Должностная инструкция ответственного за обработку ПДн: образец 2026
Как выглядит «Должностная инструкция ответственного за обработку ПДн» и что важно в каждом пункте. Соберите свой вариант онлайн или скачайте бланк.
Должностная инструкция ответственного за обработку персональных данных — закрепляет функции, права и ответственность лица, назначенного по ст. 18.1 152-ФЗ.
Структура документа
Так выглядит документ: на месте ваших данных — прочерки «______». Заполните онлайн — подставятся ваши реквизиты.
Должностная инструкция ответственного за обработку ПДн
1. Наименование и реквизиты
______
ИНН ______, ОГРН ______
______
УТВЕРЖДЕНО
Приказом ______
от ______ № [№]
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
ответственного за организацию обработки персональных данных
______
ИНН ______, ОГРН ______
______
УТВЕРЖДЕНО
Приказом ______
от ______ № [№]
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
ответственного за организацию обработки персональных данных
______
2. Общие положения
1.1. Настоящая Должностная инструкция разработана в соответствии с частью 1 и частью 4 статьи 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152), Трудовым кодексом Российской Федерации (глава 14), Приказом ФСТЭК России от 18.02.2013 № 21 и иными нормативными правовыми актами в области персональных данных.
1.2. Ответственный за организацию обработки персональных данных (далее — Ответственный за ПДн) назначается оператором — ______ — в соответствии с ч. 1 ст. 22.1 ФЗ-152 для осуществления внутреннего контроля за соблюдением законодательства о персональных данных.
1.3. На должность Ответственного за ПДн назначается лицо, обладающее достаточными знаниями в области законодательства Российской Федерации о персональных данных, соответствующим опытом работы и деловыми качествами.
1.4. Ответственный за ПДн назначается и освобождается от должности приказом Генеральный директор ______.
1.5. В настоящее время должность Ответственного за ПДн занимает: ______, Генеральный Директор.
1.6. В своей деятельности Ответственный за ПДн руководствуется: Конституцией Российской Федерации; Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; Постановлением Правительства РФ от 01.11.2012 № 1119; Приказом ФСТЭК России от 18.02.2013 № 21; иными нормативными правовыми актами в области ПДн; Уставом ______; настоящей Должностной инструкцией.
1.7. Ответственный за ПДн подчиняется непосредственно Генеральный директор ______ и вправе в установленном порядке взаимодействовать со всеми структурными подразделениями организации.
1.8. Ответственный за ПДн не может быть привлечён к гражданско-правовой, административной или иной ответственности за исполнение своих полномочий в установленном порядке (ч. 5 ст. 22.1 ФЗ-152).
1.2. Ответственный за организацию обработки персональных данных (далее — Ответственный за ПДн) назначается оператором — ______ — в соответствии с ч. 1 ст. 22.1 ФЗ-152 для осуществления внутреннего контроля за соблюдением законодательства о персональных данных.
1.3. На должность Ответственного за ПДн назначается лицо, обладающее достаточными знаниями в области законодательства Российской Федерации о персональных данных, соответствующим опытом работы и деловыми качествами.
1.4. Ответственный за ПДн назначается и освобождается от должности приказом Генеральный директор ______.
1.5. В настоящее время должность Ответственного за ПДн занимает: ______, Генеральный Директор.
1.6. В своей деятельности Ответственный за ПДн руководствуется: Конституцией Российской Федерации; Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»; Постановлением Правительства РФ от 01.11.2012 № 1119; Приказом ФСТЭК России от 18.02.2013 № 21; иными нормативными правовыми актами в области ПДн; Уставом ______; настоящей Должностной инструкцией.
1.7. Ответственный за ПДн подчиняется непосредственно Генеральный директор ______ и вправе в установленном порядке взаимодействовать со всеми структурными подразделениями организации.
1.8. Ответственный за ПДн не может быть привлечён к гражданско-правовой, административной или иной ответственности за исполнение своих полномочий в установленном порядке (ч. 5 ст. 22.1 ФЗ-152).
