Пакет документов по защите персональных данных — это системный набор локальных нормативных актов, приказов, регламентов, журналов и договоров, которые подтверждают, что организация выполняет требования Федерального закона № 152-ФЗ «О персональных данных» и подзаконных актов.
Этот пакет показывает, что компания:
- определила цели и основания обработки ПДн;
- назначила ответственных лиц;
- установила правила доступа и защиты данных;
- оформила порядок хранения, передачи и уничтожения ПДн;
- документально подтверждает все свои действия при проверке Роскомнадзора.
Фактически это «скелет» всей системы защиты персональных данных, без которого оператор не сможет доказать свою добросовестность.
В состав пакета документов обычно входят:
- организационно-распорядительные документы (приказ о назначении ответственного за ПДн, политика по ПДн, положение об обработке ПДн);
- регламенты и инструкции (по доступу к ПДн, резервному копированию, уничтожению, реагированию на инциденты);
- учётные формы (журнал согласий, журнал обращений субъектов, перечень обрабатываемых ПДн);
- согласия работников, клиентов и иных субъектов на обработку их данных;
- договоры с подрядчиками и контрагентами с условиями обработки ПДн;
- акты (уничтожения, обезличивания, блокировки ПДн).
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — обязывает оператора принимать организационные меры, включая разработку локальных актов.
- Ст. 19 ФЗ-152 — требует документально закрепить технические и организационные меры защиты ПДн.
- Ст. 22.1 ФЗ-152 — оператор обязан документально подтверждать выполнение требований закона.
- Постановление Правительства РФ № 1119 — устанавливает правила документирования мер по защите ПДн.
Практика Роскомнадзора
На проверках инспекторы в первую очередь запрашивают пакет документов. Если он отсутствует или представлен частично, это рассматривается как грубое нарушение. В одной организации был только документ «Политика ПДн», без приказа о назначении ответственного и без журналов — проверка закончилась предписанием и административным делом. В другой компании был полный пакет, включая акты уничтожения ПДн — проверка прошла без нарушений.
Что важно учитывать компаниям
- Пакет документов должен быть не «для галочки», а реально работающим.
- Документы должны быть актуальными и соответствовать фактическим процессам.
- Разные категории организаций (ООО, ИП, ТСЖ, клиники, школы) должны иметь документы с учётом своей специфики.
Рекомендации и выводы
Пакет документов по защите ПДн — это обязательный инструмент для любой организации, которая обрабатывает персональные данные. Рекомендуем:
- Составить перечень документов, необходимых именно для вашей сферы.
- Утвердить их приказами руководителя.
- Вести журналы и акты регулярно, а не «для проверки».
- Обновлять пакет при изменении процессов или законодательства.
Компания ICTech разработает для вашей организации полный пакет документов по защите ПДн — от политики и положений до журналов и актов — с учётом специфики бизнеса. Это избавит от штрафов и вопросов Роскомнадзора.
