Нужно ли вести пакет документов по ПДн для каждого офиса?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, пакет документов по персональным данным должен быть действующим в каждом офисе, где обрабатываются ПДн, но это не значит, что его нужно заново разрабатывать для каждого подразделения. Базовые локальные акты (политика, положение об обработке, регламент хранения, порядок доступа) утверждаются на уровне головной организации и распространяются на все офисы.

Однако для каждого офиса обязательно оформляются локальные рабочие документы, фиксирующие конкретные действия сотрудников этого подразделения: приказы, журналы, акты. Эти документы служат доказательством того, что ФЗ-152 соблюдается именно на месте обработки данных.

Что должно быть в каждом офисе

1. Копии централизованных документов:
   • Политика обработки ПДн (для клиентов и сотрудников).
   • Положение о защите ПДн (внутренний регламент).
   • Инструкции по ПДн для сотрудников.
   • Перечень категорий ПДн, обрабатываемых в компании.
2. Локальные документы конкретного офиса:
   • Приказ о назначении ответственного за ПДн в офисе.
   • Перечень сотрудников с доступом к ПДн.
   • Журналы:
     • инструктажей сотрудников,
     • доступа к ПДн,
     • уничтожения ПДн,
     • обращений субъектов ПДн.
   • Акты:
     • об уничтожении ПДн,
     • об обезличивании,
     • о блокировке ПДн при обращении субъекта.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан утверждать локальные акты по обработке ПДн и фиксировать исполнение обязанностей.
• Ст. 19 ФЗ-152 — меры безопасности должны действовать во всех местах, где обрабатываются данные.
• Разъяснения Роскомнадзора — документы должны быть доступны для проверки в каждом офисе, где ведётся работа с персональными данными.

Практика проверок Роскомнадзора
В одной компании политика по ПДн была утверждена только в головном офисе, в региональном офисе сотрудники даже не знали о её существовании. Итог — предписание и штраф. В другой организации у каждого офиса был свой приказ о назначении ответственного, велись журналы и хранились копии политики — проверка подтвердила соответствие требованиям.

Что важно учесть

• Все сотрудники офиса должны быть ознакомлены с документами под подпись.
• Ответственный за ПДн назначается отдельно для каждого офиса, даже если это одно и то же лицо.
• Приказы, журналы и акты ведутся в каждом офисе самостоятельно.

Рекомендации и выводы
Да, пакет документов должен быть представлен в каждом офисе. Централизованные акты утверждаются в головном офисе и распространяются на все подразделения, а локальные документы (приказы, журналы, акты) оформляются отдельно для каждого офиса. Это подтвердит, что организация соблюдает ФЗ-152 во всех точках обработки данных.

Компания ICTech поможет вашей организации выстроить систему документооборота по ПДн для всех офисов: централизовать пакет локальных актов и настроить ведение рабочих документов на местах.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге