Роскомнадзор при проверках уделяет особое внимание не только наличию документов по защите персональных данных, но и их качеству. На практике большинство нарушений связано не с отсутствием бумаг, а с тем, что они составлены формально и не отражают реальных процессов в компании.
Основные ошибки в документах
- Использование шаблонных политик и положений, не адаптированных под деятельность организации. Например, в документах указаны базы данных, которых у компании нет, или наоборот — отсутствует учёт реальных систем.
- Отсутствие конкретики: общие формулировки без указания перечня ПДн, сроков хранения, целей обработки. Такие документы признаются несоответствующими ФЗ-152.
- Несогласованность документов между собой. В политике указаны одни цели обработки, в положении или согласиях — другие.
- Противоречие Трудовому кодексу и внутренним актам работодателя (например, неверно оформленные согласия работников).
- Отсутствие утверждающих приказов. Даже если документы разработаны, но не введены в действие приказом руководителя, Роскомнадзор считает их нерабочими.
- Неверное оформление согласий субъектов: нет обязательных реквизитов (срока действия, целей обработки, прав субъекта, порядка отзыва).
- Нет документов, подтверждающих процедуры: акты уничтожения, журналы ознакомления сотрудников, приказы о назначении ответственного.
Позиция Роскомнадзора и примеры проверок
- В ряде проверок инспекторы отмечали, что политика по ПДн публиковалась на сайте, но в компании не было внутреннего положения и перечня обрабатываемых данных. Такой пакет признан неполным.
- В медицинских организациях часто выявляется, что согласия пациентов оформлены без указания специальных категорий данных (здоровья), что делает их юридически ничтожными.
- В школах и вузах находят типовые положения, не учитывающие реальные информационные системы и процессы — такие документы требуют доработки.
Что важно учитывать компаниям
Роскомнадзор оценивает не только «наличие», но и «работоспособность» документов:
- должны быть чёткие ссылки на законы и локальные процессы;
- внутренние акты должны соответствовать фактической практике;
- документы должны регулярно обновляться при изменении процессов.
Рекомендации и выводы
Наиболее частые ошибки — формальность, шаблонность и несоответствие реальной деятельности. Чтобы избежать претензий, важно провести аудит пакета документов, сверить их с фактическими процессами и утвердить приказами.
Компания ICTech проводит аудит документации по ПДн, выявляет несоответствия и готовит рабочий пакет документов, который соответствует требованиям ФЗ-152 и практике проверок Роскомнадзора.
