Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан принимать правовые, организационные и технические меры для защиты ПДн, в том числе информировать сотрудников.
- Ст. 19 ФЗ-152 — организация обязана обеспечить доступ к документам, определяющим политику и процедуры обработки ПДн.
- Трудовой кодекс РФ, ст. 22 и 68 — работодатель обязан знакомить сотрудников с локальными нормативными актами, касающимися их деятельности, под подпись.
Как фиксировать ознакомление
- Листы ознакомления — прикладываются к каждому приказу. Сотрудники ставят подпись и дату.
- Журнал ознакомления с приказами и локальными актами — позволяет централизованно вести учёт.
- Электронное подтверждение — допустимо, если внедрена система электронного документооборота (с регистрацией действий пользователя и невозможностью изменения записи).
Практика проверок Роскомнадзора
Инспекторы требуют показать не только сами приказы по ПДн (например, о назначении ответственного, утверждении политики, допуске сотрудников), но и доказательства того, что сотрудники с ними ознакомлены.
Бывали случаи, когда у компании были приказы, но сотрудники утверждали, что их не видели. Роскомнадзор фиксировал это как нарушение организационных мер защиты ПДн.
Что важно компаниям
- Приказы по ПДн (о назначении ответственного, о допуске, об утверждении политики и регламентов) должны сопровождаться листами ознакомления.
- Ознакомление фиксируется под подпись — в бумажном виде или с использованием ЭДО.
- Сроки хранения таких подтверждений должны совпадать со сроком действия приказа + 5 лет для архивного хранения.
Вывод
Да, факт ознакомления сотрудников с приказами по ПДн обязательно фиксировать. Самый надёжный вариант — вести журнал ознакомления и прикладывать листы к каждому приказу. Это снижает риски при проверках и подтверждает выполнение организационных обязанностей оператора ПДн.
Компания ICTech может подготовить для вас шаблоны журналов и листов ознакомления с приказами, чтобы все документы были оформлены корректно и соответствовали требованиям ФЗ-152.
