Исправление нарушений в области обработки и защиты персональных данных должно быть не только фактически выполнено, но и документально подтверждено. Это необходимо для того, чтобы при повторных проверках Роскомнадзора организация могла доказать, что выявленные ранее недостатки устранены.
Обоснование по законодательству
- Ст. 23 ФЗ-152 — Роскомнадзор вправе выдавать предписания об устранении нарушений.
- Ст. 19 ФЗ-152 — оператор обязан принимать организационные и технические меры и документировать их.
- Ст. 13.11 КоАП РФ — невыполнение предписаний надзорного органа влечёт ответственность.
Документы, подтверждающие устранение нарушений
- Отчёт об исполнении предписания — готовится ответственным за ПДн, содержит перечень мер, которые были выполнены, и прикладывается к ответу в Роскомнадзор.
- Акты выполненных работ (например, акт внедрения шифрования, акт уничтожения ПДн, акт обучения сотрудников).
- Приказы руководителя об утверждении или внесении изменений в локальные акты по ПДн.
- Обновлённые локальные акты (политика ПДн, инструкции, регламенты, перечни данных и т.д.).
- Протоколы заседаний комиссии по ПДн (если рассматривался вопрос устранения нарушений).
- Журнал регистрации предписаний и их исполнения — фиксирует факт поступления предписания, сроки и отметку об устранении.
- Письмо-уведомление в Роскомнадзор о выполнении предписания (с приложением копий подтверждающих документов).
Практика проверок Роскомнадзора
На практике регулятор требует показать не только факт устранения нарушений, но и подтверждающие документы. Например, при выявлении отсутствия политики ПДн организация должна предъявить утверждённую политику с приказом и журналом ознакомления сотрудников. Если проблема заключалась в отсутствии актов об уничтожении, требуется предоставить эти акты с датами и подписями.
Рекомендации и выводы
Для документального подтверждения исправления нарушений организация должна:
- хранить все приказы, акты и отчёты по выполненным мерам;
- фиксировать изменения в локальных актах;
- вести журнал исполнения предписаний;
- направлять в Роскомнадзор официальный отчёт с приложением копий документов.
Компания ICTech поможет вашей организации не только устранить нарушения, выявленные Роскомнадзором, но и правильно оформить подтверждающие документы, чтобы гарантированно закрыть предписание.
