Нужно ли разрабатывать организационно-распорядительную документацию, если уже есть политика обработки персональных данных?

Политика в отношении обработки персональных данных — это публичный документ оператора, который раскрывает субъектам персональных данных информацию о том, как и с какой целью обрабатываются их персональные данные. Обязанность по её размещению и содержанию прямо предусмотрена 152-ФЗ.

Основные функции политики ПДн:

• информирование субъектов персональных данных об обработке их данных;

• указание целей, правовых оснований и способов обработки персональных данных;

• описание прав субъектов персональных данных и порядка их реализации;

• обеспечение прозрачности обработки персональных данных.

Она не регламентирует внутренние процессы работы с персональными данными и не устанавливает обязанности сотрудников, что принципиально отличает её от организационно-распорядительной документации.

Политика в отношении обработки персональных данных не может рассматриваться как замена организационно-распорядительной документации. Эти документы выполняют разные функции и предназначены для разных целей.

Ключевые различия:

• политика ПДн — внешний, публичный документ, адресованный субъектам персональных данных;

• ОРД — внутренняя система документов, обязательная для исполнения сотрудниками;

• политика описывает общие принципы обработки данных;

• ОРД устанавливает конкретные процедуры, обязанности и меры защиты.

Политика ПДн не содержит:

• распределения ответственности между сотрудниками;

• порядка доступа к персональным данным;

• регламентов хранения, передачи и уничтожения данных;

• процедур внутреннего контроля и реагирования на инциденты.

Поэтому наличие только политики ПДн не подтверждает выполнение требований 152-ФЗ в части организации обработки персональных данных и рассматривается Роскомнадзором как формальное соблюдение законодательства.

Хватит формальностей

Рабочая ОРД для реальной безопасности данных

Превратим требования закона в понятные инструкции для вашей команды. Создадим индивидуальные документы, которые обеспечат не формальное, а фактическое соответствие 152-ФЗ.

Оставить заявку

Федеральный закон № 152-ФЗ требует от оператора не только информировать субъектов персональных данных, но и обеспечить реальную организацию их обработки и защиты. Эти требования выходят далеко за рамки одной политики ПДн и реализуются исключительно через внутренние документы и процедуры.

Помимо политики ПДн оператор обязан:

• принять организационные меры защиты персональных данных;

• определить и документально закрепить ответственных лиц;

• установить порядок доступа сотрудников к персональным данным;

• регламентировать процессы хранения, передачи и уничтожения данных;

• обеспечить реализацию прав субъектов персональных данных;

• организовать внутренний контроль соблюдения требований законодательства.

Для их реализации необходимы приказы, положения, регламенты и иные документы, которые в совокупности образуют организационно-распорядительную документацию по персональным данным.

При проверках Роскомнадзор однозначно исходит из того, что наличие только политики ПДн не подтверждает соблюдение требований 152-ФЗ.

В актах проверок и предписаниях Роскомнадзора типично указывается:

• политика ПДн размещена, но отсутствуют внутренние документы, регламентирующие обработку персональных данных;

• не установлены обязанности сотрудников по работе с персональными данными;

• не определён порядок доступа, хранения и защиты персональных данных;

• отсутствуют организационные меры, подтверждённые документально.

В таких случаях наличие политики ПДн квалифицируется как формальное соблюдение отдельных требований закона, а отсутствие ОРД — как нарушение организационных мер защиты персональных данных. Именно по этой причине операторы с одной политикой ПДн практически всегда получают предписания при проверках.

Организационно-распорядительная документация включает внутренние документы, которые обеспечивают практическое выполнение требований 152-ФЗ. Политика ПДн может быть частью этой системы, но сама по себе её не образует.

Как правило, в состав ОРД входят:

• приказы о назначении ответственных за обработку и защиту персональных данных;

• положения и регламенты по обработке и защите персональных данных;

• порядок доступа сотрудников к персональным данным;

• регламенты хранения, передачи и уничтожения персональных данных;

• документы внутреннего контроля и учета;

• журналы ознакомления сотрудников и учета обращений субъектов ПДн;

• документы по обработке ПДн работников, клиентов и контрагентов;

• документы, связанные с использованием ИСПДн и онлайн-сервисов.

Именно совокупность этих документов позволяет подтвердить, что обработка персональных данных организована системно, а не декларативно.

Хотите защитить организацию от штрафов?

Подготовим документы по персональным данным

Разработаем и внедрим пакет документов, приведём сайт и процессы в соответствие требованиям законодательства РФ

Оставить заявку

Типичные ошибки операторов

При проверках чаще всего выявляются одни и те же ошибки, связанные с подменой ОРД одной политикой ПДн.

Наиболее распространённые ошибки:

• размещение политики ПДн на сайте вместо разработки внутренней документации;

• отсутствие приказов и регламентов;

• несоответствие политики фактическим процессам обработки персональных данных;

• отсутствие утверждения и внедрения документов;

• формальный подход без внутреннего контроля.

Такие ошибки приводят к выводу о том, что:

Когда одной политики точно недостаточно

Использование только политики ПДн недопустимо в следующих случаях:

• у оператора есть работники;

• осуществляется работа с клиентами или контрагентами;

• используется сайт, формы обратной связи или онлайн-сервисы;

• персональные данные обрабатываются с использованием автоматизации;

• осуществляется передача персональных данных третьим лицам.

Политика лишь декларирует общие принципы, а организационно-распорядительная документация является обязательным доказательством того, что эти принципы реализованы в конкретных внутренних процессах, приказах и регламентах.

Можно ли начать с политики и дорабатывать ОРД позже

Поэтапный подход допустим только на старте деятельности, но он несёт повышенные риски. Если проверка проводится в момент, когда у оператора есть лишь политика ПДн, это рассматривается как неполное выполнение требований закона.

Минимально допустимый набор должен включать:

• политику ПДн;

• приказы о назначении ответственных;

• базовые регламенты обработки и защиты персональных данных.

Поэтому критически важно, чтобы на сайте уже были размещены политика в отношении обработки персональных данных и другие необходимые документы для сайта. Отсутствие этих документов на сайте является формальным и легко выявляемым нарушением, которое может стать прямым основанием для начала проверочных мероприятий.

Как выстроить корректную систему документов

Корректная система строится по принципу «политика + ОРД», а не вместо неё.

Практически это означает:

• разработку ОРД с учётом реальных процессов обработки ПДн;

• согласование политики ПДн с внутренними документами;

• утверждение и внедрение документов в работу;

• регулярную актуализацию документации.

Для создания такой системы требуется индивидуальная разработка

На практике

На практике операторы, ограничившиеся одной политикой ПДн, практически всегда получают предписания Роскомнадзора. Политика рассматривается как обязательный, но вспомогательный документ, не заменяющий систему внутренних регламентов.

Вывод однозначен: наличие политики ПДн не освобождает от обязанности разрабатывать ОРД. Только совокупность публичной политики и внутренней организационно-распорядительной документации позволяет подтвердить соблюдение требований 152-ФЗ и снизить риски при проверках.

Хватит формальностей

Рабочая ОРД для реальной безопасности данных

Превратим требования закона в понятные инструкции для вашей команды. Создадим индивидуальные документы, которые обеспечат не формальное, а фактическое соответствие 152-ФЗ.

Оставить заявку