3. Должностные обязанности
В соответствии с частью 4 статьи 22.1 ФЗ-152 Ответственный за ПДн обязан:
2.1. Организация принятия правовых, организационных и технических мер по защите персональных данных (п. 1 ч. 4 ст. 22.1 ФЗ-152)
2.1.1. Разрабатывать, актуализировать и представлять на утверждение руководителю организации локальные нормативные акты в сфере обработки и защиты ПДн: Политику обработки персональных данных; Положение об обработке ПДн работников; Положение об обработке ПДн клиентов; Инструкции по обработке ПДн; иные регламенты, приказы и инструкции.
2.1.2. Организовывать разработку и внедрение системы защиты персональных данных (СЗПДн) в информационных системах ПДн ______ в объёме мер, определённых Приказом ФСТЭК России № 21, с учётом установленного уровня защищённости.
2.1.3. Инициировать проведение оценки уровня защищённости ИСПДн, разработку и актуализацию Модели угроз безопасности ПДн (Методический документ ФСТЭК от 05.02.2021, БДУ bdu.fstec.ru).
2.1.4. Контролировать реализацию следующих технических мер защиты: антивирусная защита рабочих станций и серверов; межсетевое экранирование; системы обнаружения вторжений (IDS/IPS); двухфакторная аутентификация при доступе к ИСПДн; шифрование данных при хранении и передаче; резервное копирование данных; ведение журналов доступа и событий безопасности; применение DLP-системы (при необходимости); физическая защита серверных помещений.
2.1.5. Обеспечивать соблюдение принципа минимизации данных: обрабатываются только те ПДн, которые необходимы для достижения каждой конкретной цели обработки (ст. 5 ФЗ-152).
2.1.6. Организовывать уничтожение ПДн по истечении сроков хранения или при достижении целей обработки, составлять и хранить акты уничтожения ПДн (ст. 21 ФЗ-152, ГОСТ Р 50739-95).
2.1.7. Вести и хранить журналы учёта носителей информации, учёта обращений субъектов ПДн, учёта инцидентов и журнал уничтожения ПДн.
2.2. Осуществление внутреннего контроля за соблюдением законодательства о ПДн (п. 2 ч. 4 ст. 22.1 ФЗ-152)
2.2.1. Осуществлять ежегодный плановый внутренний аудит обработки и защиты ПДн во всех подразделениях ______, по результатам которого составлять акт и представлять его Генеральный директор.
2.2.2. Проводить внеплановые проверки при поступлении жалоб субъектов, выявлении инцидентов, изменении законодательства или иных значимых изменениях в деятельности организации.
2.2.3. Контролировать соответствие состава обрабатываемых ПДн и целей их обработки нормам ФЗ-152, выявлять и фиксировать нарушения, разрабатывать меры по их устранению.
2.2.4. Вести журнал проверок и аудитов в сфере обработки ПДн; хранить акты проверок Роскомнадзора, ФСТЭК и иных регуляторов.
2.2.5. При выявлении инцидентов безопасности ПДн незамедлительно организовывать реагирование, уведомлять Генеральный директор и направлять уведомление в Роскомнадзор в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН № 276 от 25.07.2024); представлять результаты расследования в течение 72 часов.
2.2.6. Обеспечивать своевременное уведомление Роскомнадзора об обработке ПДн (ст. 22 ФЗ-152), о трансграничной передаче ПДн — до её начала (ст. 12 ФЗ-152, 266-ФЗ), об изменении сведений, ранее направленных в РКН.
2.2.7. Взаимодействовать с Роскомнадзором, ФСТЭК России, органами прокуратуры при проведении проверок; обеспечивать представление запрашиваемых документов и сведений в установленные сроки.
2.3. Доведение до сведения работников требований законодательства о ПДн и локальных актов оператора (п. 3 ч. 4 ст. 22.1 ФЗ-152)
2.3.1. Организовывать первичное ознакомление всех работников, допускаемых к обработке ПДн, с Политикой обработки ПДн, настоящей Должностной инструкцией, Обязательством о неразглашении и иными локальными актами в сфере ПДн под подпись в Журнале ознакомления.
2.3.2. Проводить не реже одного раза в год инструктаж (обучение) работников, имеющих доступ к ПДн, по вопросам: правовых основ обработки персональных данных (ФЗ-152, ТК РФ гл. 14); правил безопасной работы с ПДн в информационных системах; порядка действий при выявлении инцидентов; ответственности за нарушение режима ПДн (ст. 13.11 КоАП РФ — штрафы для должностных лиц до 500 000 руб., для юридических лиц — до 18 000 000 руб.; ст. 137 УК РФ — уголовная ответственность).
2.3.3. При внесении изменений в законодательство или в локальные акты организации незамедлительно информировать работников об изменениях в части, их касающейся.
2.3.4. Размещать актуальную Политику обработки ПДн на сайте организации (______) в постоянном открытом доступе (ч. 2 ст. 18.1 ФЗ-152).
2.3.5. Вести и хранить Журнал ознакомления сотрудников с документами в сфере ПДн; обеспечивать подписание каждым работником Обязательства о неразглашении ПДн.
2.4. Организация приёма и обработки обращений и запросов субъектов персональных данных (п. 4 ч. 4 ст. 22.1 ФЗ-152)
2.4.1. Организовывать приём запросов субъектов ПДн через все доступные каналы: электронная почта ______; телефон ______; почтовый адрес ______; форма обратной связи на сайте ______.
2.4.2. Регистрировать каждое поступившее обращение в Журнале учёта обращений субъектов ПДн в течение 1 рабочего дня с момента поступления.
2.4.3. Осуществлять идентификацию заявителя перед предоставлением сведений о его ПДн — путём проверки документа, удостоверяющего личность, или иных надлежащих идентификаторов.
2.4.4. Рассматривать запросы субъектов в следующие сроки:
— запрос о предоставлении информации об обрабатываемых ПДн (ст. 14 ФЗ-152) — 10 рабочих дней;
— требование об уточнении, блокировании или уничтожении ПДн (ст. 21 ФЗ-152) — 7 рабочих дней;
— отзыв согласия (ч. 2 ст. 9 ФЗ-152) — прекратить обработку в течение 30 дней (если отсутствуют иные правовые основания);
— запрос о предоставлении сведений о нарушителях режима ПДн — 10 рабочих дней.
2.4.5. Обеспечивать предоставление субъекту ПДн следующих сведений (ст. 14 ФЗ-152): подтверждение факта обработки; правовые основания и цели обработки; применяемые способы обработки; наименование и адрес оператора; сведения о лицах, которым ПДн могут быть переданы; перечень обрабатываемых ПДн; источник ПДн; сроки обработки и хранения; порядок реализации прав субъекта.
2.4.6. Принимать решения о блокировании, уничтожении, уточнении ПДн по обоснованным требованиям субъектов; оформлять соответствующие акты и вносить записи в Журнал уничтожения ПДн.
2.4.7. Обеспечивать направление мотивированных отказов в предоставлении сведений в случаях, предусмотренных ч. 8 ст. 14 ФЗ-152 (когда обработка необходима для защиты жизни / здоровья субъекта, исполнения договора, обеспечения безопасности и т.д.).
2.4.8. Вести реестр субъектов, отозвавших согласие на обработку ПДн, с целью исключения повторного использования их данных для целей, основанных на согласии.
2.1. Организация принятия правовых, организационных и технических мер по защите персональных данных (п. 1 ч. 4 ст. 22.1 ФЗ-152)
2.1.1. Разрабатывать, актуализировать и представлять на утверждение руководителю организации локальные нормативные акты в сфере обработки и защиты ПДн: Политику обработки персональных данных; Положение об обработке ПДн работников; Положение об обработке ПДн клиентов; Инструкции по обработке ПДн; иные регламенты, приказы и инструкции.
2.1.2. Организовывать разработку и внедрение системы защиты персональных данных (СЗПДн) в информационных системах ПДн ______ в объёме мер, определённых Приказом ФСТЭК России № 21, с учётом установленного уровня защищённости.
2.1.3. Инициировать проведение оценки уровня защищённости ИСПДн, разработку и актуализацию Модели угроз безопасности ПДн (Методический документ ФСТЭК от 05.02.2021, БДУ bdu.fstec.ru).
2.1.4. Контролировать реализацию следующих технических мер защиты: антивирусная защита рабочих станций и серверов; межсетевое экранирование; системы обнаружения вторжений (IDS/IPS); двухфакторная аутентификация при доступе к ИСПДн; шифрование данных при хранении и передаче; резервное копирование данных; ведение журналов доступа и событий безопасности; применение DLP-системы (при необходимости); физическая защита серверных помещений.
2.1.5. Обеспечивать соблюдение принципа минимизации данных: обрабатываются только те ПДн, которые необходимы для достижения каждой конкретной цели обработки (ст. 5 ФЗ-152).
2.1.6. Организовывать уничтожение ПДн по истечении сроков хранения или при достижении целей обработки, составлять и хранить акты уничтожения ПДн (ст. 21 ФЗ-152, ГОСТ Р 50739-95).
2.1.7. Вести и хранить журналы учёта носителей информации, учёта обращений субъектов ПДн, учёта инцидентов и журнал уничтожения ПДн.
2.2. Осуществление внутреннего контроля за соблюдением законодательства о ПДн (п. 2 ч. 4 ст. 22.1 ФЗ-152)
2.2.1. Осуществлять ежегодный плановый внутренний аудит обработки и защиты ПДн во всех подразделениях ______, по результатам которого составлять акт и представлять его Генеральный директор.
2.2.2. Проводить внеплановые проверки при поступлении жалоб субъектов, выявлении инцидентов, изменении законодательства или иных значимых изменениях в деятельности организации.
2.2.3. Контролировать соответствие состава обрабатываемых ПДн и целей их обработки нормам ФЗ-152, выявлять и фиксировать нарушения, разрабатывать меры по их устранению.
2.2.4. Вести журнал проверок и аудитов в сфере обработки ПДн; хранить акты проверок Роскомнадзора, ФСТЭК и иных регуляторов.
2.2.5. При выявлении инцидентов безопасности ПДн незамедлительно организовывать реагирование, уведомлять Генеральный директор и направлять уведомление в Роскомнадзор в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН № 276 от 25.07.2024); представлять результаты расследования в течение 72 часов.
2.2.6. Обеспечивать своевременное уведомление Роскомнадзора об обработке ПДн (ст. 22 ФЗ-152), о трансграничной передаче ПДн — до её начала (ст. 12 ФЗ-152, 266-ФЗ), об изменении сведений, ранее направленных в РКН.
2.2.7. Взаимодействовать с Роскомнадзором, ФСТЭК России, органами прокуратуры при проведении проверок; обеспечивать представление запрашиваемых документов и сведений в установленные сроки.
2.3. Доведение до сведения работников требований законодательства о ПДн и локальных актов оператора (п. 3 ч. 4 ст. 22.1 ФЗ-152)
2.3.1. Организовывать первичное ознакомление всех работников, допускаемых к обработке ПДн, с Политикой обработки ПДн, настоящей Должностной инструкцией, Обязательством о неразглашении и иными локальными актами в сфере ПДн под подпись в Журнале ознакомления.
2.3.2. Проводить не реже одного раза в год инструктаж (обучение) работников, имеющих доступ к ПДн, по вопросам: правовых основ обработки персональных данных (ФЗ-152, ТК РФ гл. 14); правил безопасной работы с ПДн в информационных системах; порядка действий при выявлении инцидентов; ответственности за нарушение режима ПДн (ст. 13.11 КоАП РФ — штрафы для должностных лиц до 500 000 руб., для юридических лиц — до 18 000 000 руб.; ст. 137 УК РФ — уголовная ответственность).
2.3.3. При внесении изменений в законодательство или в локальные акты организации незамедлительно информировать работников об изменениях в части, их касающейся.
2.3.4. Размещать актуальную Политику обработки ПДн на сайте организации (______) в постоянном открытом доступе (ч. 2 ст. 18.1 ФЗ-152).
2.3.5. Вести и хранить Журнал ознакомления сотрудников с документами в сфере ПДн; обеспечивать подписание каждым работником Обязательства о неразглашении ПДн.
2.4. Организация приёма и обработки обращений и запросов субъектов персональных данных (п. 4 ч. 4 ст. 22.1 ФЗ-152)
2.4.1. Организовывать приём запросов субъектов ПДн через все доступные каналы: электронная почта ______; телефон ______; почтовый адрес ______; форма обратной связи на сайте ______.
2.4.2. Регистрировать каждое поступившее обращение в Журнале учёта обращений субъектов ПДн в течение 1 рабочего дня с момента поступления.
2.4.3. Осуществлять идентификацию заявителя перед предоставлением сведений о его ПДн — путём проверки документа, удостоверяющего личность, или иных надлежащих идентификаторов.
2.4.4. Рассматривать запросы субъектов в следующие сроки:
— запрос о предоставлении информации об обрабатываемых ПДн (ст. 14 ФЗ-152) — 10 рабочих дней;
— требование об уточнении, блокировании или уничтожении ПДн (ст. 21 ФЗ-152) — 7 рабочих дней;
— отзыв согласия (ч. 2 ст. 9 ФЗ-152) — прекратить обработку в течение 30 дней (если отсутствуют иные правовые основания);
— запрос о предоставлении сведений о нарушителях режима ПДн — 10 рабочих дней.
2.4.5. Обеспечивать предоставление субъекту ПДн следующих сведений (ст. 14 ФЗ-152): подтверждение факта обработки; правовые основания и цели обработки; применяемые способы обработки; наименование и адрес оператора; сведения о лицах, которым ПДн могут быть переданы; перечень обрабатываемых ПДн; источник ПДн; сроки обработки и хранения; порядок реализации прав субъекта.
2.4.6. Принимать решения о блокировании, уничтожении, уточнении ПДн по обоснованным требованиям субъектов; оформлять соответствующие акты и вносить записи в Журнал уничтожения ПДн.
2.4.7. Обеспечивать направление мотивированных отказов в предоставлении сведений в случаях, предусмотренных ч. 8 ст. 14 ФЗ-152 (когда обработка необходима для защиты жизни / здоровья субъекта, исполнения договора, обеспечения безопасности и т.д.).
2.4.8. Вести реестр субъектов, отозвавших согласие на обработку ПДн, с целью исключения повторного использования их данных для целей, основанных на согласии.
4. Права
3.1. Ответственный за ПДн вправе:
— запрашивать у всех структурных подразделений и работников организации документы, сведения и объяснения, необходимые для исполнения своих полномочий;
— давать работникам ______ обязательные к исполнению указания по вопросам обработки и защиты ПДн в пределах своей компетенции;
— требовать немедленного устранения выявленных нарушений требований законодательства о ПДн;
— вносить Генеральный директор предложения о привлечении к ответственности работников, допустивших нарушения режима ПДн;
— участвовать в совещаниях по вопросам, затрагивающим обработку ПДн;
— обращаться в Роскомнадзор за разъяснениями по вопросам применения законодательства о ПДн;
— в установленном порядке повышать квалификацию по вопросам информационной безопасности и защиты ПДн.
— запрашивать у всех структурных подразделений и работников организации документы, сведения и объяснения, необходимые для исполнения своих полномочий;
— давать работникам ______ обязательные к исполнению указания по вопросам обработки и защиты ПДн в пределах своей компетенции;
— требовать немедленного устранения выявленных нарушений требований законодательства о ПДн;
— вносить Генеральный директор предложения о привлечении к ответственности работников, допустивших нарушения режима ПДн;
— участвовать в совещаниях по вопросам, затрагивающим обработку ПДн;
— обращаться в Роскомнадзор за разъяснениями по вопросам применения законодательства о ПДн;
— в установленном порядке повышать квалификацию по вопросам информационной безопасности и защиты ПДн.
5. Ответственность
4.1. Ответственный за ПДн несёт ответственность в соответствии с действующим законодательством Российской Федерации:
— дисциплинарную — за ненадлежащее исполнение или неисполнение должностных обязанностей;
— административную — за нарушения законодательства о ПДн: статья 13.11 КоАП РФ (штрафы до 500 000 рублей для должностных лиц; повторно — до 18 000 000 рублей для организации по 572-ФЗ);
— уголовную — за незаконный сбор или распространение сведений о частной жизни (статья 137 УК РФ);
— гражданско-правовую — за ущерб, причинённый оператору или субъектам ПДн вследствие виновных действий (бездействия).
4.2. Ответственный за ПДн не несёт ответственности за действия (бездействие) иных работников организации, повлёкшие нарушения режима ПДн, если он надлежащим образом исполнял обязанности по контролю и своевременно информировал руководителя организации о выявленных нарушениях.
— дисциплинарную — за ненадлежащее исполнение или неисполнение должностных обязанностей;
— административную — за нарушения законодательства о ПДн: статья 13.11 КоАП РФ (штрафы до 500 000 рублей для должностных лиц; повторно — до 18 000 000 рублей для организации по 572-ФЗ);
— уголовную — за незаконный сбор или распространение сведений о частной жизни (статья 137 УК РФ);
— гражданско-правовую — за ущерб, причинённый оператору или субъектам ПДн вследствие виновных действий (бездействия).
4.2. Ответственный за ПДн не несёт ответственности за действия (бездействие) иных работников организации, повлёкшие нарушения режима ПДн, если он надлежащим образом исполнял обязанности по контролю и своевременно информировал руководителя организации о выявленных нарушениях.
6. Взаимодействие
5.1. По вопросам обработки и защиты ПДн Ответственный за ПДн взаимодействует:
— с Генеральный директор ______ — по вопросам утверждения документов, принятия организационных решений, выделения ресурсов для защиты ПДн;
— с кадровой службой — по вопросам ознакомления работников, ведения личных дел, уволенных работников;
— с системным администратором — по вопросам реализации технических мер защиты ИСПДн, ведения журналов доступа;
— с юридической службой / внешними юристами — по вопросам правовой оценки запросов субъектов, взаимодействия с регуляторами;
— с Роскомнадзором, ФСТЭК России, органами прокуратуры — в рамках проверок и иных форм взаимодействия.
— с Генеральный директор ______ — по вопросам утверждения документов, принятия организационных решений, выделения ресурсов для защиты ПДн;
— с кадровой службой — по вопросам ознакомления работников, ведения личных дел, уволенных работников;
— с системным администратором — по вопросам реализации технических мер защиты ИСПДн, ведения журналов доступа;
— с юридической службой / внешними юристами — по вопросам правовой оценки запросов субъектов, взаимодействия с регуляторами;
— с Роскомнадзором, ФСТЭК России, органами прокуратуры — в рамках проверок и иных форм взаимодействия.
7. Заключительные положения
6.1. Настоящая Должностная инструкция вступает в силу с момента её утверждения приказом Генеральный директор и действует бессрочно.
6.2. Инструкция подлежит актуализации при изменении законодательства о ПДн, структуры организации или должностных обязанностей Ответственного за ПДн.
6.3. Контактные данные Ответственного за ПДн ______: ______, Генеральный Директор, e-mail: ______, тел.: ______.
6.4. Ссылка на Политику обработки персональных данных ______: ______.
Генеральный директор _________________ / ________________ /
С Должностной инструкцией ознакомлен(а) и один экземпляр получил(а):
Генеральный Директор _________________ / ______ /
Дата: ______
6.2. Инструкция подлежит актуализации при изменении законодательства о ПДн, структуры организации или должностных обязанностей Ответственного за ПДн.
6.3. Контактные данные Ответственного за ПДн ______: ______, Генеральный Директор, e-mail: ______, тел.: ______.
6.4. Ссылка на Политику обработки персональных данных ______: ______.
Генеральный директор _________________ / ________________ /
С Должностной инструкцией ознакомлен(а) и один экземпляр получил(а):
Генеральный Директор _________________ / ______ /
Дата: ______
Пояснения к пунктам
Общие положения
Инструкцию мало утвердить — по ней нужно обучить: фиксируйте ознакомление и периодическое обучение работников, допущенных к ПДн. При инциденте первым вопросом будет «был ли работник обучен».