Алексей Ветров
Эксперт по защите данных IC-TECH
Да, политика по персональным данным должна быть доведена до сведения сотрудников, и обычно это делается в бумажном виде. Закон напрямую не обязывает оформлять только бумажный экземпляр, но обязанность оператора — обеспечить доступ работников к документу. На практике это означает, что у сотрудников должна быть возможность ознакомиться с политикой и подтвердить этот факт своей подписью.
В организациях распространено два варианта:
- Политика утверждается приказом руководителя, распечатывается и хранится в доступе в бумажном виде. Сотрудники знакомятся под подпись в специальном журнале.
- Политика размещается в локальной сети или корпоративной системе. В этом случае фиксируется электронное подтверждение ознакомления (например, отметка в системе документооборота).
Таким образом, хотя обязательной именно бумажной формы закон не требует, для внутреннего документооборота и проверок Роскомнадзора надёжнее иметь бумажный экземпляр с подписями сотрудников.
В организациях распространено два варианта:
- Политика утверждается приказом руководителя, распечатывается и хранится в доступе в бумажном виде. Сотрудники знакомятся под подпись в специальном журнале.
- Политика размещается в локальной сети или корпоративной системе. В этом случае фиксируется электронное подтверждение ознакомления (например, отметка в системе документооборота).
Таким образом, хотя обязательной именно бумажной формы закон не требует, для внутреннего документооборота и проверок Роскомнадзора надёжнее иметь бумажный экземпляр с подписями сотрудников.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152, ч. 2 п. 2 — оператор обязан опубликовать документ, определяющий его политику в отношении обработки ПДн, и обеспечить неограниченный доступ к нему. Это касается и сотрудников.
- Ст. 22 Трудового кодекса РФ — работодатель обязан знакомить работников с локальными нормативными актами, относящимися к их деятельности, под подпись.
- Позиция Роскомнадзора — инспекторы часто требуют предоставить доказательства того, что сотрудники ознакомлены с политикой (журналы или иные документы).
Практика проверок Роскомнадзора
При проверках Роскомнадзор запрашивает журнал ознакомления сотрудников с политикой или приказы, подтверждающие факт доведения документа. В организациях, где политика была размещена только на сайте без подтверждения ознакомления работников, инспекторы фиксировали нарушения и требовали устранения.
Что важно учитывать компаниям
- Ознакомление должно быть подтверждено документально — подписью или электронной фиксацией.
- Бумажная форма — самый простой и надёжный способ подтвердить это при проверке.
- В крупных компаниях допустимо использование электронных систем документооборота, но с возможностью выгрузки подтверждений.
Рекомендации и выводы
Да, для сотрудников лучше иметь политику ПДн в бумажном виде и журнал ознакомления. Это надёжнее с точки зрения проверок и защиты компании от претензий. Чтобы действовать правильно:
- Утвердите политику приказом руководителя.
- Распечатайте документ и ознакомьте с ним сотрудников под подпись.
- Храните журнал или листы ознакомления вместе с кадровыми документами.
Компания ICTech поможет вашей организации разработать политику ПДн, оформить журнал ознакомления и включить все обязательные документы в пакет по 152-ФЗ.
