Алексей Ветров
Эксперт по защите данных IC-TECH
Да, положение об обработке и защите персональных данных обязательно для каждой организации, которая является оператором ПДн. Это внутренний локальный акт, где закрепляются цели, порядок, условия обработки, меры защиты и ответственность сотрудников. Отсутствие положения приравнивается к отсутствию системы защиты данных и считается нарушением ФЗ-152.
Что включает положение:
- цели обработки и перечень обрабатываемых данных;
- категории субъектов ПДн (сотрудники, клиенты, подрядчики и т.д.);
- условия и правовые основания обработки;
- порядок получения согласий;
- порядок передачи ПДн третьим лицам;
- меры безопасности и правила разграничения доступа;
- обязанности сотрудников и ответственность за нарушения;
- регламент уничтожения или обезличивания данных.
Что включает положение:
- цели обработки и перечень обрабатываемых данных;
- категории субъектов ПДн (сотрудники, клиенты, подрядчики и т.д.);
- условия и правовые основания обработки;
- порядок получения согласий;
- порядок передачи ПДн третьим лицам;
- меры безопасности и правила разграничения доступа;
- обязанности сотрудников и ответственность за нарушения;
- регламент уничтожения или обезличивания данных.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан принимать локальные акты, определяющие его политику в отношении обработки ПДн.
- Ст. 19 ФЗ-152 — оператор должен принимать правовые, организационные и технические меры для защиты данных. Эти меры документируются именно в положении.
- Приказ ФСТЭК № 21 от 18.02.2013 — требует наличия организационно-распорядительной документации, закрепляющей порядок обработки и защиты ПДн.
Практика проверок Роскомнадзора
- При проверке РКН одним из первых запрашивает положение об обработке ПДн.
- Если положение отсутствует или составлено формально (например, скачано из интернета и не адаптировано под деятельность компании), это признаётся нарушением.
- Пример: в небольшой торговой фирме положение было составлено под конкретные процессы (учёт кадров, клиентская база). Проверка подтвердила его корректность. В другой компании положение оказалось «шаблонным» и не учитывало специфику — РКН вынесло предписание доработать.
Важные нюансы
- Положение должно соответствовать реальной деятельности организации. Если вы работаете с сайтом или используете CRM — это нужно описать.
- В малом бизнесе (например, ИП) положение может быть упрощённым, но всё равно обязательно.
- Документ утверждается приказом руководителя и доводится до сотрудников под подпись.
Рекомендации и выводы
Да, положение об обработке ПДн обязательно к утверждению. Оно является основным внутренним документом, подтверждающим выполнение ФЗ-152. Чтобы соответствовать требованиям:
- Разработайте положение с учётом вашей деятельности.
- Утвердите его приказом руководителя.
- Ознакомьте сотрудников с документом под подпись.
- Обновляйте положение при изменении процессов (например, внедрение новых IT-систем).
Компания ICTech разработает для вашей организации положение об обработке и защите ПДн, адаптированное под вашу сферу деятельности, и включит его в полный пакет документов по ФЗ-152. Это позволит избежать штрафов и претензий при проверке Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
