Политика по обработке персональных данных утверждается руководителем организации (директором, генеральным директором, председателем и т.п.). В индивидуальном предпринимательстве её утверждает сам ИП.
Документ вводится в действие приказом (распоряжением) руководителя, где указывается:
- название утверждаемого документа;
- дата введения в действие;
- ответственный за контроль исполнения.
Таким образом, именно руководитель несёт конечную ответственность за то, что политика соответствует требованиям ФЗ-152, а сотрудники и назначенное ответственное лицо по ПДн обеспечивают её практическое выполнение.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — обязывает оператора принимать организационные меры, включая утверждение локальных актов.
- Ст. 19 ФЗ-152 — закрепляет необходимость документально оформлять меры по защите ПДн.
- Трудовой кодекс РФ, ст. 8 — внутренние локальные нормативные акты утверждаются работодателем.
- Методические рекомендации Роскомнадзора — подчёркивают, что политика утверждается именно руководителем компании.
Позиция Роскомнадзора
На проверках инспекторы обязательно запрашивают приказ об утверждении политики. Если документ существует, но не имеет подписи руководителя или даты, он считается недействительным. В одном из случаев организация предоставила политику с подписью ответственного по ПДн, но без утверждения директором. Роскомнадзор указал, что документ не имеет юридической силы.
Что важно учитывать компаниям
- Недостаточно просто разместить текст политики на сайте — он должен быть утверждён внутренним приказом.
- Дата утверждения и подпись руководителя — обязательные реквизиты.
- Для ИП достаточно утверждения самим предпринимателем.
Рекомендации и выводы
Политику по ПДн утверждает исключительно руководитель организации. Чтобы документ имел юридическую силу и принимался Роскомнадзором:
- Подготовьте текст политики в соответствии с требованиями ФЗ-152.
- Утвердите её приказом руководителя.
- Опубликуйте в открытом доступе (на сайте или в офисе).
- Обновляйте и заново утверждайте при изменении законодательства или внутренних процессов.
Компания ICTech подготовит для вашей организации политику по ПДн и оформит все необходимые приказы об утверждении. Это позволит документу быть юридически значимым и соответствовать требованиям проверяющих.
