Акт передачи персональных данных — это документ, фиксирующий сам факт и условия передачи ПДн между подразделениями организации или внешним подрядчиком. Он нужен для доказательства законности действий и выполнения требований ФЗ-152, особенно при проверках Роскомнадзора.
Что должно быть в акте передачи ПДн
- Реквизиты документа — дата, номер, наименование организации.
- Основание передачи — ссылка на договор, поручение или внутренний приказ.
- Стороны передачи — ФИО и должность сотрудника, передающего данные, и ФИО/должность получателя (или наименование организации-подрядчика).
- Перечень передаваемых данных — например: «анкеты кандидатов», «списки сотрудников с паспортными данными», «база клиентов в формате Excel».
- Форма передачи — бумажные документы, электронные файлы, защищённые каналы связи, зашифрованные архивы.
- Количество носителей или документов — чтобы исключить риск утраты.
- Подписи сторон — передающего и принимающего, а при необходимости — членов комиссии.
Обоснование по законодательству
- Ст. 6 ФЗ-152 — передача ПДн допускается только при наличии законного основания (согласие субъекта или иной правовой механизм).
- Ст. 19 ФЗ-152 — оператор обязан обеспечивать безопасность ПДн, в том числе при их передаче.
- Ст. 18.1 ФЗ-152 — оператор должен документировать процессы обработки данных.
Практика и подход Роскомнадзора
При проверках инспекторы часто запрашивают акты передачи ПДн подрядчикам. В одной организации была передача базы клиентов в бухгалтерскую фирму без документального подтверждения — Роскомнадзор вынес предписание устранить нарушение. В другой компании акты оформлялись регулярно, с указанием каналов передачи и перечня данных, что подтвердило прозрачность обработки.
Что важно учесть
- В акте лучше указать не только факт передачи, но и меры защиты (например, «архив зашифрован, пароль передан по телефону»).
- Если передача происходит регулярно, можно утвердить форму акта и вести журнал.
- Для подрядчиков акт часто прикладывается к договору обработки ПДн или поручению.
Рекомендации и выводы
Акт передачи ПДн помогает компании доказать соблюдение принципов прозрачности и безопасности обработки. Чтобы избежать претензий Роскомнадзора:
- Всегда оформляйте акт при передаче данных на бумаге или в электронном виде.
- Фиксируйте состав передаваемой информации и способ передачи.
- Включите порядок оформления актов в регламент по работе с ПДн.
Компания ICTech подготовит для вашей организации шаблон акта передачи ПДн и встроит его в пакет документов по ФЗ-152. Это позволит корректно документировать все операции с данными и защитить бизнес при проверках.
