Проверка полноты пакета документов по персональным данным — это фактически внутренний аудит компании на соответствие требованиям 152-ФЗ. Чтобы понять, всё ли у вас оформлено правильно, нужно пройтись по ключевым категориям документов и сравнить их с требованиями закона и практикой Роскомнадзора.
В пакет обязательно должны входить:
- организационно-распорядительные документы (приказ о назначении ответственного за ПДн, политика по ПДн, положение об обработке ПДн, перечень обрабатываемых ПДн, приказ о допуске сотрудников);
- регламенты и инструкции (доступ, уничтожение, резервное копирование, архивное хранение, реагирование на инциденты);
- журналы и учётные формы (журнал согласий, журнал обращений субъектов, журнал инструктажа, журнал нарушений);
- согласия субъектов (работников, клиентов, детей — с родителями);
- договоры и обязательства (с подрядчиками на обработку ПДн, обязательства сотрудников о неразглашении);
- акты (об уничтожении ПДн, об обезличивании, о блокировке по запросу субъекта).
Если какой-то из этих блоков отсутствует, пакет считается неполным.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — требует от операторов принятия организационных и правовых мер, включая локальные акты.
- Ст. 19 ФЗ-152 — закрепляет необходимость документального оформления мер защиты ПДн.
- Постановление Правительства РФ № 1119 — обязывает документировать меры защиты применительно к информационным системам.
- Методические рекомендации Роскомнадзора — указывают на необходимость наличия политики, положения, приказов, журналов и согласий.
Позиция Роскомнадзора
На проверках инспекторы действуют по чек-листу: они запрашивают не один документ (например, только политику), а сразу весь пакет. В ряде случаев Роскомнадзор прямо указывает, что наличие только «Политики по ПДн» или «Согласий сотрудников» не является достаточным. Проверяется полнота, актуальность и соответствие фактической деятельности.
Что важно учитывать компаниям
Пакет документов должен быть:
- полным — включать все обязательные акты;
- актуальным — соответствовать действующему законодательству и реальным процессам;
- рабочим — применяться в ежедневной деятельности (например, журналы должны реально вестись).
Рекомендации и выводы
Чтобы убедиться, что пакет документов у вашей компании полный и корректный:
- Проведите внутреннюю проверку наличия документов по каждому блоку.
- Сверьте их содержание с фактическими процессами (например, если есть видеонаблюдение — это должно быть отражено в положении и согласиях).
- Проверьте актуальность документов: устаревшие шаблоны без ссылок на последние изменения закона могут привести к штрафу.
- При необходимости закажите внешний аудит, чтобы выявить пробелы.
Компания ICTech поможет вашей организации провести аудит документов, выявить недочёты и доработать пакет под требования 152-ФЗ. Это гарантирует готовность к проверке Роскомнадзора и защиту бизнеса от претензий.
