, контролю обработки персональных данных и предотвращению нарушений.
Ответственность
Определяются последствия ненадлежащего исполнения обязанностей.
Взаимодействие с подразделениями
Устанавливается порядок работы с кадровой службой, ИТ-отделом, юридическим подразделением и руководством организации.
Порядок разработки и утверждения инструкции
Для внедрения документа рекомендуется соблюдать следующий порядок:
- Подготовить проект инструкции.
- Согласовать документ с заинтересованными подразделениями.
- Утвердить инструкцию приказом руководителя.
- Ознакомить сотрудника под подпись.
Организовать хранение документа в соответствии с правилами делопроизводства.
Если в компании меняются процессы обработки персональных данных или требования законодательства, инструкция должна быть своевременно актуализирована.
Какие документы связаны с инструкцией
Инструкция ответственного за обеспечение безопасности персональных данных является частью системы локальной документации оператора.
С ней обычно связаны:
- политика обработки персональных данных;
- положение о защите персональных данных;
- положение о работе с персональными данными сотрудников;
- журнал учета инцидентов информационной безопасности;
- журнал обращений субъектов персональных данных;
- перечень лиц, допущенных к обработке ПДн;
- модель угроз безопасности;
- акты классификации информационных систем;
- приказы о назначении ответственных лиц.
Комплексное оформление документации позволяет подтвердить соблюдение требований законодательства и минимизировать риски претензий со стороны надзорных органов.
Ответственность за нарушение требований
Нарушение требований по обеспечению безопасности персональных данных может повлечь административную, дисциплинарную и гражданско-правовую ответственность.
Роскомнадзор вправе проводить проверки операторов персональных данных и выдавать предписания об устранении выявленных нарушений. В отдельных случаях законодательством предусмотрены значительные штрафы за ненадлежащую защиту информации, отсутствие необходимых документов или утечку персональных данных.
Для минимизации рисков организация должна не только разработать инструкцию ответственного по защите персональных данных, но и обеспечить ее фактическое исполнение.
Образец инструкции ответственного за обеспечение безопасности ПДн
Типовой образец инструкции обычно содержит:
- общие положения;
- порядок назначения сотрудника;
- права и обязанности;
- функции по обеспечению безопасности персональных данных;
- порядок взаимодействия с подразделениями;
- ответственность за нарушение требований законодательства.
Перед использованием шаблон необходимо адаптировать под специфику организации, особенности обработки персональных данных и используемые информационные системы.
Инструкция ответственного за обеспечение безопасности персональных данных является важным элементом системы защиты информации и соблюдения требований 152-ФЗ. Документ позволяет четко распределить обязанности, организовать внутренний контроль и подтвердить выполнение требований законодательства при проверках Роскомнадзора. Своевременная разработка и актуализация инструкции помогают снизить риск утечек персональных данных, штрафов и иных негативных последствий для оператора.