ФЗ-152 прямо не устанавливает периодичность обновления политики в отношении обработки персональных данных. Однако закон требует, чтобы документы оставались актуальными и соответствовали фактическим процессам обработки и законодательству. Поэтому пересмотр политики должен проводиться не реже одного раза в год и обязательно при изменениях, которые затрагивают работу с ПДн.
Когда нужно обновлять политику ПДн:
- при внесении поправок в ФЗ-152 или смежные законы;
- при изменении целей или состава обрабатываемых данных;
- при внедрении новых информационных систем или сервисов, где обрабатываются ПДн;
- при изменении организационной структуры (например, назначение нового ответственного за ПДн);
- по результатам внутреннего аудита или предписаний Роскомнадзора.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан принимать меры для выполнения требований, включая актуализацию локальных актов.
- Ст. 19 ФЗ-152 — меры защиты ПДн должны предотвращать актуальные угрозы, а значит, политика должна отражать действующие практики.
- Постановление Правительства РФ № 1119 — требует поддерживать в актуальном состоянии организационные документы по защите ПДн.
Практика Роскомнадзора
На проверках РКН обращает внимание на дату утверждения политики. Если документ старый (например, принят 5 лет назад и ни разу не обновлялся), его признают формальным и не соответствующим реальной деятельности. В компаниях, где есть приказы об актуализации политики раз в год или после значимых изменений, претензий не возникает.
Что важно учитывать
- Рекомендуется закрепить в локальном акте обязанность ежегодного пересмотра политики.
- Если изменений нет, оформляется приказ «О признании политики актуальной».
- В случае изменений нужно подготовить новую редакцию и утвердить её приказом.
- Обновлённая политика должна быть опубликована на сайте (для компаний, работающих с клиентами).
Рекомендации и выводы
Да, политику ПДн нужно регулярно обновлять. Наилучший подход:
- Проверять её актуальность ежегодно.
- Вносить изменения при любых изменениях в законодательстве или бизнес-процессах.
- Утверждать новую редакцию приказом руководителя.
- Публиковать актуальную версию на сайте компании.
Компания ICTech поможет вашей организации наладить процесс регулярного пересмотра политики ПДн и подготовит новую редакцию в соответствии с изменениями закона и практикой Роскомнадзора.
