Передача персональных данных между филиалами компании — это одна из форм обработки ПДн, и она должна быть документально оформлена, даже если речь идёт о внутреннем перемещении данных в рамках одной организации. Закон требует фиксировать такие процессы, чтобы обеспечить прозрачность, контроль и доказательство законности передачи.
Обоснование по законодательству
- Ст. 3 ФЗ-152 — передача данных (в том числе внутри компании) является обработкой ПДн.
- Ст. 18.1 ФЗ-152 — оператор обязан закреплять правила обработки ПДн в локальных актах.
- Ст. 19 ФЗ-152 — требует мер по предотвращению несанкционированного доступа и фиксации всех действий с ПДн.
- Ст. 21 ФЗ-152 — субъекты ПДн имеют право знать о передаче их данных, что также накладывает обязанность документировать такие процессы.
Практика проверок Роскомнадзора
На практике РКН рассматривает филиалы как структурные подразделения оператора, а значит, ответственность за обработку остаётся за головной компанией. Проверяющие требуют, чтобы был документально закреплён порядок передачи данных: кто отвечает за передачу, в каком виде, какими каналами связи, как обеспечивается защита, а также каким образом фиксируется факт передачи (акты, журналы).
Какие документы использовать
- Регламент (положение) о порядке передачи ПДн между филиалами — общий документ, утверждённый приказом руководителя.
- Журнал учёта передач ПДн — фиксирует факт передачи: дата, филиал-отправитель, филиал-получатель, объём и вид данных, ответственные лица.
- Акт передачи ПДн (в случае значительных объёмов или разовых передач) — подписывается сторонами (например, руководителями подразделений).
- Приказы/распоряжения — определяют уполномоченных сотрудников для работы с передачей данных.
Рекомендации и выводы
Да, документировать передачу ПДн между филиалами необходимо. Это снижает риски утечек и подтверждает соблюдение требований ФЗ-152 при проверках. Лучший вариант — вести как общий регламент, так и журналы/акты.
Компания ICTech поможет вашей организации разработать удобный порядок внутренней передачи ПДн, подготовить регламент, журналы и формы актов. Это избавит от претензий Роскомнадзора и покажет, что ваша компания контролирует весь цикл обработки данных.
