Однако полностью свести все документы к одному нельзя: часть должна существовать обособленно по своей природе. Например, приказы о назначении ответственного за ПДн, журналы учёта, акты об уничтожении не могут быть объединены, так как являются первичными документами и доказательствами конкретных действий.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан утверждать документы, определяющие политику в отношении ПДн и устанавливающие процедуры, направленные на предотвращение нарушений.
- Ст. 19 ФЗ-152 — меры безопасности должны быть документально подтверждены.
- ТК РФ, ст. 86–90 — персональные данные работников защищаются локальными актами работодателя.
- Разъяснения Роскомнадзора указывают, что организация вправе самостоятельно определять структуру и форму документов, но при проверке должны быть представлены все обязательные положения, приказы и журналы.
Практика проверок и рекомендации Роскомнадзора
Роскомнадзор в ряде проверок признавал допустимым объединение документов, если в них содержались все обязательные положения. Например, в одной компании был единый «Регламент обработки и защиты ПДн», включавший политику, правила доступа и порядок уничтожения. Это было признано достаточным. Но в другой организации попытались объединить приказы, журналы и акты в «сводный документ», что проверяющие посчитали нарушением: акты должны существовать отдельно.
Что важно учесть при объединении
- Все обязательные реквизиты должны быть сохранены.
- Документ должен быть удобен для использования и проверки: если в одном акте собраны 15 разных положений, инспектору будет сложно разобраться.
- Приказы, журналы и акты должны оставаться самостоятельными.
- Объединять можно только регламентирующие локальные акты (например, положение + регламент доступа).
Рекомендации и выводы
Да, часть документов по ПДн можно объединять, но только те, которые носят общий регламентирующий характер. Приказы, акты и журналы должны оформляться отдельно. На практике лучше выделять ключевые документы (политику, положение, порядок доступа) и объединять только смежные разделы, чтобы не перегружать документооборот.
Компания ICTech поможет вашей организации правильно структурировать пакет документов по ПДн: выделить обязательные акты и объединить те, которые можно оформить вместе, чтобы соблюсти закон и минимизировать бюрократию.
