Если в организации создаётся комиссия по вопросам обработки и защиты персональных данных (например, для расследования инцидентов, уничтожения данных, проведения внутреннего аудита или проверки документации), её деятельность должна быть оформлена документально. Это необходимо, чтобы подтвердить законность действий и показать Роскомнадзору наличие организационных мер.
Обоснование по законодательству
- Ст. 19 ФЗ-152 — обязывает операторов документировать организационные меры по обеспечению безопасности ПДн.
- Ст. 18.1 ФЗ-152 — оператор должен утверждать внутренние акты, определяющие порядок обработки ПДн и ответственность сотрудников.
- ТК РФ, ст. 8 и 22 — работодатель имеет право утверждать локальные нормативные акты, обязательные для сотрудников.
Документы, фиксирующие работу комиссии
- Приказ о создании комиссии — определяет состав, полномочия и задачи комиссии.
- Протоколы заседаний комиссии — отражают ход рассмотрения вопросов, результаты голосования, выводы.
- Акты по итогам работы (например, акт об уничтожении ПДн, акт расследования инцидента, акт проверки документации).
- Отчёты комиссии — итоговый документ с рекомендациями и выводами.
- Журнал регистрации заседаний комиссии — фиксирует даты, повестку и участников заседаний.
Практика проверок Роскомнадзора
На проверках регулятор уделяет внимание тому, как организация документирует действия комиссии. Например, при уничтожении бумажных носителей с ПДн Роскомнадзор требует предъявить акт, подписанный членами комиссии. В случаях инцидентов или жалоб субъектов проверяется наличие протоколов заседаний, где рассматривались обстоятельства и принимались решения.
Что важно учитывать
- Документы комиссии должны содержать подписи всех членов.
- Протоколы и акты подшиваются в отдельное дело по ПДн и хранятся установленный срок.
- Если комиссия создаётся временно (например, для разового расследования), приказ должен определять срок её работы.
Рекомендации и выводы
Документы комиссии подтверждают, что организация системно подходит к обработке ПДн, принимает решения коллегиально и фиксирует их надлежащим образом. Наличие приказов, протоколов и актов минимизирует риски при проверках.
Компания ICTech поможет вашей организации разработать шаблоны документов для работы комиссий по ПДн: приказы, протоколы, акты и журналы. Это обеспечит соответствие требованиям ФЗ-152 и создаст доказательную базу при проверках.
