Алексей Ветров
Эксперт по защите данных IC-TECH
Да, любые изменения в политике обработки персональных данных должны утверждаться приказом (распоряжением) руководителя организации. Это связано с тем, что политика ПДн — официальный локальный акт, регулирующий деятельность всей компании, и её изменение требует документального закрепления.
Зачем нужен приказ об утверждении изменений:
- фиксирует момент вступления изменений в силу;
- подтверждает, что новая редакция согласована и принята руководством;
- служит основанием для ознакомления сотрудников с обновлённой редакцией;
- используется как доказательство при проверках Роскомнадзора.
Зачем нужен приказ об утверждении изменений:
- фиксирует момент вступления изменений в силу;
- подтверждает, что новая редакция согласована и принята руководством;
- служит основанием для ознакомления сотрудников с обновлённой редакцией;
- используется как доказательство при проверках Роскомнадзора.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан принимать локальные акты, устанавливающие политику обработки ПДн.
- Ст. 19 ФЗ-152 — меры защиты должны быть документально закреплены и актуализированы.
- Постановление Правительства РФ № 1119 — требует поддерживать в актуальном состоянии организационные документы по защите ПДн.
Практика Роскомнадзора
На проверках РКН часто запрашивает не только текст политики, но и приказ об её утверждении. Если политика менялась, проверяющие требуют приказы об утверждении новых редакций. В одной организации политика обновлялась, но приказы отсутствовали — Роскомнадзор признал документ юридически недействительным. В другой компании на каждую редакцию был приказ, а сотрудники ознакомлены под подпись — нарушений не выявили.
Что важно учитывать
- Если изменения значительные, оформляется новая редакция политики с приказом об утверждении.
- Если изменения несущественные (например, уточнение формулировок), можно оформить приказ о внесении изменений с приложением перечня правок.
- Все приказы и редакции должны храниться в пакете документов по ПДн.
- После утверждения приказа необходимо ознакомить сотрудников и, при необходимости, обновить публикацию политики на сайте.
Рекомендации и выводы
Да, изменения в политике ПДн нужно утверждать приказом. Чтобы действовать правильно:
- Разработайте новую редакцию или изменения.
- Подготовьте приказ об утверждении.
- Обеспечьте ознакомление сотрудников под подпись.
- Для публичных организаций — обновите текст на сайте.
Компания ICTech подготовит для вашей организации новые редакции политики ПДн и проекты приказов об их утверждении. Это обеспечит правильное документальное оформление и отсутствие претензий со стороны Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
