Какие локальные акты должна иметь каждая организация по персональным данным?

Каждая организация, обрабатывающая персональные данные, обязана иметь внутренние локальные акты (ЛНА), которые регулируют порядок работы с ПДн. Эти документы не только фиксируют обязанности сотрудников и меры защиты, но и служат главным доказательством законности обработки при проверке Роскомнадзора.

Минимальный набор локальных актов по ФЗ-152:

1. Политика в отношении обработки персональных данных — публичный документ, который должен быть размещён в открытом доступе (например, на сайте компании).
2. Положение об обработке и защите ПДн — внутренний документ, определяющий цели, категории данных, способы их обработки и порядок взаимодействия сотрудников.
3. Приказ о назначении ответственного за обработку ПДн — назначает конкретное лицо, отвечающее за соблюдение законодательства.
4. Приказ об утверждении перечня сотрудников, допущенных к работе с ПДн — разграничивает доступ.
5. Регламент (инструкция) по обработке ПДн в ИСПДн (если данные хранятся в электронных системах) — устанавливает правила доступа, хранения, резервного копирования, уничтожения.
6. Регламент по уничтожению и обезличиванию ПДн — порядок уничтожения бумажных и электронных носителей, актов списания.
7. Журнал учёта обращений субъектов ПДн — фиксирует запросы, исправления и отказы в обработке.
8. ЛНА по мерам безопасности — в зависимости от специфики: порядок хранения в сейфах, пароли на компьютерах, правила пересылки данных по e-mail.

Обоснование по законодательству

• ФЗ-152, ст. 18.1 — оператор обязан принять локальные акты, определяющие политику в отношении обработки ПДн, назначить ответственного и вести учёт обращений субъектов.
• ФЗ-152, ст. 19 — закрепляет обязанность оператора принимать правовые, организационные и технические меры по защите данных.
• Приказ ФСТЭК России № 21 от 18.02.2013 — требует разработки организационно-распорядительной документации для защиты ПДн в информационных системах.

Проверки и требования Роскомнадзора

Роскомнадзор при проверках первым делом запрашивает:

• политику и положение об обработке ПДн;
• приказ о назначении ответственного;
• формы согласий субъектов;
• регламенты по защите и уничтожению ПДн.

В практике встречаются случаи, когда компании имели только «формальную» политику на сайте, но не вели внутренние регламенты. РКН счёл это нарушением, так как закон требует комплексных локальных актов, а не формальных публикаций.

Что важно учитывать компаниям

• Локальные акты должны быть не просто скачаны из интернета, а адаптированы под деятельность компании.
• Даже у микробизнеса (ИП или небольшого ООО) должен быть минимум: политика, приказ о назначении ответственного и формы согласий.
• Внутренние инструкции должны реально применяться в работе, иначе при проверке РКН признает документы «фиктивными».

Рекомендации и выводы

Каждая организация, обрабатывающая ПДн, обязана иметь локальные акты, регулирующие работу с персональными данными. Чтобы соответствовать ФЗ-152:

1. Подготовьте политику и положение об обработке ПДн.
2. Издайте приказы: о назначении ответственного, об утверждении перечня сотрудников, допущенных к ПДн.
3. Введите регламенты по безопасности, уничтожению и обезличиванию данных.
4. Ведите журналы учёта обращений субъектов.

Компания ICTech разработает для вашей организации полный пакет локальных актов по ФЗ-152 — с учётом специфики бизнеса. Это позволит пройти проверку Роскомнадзора без штрафов и реально выстроить систему защиты данных.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге