Но на практике филиалам часто требуется иметь свои копии документов для работы и подтверждения соответствия при проверках. Кроме того, часть документов должна оформляться индивидуально: приказы о назначении ответственного за ПДн в филиале, журналы учёта, акты об уничтожении данных и иные документы, фиксирующие конкретные действия в рамках данного подразделения.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан утверждать локальные акты, устанавливающие процедуры по ПДн. Если филиал фактически обрабатывает ПДн, он должен руководствоваться этими документами.
- Ст. 19 ФЗ-152 — меры безопасности должны действовать во всех местах обработки ПДн, включая филиалы.
- Разъяснения Роскомнадзора указывают, что документы могут утверждаться централизованно, но в филиалах должны быть копии и исполнение должно быть документально подтверждено.
Практика проверок Роскомнадзора
При проверках в филиалах инспекторы запрашивают локальные акты и приказы. В одной организации политика по ПДн была утверждена только в головном офисе, в филиале сотрудники с ней не были ознакомлены. Нарушение зафиксировали, так как филиал обрабатывал данные сотрудников и клиентов. В другой компании в филиале были копии всех документов и собственные журналы доступа и инструктажей — это подтвердило правильность организации процессов.
Что важно учитывать
- Единые документы (политика, положение) утверждаются головным офисом, но должны быть доведены до всех филиалов.
- В каждом филиале обязательно оформляются:
- приказ о назначении ответственного за ПДн;
- журналы (доступа, уничтожения, инструктажей);
- акты по фактам обработки и уничтожения ПДн.
- Сотрудники филиала должны быть ознакомлены с документами под подпись.
Рекомендации и выводы
Документы по ПДн должны быть действующими и в филиалах. Центральные акты достаточно утвердить один раз на уровне головной организации, но филиалам нужны их копии и собственные локальные документы (приказы, журналы, акты). Такой подход позволит соответствовать ФЗ-152 и подтвердить выполнение требований при проверке любого подразделения.
Компания ICTech поможет вашей организации разработать единый пакет документов по ПДн и настроить его правильное применение во всех филиалах, включая приказы, журналы и регламенты.
