На практике многие путают эти два документа, но их назначение различается.
Политика в отношении обработки персональных данных — это публичный документ. Она размещается на сайте или предоставляется по запросу любому субъекту ПДн. Политика должна быть написана простым и понятным языком, так как её задача — информировать клиентов, сотрудников, партнёров о том, какие данные собираются, зачем и как обрабатываются.
Положение об обработке и защите персональных данных — это внутренний локальный акт организации. Его цель — регламентировать конкретные процессы обработки, определить права и обязанности сотрудников, меры защиты, порядок передачи и уничтожения данных. Положение является основным рабочим документом для внутреннего контроля и проверок Роскомнадзора.
Главное отличие:
- Политика — для субъектов данных и внешних пользователей (прозрачность).
- Положение — для самой компании и Роскомнадзора (регламент работы).
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — обязывает оператора принимать локальные акты, в том числе политику в отношении обработки ПДн.
- Ст. 19 ФЗ-152 — требует закрепления мер по защите ПДн, что отражается в положении.
- Письма Роскомнадзора — неоднократно подчёркивают, что политика должна быть публичной, а положение — внутренним документом.
Практика и позиция Роскомнадзора
При проверках РКН обычно первым делом смотрит политику на сайте компании. Если её нет или она шаблонная, это фиксируется как нарушение.
Далее инспекторы запрашивают внутреннее положение. Если положение отсутствует или не соответствует фактическим процессам обработки (например, не учитывает онлайн-формы на сайте), организация получает предписание доработать документы.
В ряде случаев РКН отмечал, что компании ограничивались только политикой, что недопустимо — наличие одного документа не освобождает от обязанности иметь и положение.
Важные моменты для компаний
- Политика должна быть написана простым языком, без избыточных юридических терминов.
- Положение может быть детальным, со ссылками на нормативные акты, внутренние регламенты, распределением обязанностей между сотрудниками.
- Оба документа должны быть согласованы между собой: то, что заявлено в политике, должно находить отражение в положении.
Рекомендации и выводы
Политика и положение — это два обязательных, но разных документа:
- Политика — публичный документ для клиентов, партнёров и сотрудников.
- Положение — внутренний регламент, который проверяет Роскомнадзор.
- Недостаточно иметь только политику, оба документа нужны для полного соблюдения ФЗ-152.
Компания ICTech разработает для вашей организации политику и положение по персональным данным, согласованные между собой и адаптированные под специфику вашего бизнеса. Это поможет пройти проверку Роскомнадзора без штрафов и укрепить доверие клиентов.
