Алексей Ветров
Эксперт по защите данных IC-TECH
Да, приказ о разработке и утверждении политики в отношении обработки персональных данных обязателен. Политика по ФЗ-152 — это публичный документ, который должен быть утверждён руководителем и размещён для свободного доступа (например, на сайте компании). А утверждение любых локальных актов в организации оформляется именно приказом.
Что фиксирует приказ:
- основание разработки (ФЗ-152, ст. 18.1);
- поручение ответственному сотруднику подготовить проект политики;
- порядок согласования и утверждения документа;
- указание на размещение политики в открытом доступе;
- обязанность ознакомления сотрудников с документом.
Что фиксирует приказ:
- основание разработки (ФЗ-152, ст. 18.1);
- поручение ответственному сотруднику подготовить проект политики;
- порядок согласования и утверждения документа;
- указание на размещение политики в открытом доступе;
- обязанность ознакомления сотрудников с документом.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан публиковать политику в отношении обработки ПДн.
- Ст. 22 ФЗ-152 — обязывает назначить ответственное лицо, которое в числе прочего участвует в подготовке локальных актов.
- Ст. 19 ФЗ-152 — закрепляет обязанность оператора принимать организационные меры защиты ПДн, что оформляется через локальные акты.
Практика проверок Роскомнадзора
- РКН при проверках запрашивает не только текст политики, но и приказ о её утверждении.
- В одной компании политика была опубликована на сайте, но приказ об утверждении отсутствовал. РКН признал документ недействительным, так как не было доказательства его официального введения.
- В другой организации политика была утверждена приказом, размещена на сайте и доведена до сотрудников. Проверка подтвердила корректность оформления.
Важные моменты
- Приказ может быть отдельным («Об утверждении политики обработки ПДн») или включать сразу несколько документов (например, положение и политику).
- В приказе указывается дата вступления политики в силу.
- При изменении политики требуется издать новый приказ об утверждении актуальной редакции.
Рекомендации и выводы
Да, приказ о разработке и утверждении политики обязателен. Он придаёт документу юридическую силу и служит доказательством для Роскомнадзора. Чтобы всё оформить правильно:
- Подготовьте текст политики в отношении обработки ПДн.
- Издайте приказ о её утверждении.
- Разместите политику в открытом доступе (например, на сайте).
- Ознакомьте сотрудников с документом под подпись.
Компания ICTech поможет вашей организации разработать корректную политику обработки ПДн, оформить приказ о её утверждении и разместить документ в открытом доступе. Это позволит пройти проверку РКН без претензий.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
