Что будет, если при проверке Роскомнадзор не обнаружит пакет документов?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Отсутствие документов по персональным данным — одно из самых серьёзных нарушений при проверках по 152-ФЗ. Даже если компания фактически соблюдает меры безопасности, но не может это доказать документально, Роскомнадзор расценивает это как полное несоблюдение закона.

Чем грозит отсутствие документации по ПДн

Если при проверке выяснится, что организация не имеет утверждённого пакета документов, это влечёт несколько последствий одновременно:

1. Нарушение обязанности оператора по ФЗ-152.
   По статье 18.1 закона оператор обязан принимать локальные акты, определяющие политику, порядок обработки и меры защиты ПДн. Если документов нет — считается, что эти обязанности не выполнены.
2. Фиксация административного правонарушения.
   Проверяющий фиксирует отсутствие документов как нарушение требований к организации обработки ПДн. Это оформляется в акте проверки и может повлечь административную ответственность.
3. Выдача предписания об устранении нарушений.
   Роскомнадзор обязывает в установленный срок разработать и утвердить весь пакет документов (политику, положения, приказы, журналы и т.д.), а также направить подтверждение о выполнении.
4. Контрольное повторное мероприятие.
   После истечения срока предписания проводится внеплановая проверка. Если документы по-прежнему не оформлены — это расценивается как невыполнение предписания, что влечёт дополнительную ответственность.
5. Риски при последующих проверках.
   Повторное выявление отсутствия документов может быть признано системным нарушением, а организация — злостным нарушителем требований ФЗ-152.

Что именно считается отсутствием пакета документов

Инспекторы Роскомнадзора считают нарушением:

• полное отсутствие политики обработки ПДн (внутренней и публичной);
• нет приказа о назначении ответственного;
• отсутствуют регламенты доступа, хранения, уничтожения и инструктажей;
• не оформлены журналы учёта и формы согласий;
• отсутствует уведомление в реестре операторов.

Что нужно сделать, если документов нет

1. Составить полный пакет документации:
   • политика и положение об обработке ПДн;
   • приказы о назначении ответственных и допуске сотрудников;
   • формы согласий, реестры, журналы, акты уничтожения и проверки;
   • регламент хранения, передачи, обезличивания и реагирования на инциденты.
2. Утвердить все документы приказом.
   Без утверждения документы не имеют юридической силы.
3. Подготовить доказательства внедрения:
   ознакомление сотрудников под подпись, фиксацию согласий, журналы инструктажей.

Обоснование по закону

• ФЗ-152 «О персональных данных»
  • ст. 18.1 — обязанность оператора принимать локальные акты;
  • ст. 19 — обязанность обеспечить безопасность ПДн документально;
• Постановление Правительства № 687 от 15.09.2008 — о мерах защиты;
• Постановление № 1511 от 30.09.2020 — о порядке проверок;
• КоАП РФ, ст. 13.11 — административная ответственность за нарушения обработки ПДн.

Вывод

Отсутствие документации по персональным данным приравнивается к отсутствию системы защиты. Даже если организация реально не допускает утечек, без документов она считается нарушителем закона.

Компания ICTech разработает для вас полный пакет документов по 152-ФЗ: политику, регламенты, приказы, журналы и формы согласий, чтобы вы смогли подтвердить соответствие требованиям при любой проверке.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге