Обоснование по законодательству
- Ст. 18.1 ФЗ-152: оператор обязан принимать локальные акты, устанавливающие процедуры обработки и защиты персональных данных.
- Ст. 19 ФЗ-152: меры по обеспечению безопасности ПДн должны быть закреплены во внутренних документах.
- Проверки Роскомнадзора показывают, что форма документа (регламент, положение, правила) не имеет значения, если он содержит все необходимые положения и утверждён руководителем.
Практика применения
Роскомнадзор в методических рекомендациях подчёркивает, что компания вправе выбрать название документа, но его содержание должно быть полным: включать перечень обрабатываемых данных, цели, порядок доступа, сроки хранения, меры защиты. В некоторых организациях проверка признаёт достаточным единый внутренний акт, включающий положения о работе с ПДн. В других случаях инспекторы делают замечания, если в акте не охвачены все процессы (например, порядок уничтожения данных или права субъектов).
Что важно учесть
Если компания решает объединить документы и вместо отдельного регламента оформить внутренний акт, необходимо:
- предусмотреть в нём все разделы, предусмотренные законодательством;
- утвердить документ приказом руководителя;
- ознакомить сотрудников под подпись;
- актуализировать его при изменении процессов или требований закона.
Рекомендации и выводы
Да, можно оформить единый внутренний акт вместо отдельного регламента, но он должен содержать полный набор правил работы с персональными данными. Ошибкой будет оставить только «Политику в отношении обработки ПДн», так как это публичный документ, а внутренние процедуры остаются неурегулированными.
Компания ICTech поможет вашей организации разработать правильный локальный акт, который заменит отдельный регламент и при этом будет соответствовать требованиям ФЗ-152 и практике проверок Роскомнадзора.
