Нужен ли список всех локальных актов по ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, наличие перечня (списка) всех локальных нормативных актов по обработке и защите персональных данных является хорошей практикой и фактически необходимо для системного управления ПДн. Прямого требования о ведении отдельного списка в ФЗ-152 нет, но закон и подзаконные акты обязывают оператора документально фиксировать меры по обработке и защите персональных данных. Это означает, что организация должна всегда иметь возможность предъявить Роскомнадзору полный комплект актуальных документов, а перечень помогает быстро подтвердить его наличие.

Такой список выполняет несколько функций:

- служит контрольным инструментом для ответственного за ПДн;
- облегчает внутренний аудит и подготовку к проверкам;
- показывает, что компания системно подошла к вопросу и ведёт документацию в учётной форме.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан принимать организационные меры, в том числе документально фиксировать политику и иные локальные акты.
• Ст. 22.1 ФЗ-152 — оператор должен документально подтверждать принятые меры защиты ПДн.
• Постановление Правительства РФ № 1119 — требует организационного оформления процессов защиты ПДн.
• Методические рекомендации Роскомнадзора (письма и разъяснения) — указывают, что наличие перечня локальных актов подтверждает полноту документации.

Проверочная практика Роскомнадзора

На проверках инспекторы часто просят предоставить список локальных актов, утверждённых в организации, и на его основе уже запрашивают конкретные документы. В одной из организаций отсутствие систематизированного перечня привело к путанице: часть документов не смогли сразу предъявить, что было расценено как нарушение порядка ведения документации. В других случаях наличие аккуратно составленного списка сокращало время проверки и демонстрировало прозрачность работы оператора.

Что важно учитывать компаниям

Перечень локальных актов лучше оформлять приказом или отдельным документом, где отражается:

• название акта;
• дата и номер утверждения;
• ответственное лицо за актуализацию;
• место хранения документа.
  Его нужно обновлять при появлении новых актов или изменении старых.

Рекомендации и выводы

Хотя прямой нормы о ведении списка локальных актов в законе нет, для оператора это фактически обязательный элемент системы ПДн. Рекомендуем:

1. Составить перечень всех действующих локальных актов по ПДн.
2. Обновлять его при изменении документов.
3. Хранить список у ответственного за ПДн и предъявлять при проверках.
4. Включить перечень в общий пакет документов по ФЗ-152, чтобы показать системность и прозрачность работы.

Компания ICTech поможет вашей организации составить полный перечень локальных актов, подготовить недостающие документы и выстроить систему их учёта, чтобы пройти проверку Роскомнадзора без рисков.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге