Филиал компании, даже если он не является самостоятельным юрлицом, считается структурным подразделением оператора персональных данных и обязан соблюдать требования ФЗ-152. Это значит, что в каждом филиале должны быть как минимум копии основных документов по ПДн, утверждённых в головной организации, а также свои собственные документы, связанные с текущей работой филиала.
Обязательные документы в филиале
- Копии централизованных документов:
- Политика обработки ПДн (для открытого доступа).
- Положение об обработке и защите ПДн (внутренний регламент).
- Регламент по срокам хранения и уничтожению ПДн.
- Инструкции по работе с ПДн для сотрудников.
- Локальные документы филиала:
- Приказ о назначении ответственного за ПДн в филиале.
- Журналы учёта:
- доступов к ПДн,
- уничтожения ПДн,
- инструктажей сотрудников,
- обращений субъектов ПДн.
- Акты:
- об уничтожении ПДн,
- о блокировке или ограничении обработки ПДн (при обращениях субъектов),
- об обезличивании ПДн (если применяется).
- Перечень сотрудников, имеющих доступ к ПДн.
- Перечень помещений, где хранятся документы с ПДн.
- Документы по персоналу филиала:
- Согласия сотрудников на обработку их ПДн.
- Обязательства о неразглашении ПДн.
- Подписи сотрудников об ознакомлении с политикой и инструкциями.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан утверждать документы, определяющие политику в отношении обработки ПДн и процедуры их защиты.
- Ст. 19 ФЗ-152 — меры безопасности должны быть реализованы во всех местах обработки данных.
- ТК РФ, ст. 86–90 — закрепляют специальные правила для персональных данных работников.
- Разъяснения Роскомнадзора — филиалы обязаны документально подтверждать, что они действуют в рамках политики головной компании.
Практика проверок Роскомнадзора
При проверках филиалов инспекторы запрашивают все ключевые документы: политику, положение, приказы и журналы. Например, в одной сети торговых точек штраф наложили за то, что в филиале не было приказа о назначении ответственного и не велись журналы доступа. В другой компании (с филиальной сетью) проверка прошла без нарушений, так как у каждого филиала был свой пакет рабочих документов, а централизованные документы — в копиях.
Что важно учесть
- Недостаточно хранить все документы в головном офисе: филиал должен подтвердить свою готовность к проверке.
- Даже если обработка ПДн в филиале минимальна (например, только кадровый учёт), всё равно нужны базовые документы.
- Ответственный за ПДн в филиале должен быть назначен отдельным приказом.
Рекомендации и выводы
Каждый филиал компании обязан иметь полный набор документов, обеспечивающих законную обработку ПДн. Централизованные документы достаточно оформить в головном офисе, но филиал должен хранить их копии и вести свои журналы, приказы и акты.
Компания ICTech поможет вашей организации составить список обязательных документов для филиалов и разработать унифицированные формы (журналы, акты, приказы), чтобы все подразделения были одинаково готовы к проверке Роскомнадзора.
