Можно ли ограничиться только политикой по персональным данным?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Нет, ограничиться только политикой нельзя. Политика по обработке персональных данных — это обязательный, но далеко не единственный документ. Она нужна для публичного размещения и информирования клиентов и сотрудников о том, как организация работает с ПДн. Однако ФЗ-152 требует, чтобы у оператора были и внутренние локальные акты, и приказы, и регламенты, регулирующие порядок обработки и защиты данных.

Что обязательно помимо политики:

- Приказ о назначении ответственного за обработку ПДн — без этого документального закрепления оператор автоматически нарушает закон.
- Положение об обработке и защите ПДн — внутренний регламент, который определяет порядок обработки, категории данных, меры защиты.
- Формы согласий субъектов — требуются в тех случаях, когда согласие необходимо.
- Приказы и списки сотрудников, допущенных к обработке ПДн.
- Регламенты по хранению, уничтожению и обезличиванию данных.
- Журнал учёта обращений субъектов ПДн — подтверждает выполнение обязанностей по взаимодействию с субъектами.

Проверки и практика Роскомнадзора

Роскомнадзор неоднократно подчёркивал: наличие только политики недостаточно. Политика отражает публичные обязательства, но не заменяет внутренние регламенты.
Пример: у ИП на сайте была опубликована политика, но отсутствовали приказы и положение. Проверка РКН установила нарушение — выдано предписание подготовить локальные акты.
В другой компании политика была, и вдобавок имелись внутренние инструкции по уничтожению ПДн. Проверка подтвердила соответствие требованиям, замечаний не последовало.

Что важно учитывать

• Политика — это «витрина» для клиентов и проверяющих, но без внутренней базы она не имеет юридической силы.
• Даже микробизнес обязан иметь минимальный комплект ЛНА (политика, приказ о назначении ответственного, формы согласий, положение).
• При проверке РКН запрашиваются именно внутренние документы, а не только публичная политика.

Рекомендации и выводы

Нет, ограничиться одной политикой нельзя. Это лишь часть документационного комплекса. Чтобы организация реально соответствовала ФЗ-152:

1. Разработайте внутреннее положение об обработке ПДн.
2. Издайте приказы о назначении ответственного и допуске сотрудников.
3. Подготовьте формы согласий и регламент уничтожения ПДн.
4. Обеспечьте хранение всех документов и готовность их показать при проверке.

Компания ICTech разработает для вашей организации полный комплект документов по ФЗ-152. Мы не только подготовим политику, но и создадим все внутренние регламенты, приказы и формы, чтобы ваша компания была полностью готова к проверке Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге