ФЗ-152 не требует прямо ежегодного переутверждения всех документов по персональным данным. Однако закон и подзаконные акты обязывают оператора поддерживать актуальность документов и пересматривать их при изменении законодательства, организационной структуры, используемых ИС или способов обработки ПДн. На практике Роскомнадзор проверяет, чтобы локальные акты были не только приняты, но и своевременно актуализированы.
Когда нужно утверждать пакет документов заново:
- при изменении законодательства о ПДн (например, вступлении новых поправок или постановлений);
- при изменении целей или состава обрабатываемых данных;
- при внедрении новых информационных систем или сервисов;
- при изменении структуры организации (новые подразделения, ответственные лица);
- по результатам внутреннего аудита или проверки РКН, если выявлены несоответствия.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан принимать меры для выполнения требований, в том числе актуализировать локальные акты.
- Ст. 19 ФЗ-152 — меры защиты ПДн должны обеспечивать предотвращение актуальных угроз.
- Постановление Правительства РФ № 1119 — предписывает корректировать организационные и технические меры при изменении условий обработки.
Практика Роскомнадзора
РКН в своих разъяснениях отмечает, что документы по ПДн должны быть «живыми». На проверках часто выявляется, что политика по ПДн или положение утверждены 5–7 лет назад и не обновлялись — такие документы признаются неактуальными. В компаниях, где акты пересматриваются ежегодно и есть приказы о внесении изменений, претензий не возникает.
Что важно учитывать
- Ежегодное утверждение пакета документов не обязательно, но рекомендуется проводить ежегодный пересмотр и оформлять приказ о том, что документы проверены и остаются в силе либо обновлены.
- Политика ПДн, положение и инструкции должны соответствовать текущей редакции законодательства.
- Обновления лучше фиксировать в журналах или протоколах внутреннего аудита.
Рекомендации и выводы
Нет, формально ежегодно утверждать пакет документов по ПДн не требуется. Но чтобы пройти проверку без нарушений, оператору нужно:
- Организовать ежегодный пересмотр всех документов.
- Оформлять приказы о подтверждении их актуальности или внесении изменений.
- Обновлять акты при каждом изменении условий обработки или законодательства.
- Хранить подтверждающие документы (приказы, акты аудита).
Компания ICTech поможет вашей организации не только разработать пакет документов по ФЗ-152, но и внедрить систему их регулярного пересмотра. Это избавит от претензий Роскомнадзора и обеспечит защиту бизнеса.
