Фактически ОРД является обязательной частью системы обработки персональных данных. Отсутствие организационно-распорядительной документации рассматривается Роскомнадзором как отсутствие организационных мер защиты персональных данных, что квалифицируется как нарушение требований законодательства.
Что говорит 152-ФЗ об обязанностях оператора
Федеральный закон № 152-ФЗ прямо возлагает на оператора персональных данных обязанность организовать обработку и обеспечить защиту персональных данных. Закон не ограничивается декларативными требованиями и предполагает, что оператор внедряет конкретные организационные и правовые меры.
В частности, 152-ФЗ обязывает оператора:
-
определить цели и правовые основания обработки персональных данных;
-
принять меры, необходимые и достаточные для выполнения требований закона;
-
назначить лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
-
установить порядок доступа к персональным данным;
-
обеспечить соблюдение прав субъектов персональных данных;
-
осуществлять внутренний контроль соответствия обработки персональных данных требованиям законодательства.
Все эти обязанности не могут быть реализованы без документального закрепления.
На практике они оформляются через приказы, положения, регламенты, журналы и иные внутренние документы, которые в совокупности и образуют организационно-распорядительную документацию по персональным данным.
Упоминается ли ОРД напрямую в 152-ФЗ
Термин «организационно-распорядительная документация» не используется напрямую в тексте Федерального закона № 152-ФЗ. В законе отсутствует перечень конкретных документов и не закреплено требование разработать «ОРД» как единый формализованный комплект.
Однако это не означает, что оператор может обойтись без внутренних документов. Закон формулирует требования не к названию документов, а к результату — наличию организационных и правовых мер, обеспечивающих законную обработку и защиту персональных данных.
На практике требования 152-ФЗ реализуются через:
-
приказы о назначении ответственных лиц;
-
локальные акты, определяющие порядок обработки и защиты персональных данных;
-
регламенты доступа, хранения и уничтожения данных;
-
процедуры внутреннего контроля;
-
документы, подтверждающие соблюдение прав субъектов персональных данных.
Именно этот совокупный набор документов Роскомнадзор рассматривает как организационно-распорядительную документацию. Отсутствие таких документов означает, что требования закона фактически не выполнены, даже если оператор заявляет о соблюдении 152-ФЗ.
Какие нормы 152-ФЗ фактически требуют наличия ОРД
Ряд норм Федерального закона № 152-ФЗ прямо или косвенно обязывает оператора закреплять организацию обработки персональных данных в документальном виде. Без внутренних документов выполнение этих требований невозможно подтвердить ни на практике, ни при проверке.
К таким нормам относятся, в частности, требования:
-
принимать необходимые и достаточные организационные меры по защите персональных данных;
-
назначать лиц, ответственных за организацию обработки и обеспечение безопасности персональных данных;
-
определять порядок доступа к персональным данным;
-
обеспечивать контроль за принимаемыми мерами защиты;
-
обеспечивать реализацию прав субъектов персональных данных;
-
устанавливать процедуры хранения, передачи и уничтожения персональных данных.
Каждое из этих требований предполагает наличие конкретных правил и процедур. На практике они оформляются приказами, положениями, регламентами и журналами.
Именно поэтому отсутствие ОРД рассматривается Роскомнадзором как отсутствие организационных мер защиты персональных данных, что квалифицируется как нарушение требований 152-ФЗ.
Позиция Роскомнадзора по вопросу ОРД
При проверках Роскомнадзор исходит из того, что требования 152-ФЗ должны быть реализованы и подтверждены документально.
В актах проверок и предписаниях Роскомнадзора, как правило, фиксируется:
-
отсутствие документов, устанавливающих порядок обработки персональных данных;
-
отсутствие приказов о назначении ответственных лиц;
-
отсутствие регламентов доступа и внутреннего контроля;
-
невозможность подтвердить выполнение требований закона на практике.
Отсутствие организационно-распорядительной документации рассматривается не как формальный недочёт, а как отсутствие системы организации обработки персональных данных.
Даже если оператор фактически соблюдает отдельные требования, но не может подтвердить это документально, Роскомнадзор квалифицирует ситуацию как несоблюдение организационных мер защиты персональных данных. Именно поэтому при проверках оценивается не наличие отдельных документов, а целостность и согласованность ОРД как системы.
Можно ли обойтись без ОРД на практике
На практике обойтись без организационно-распорядительной документации невозможно, если оператор обрабатывает персональные данные и стремится соблюдать требования 152-ФЗ. Даже при добросовестном отношении к защите персональных данных отсутствие документов делает выполнение требований закона недоказуемым.
Попытка «работать без ОРД» обычно приводит к следующим последствиям:
-
невозможно подтвердить назначение ответственных лиц;
-
отсутствует зафиксированный порядок доступа к персональным данным;
-
не определены процедуры хранения, передачи и уничтожения данных;
-
отсутствуют механизмы внутреннего контроля;
-
невозможно доказать соблюдение прав субъектов персональных данных.
При проверке Роскомнадзор оценивает не заявления оператора, а документально подтверждённые меры.
Если таких документов нет, делается вывод о формальном или отсутствующем выполнении требований законодательства, даже при отсутствии инцидентов или жалоб.
Для кого разработка ОРД обязательна
Разработка организационно-распорядительной документации по персональным данным обязательна для всех операторов персональных данных, независимо от их организационно-правовой формы, масштаба деятельности и количества обрабатываемых данных.
ОРД обязательна для:
-
юридических лиц, обрабатывающих персональные данные работников, клиентов, контрагентов;
-
индивидуальных предпринимателей, включая ИП без наёмных работников;
-
владельцев сайтов, через которые осуществляется сбор персональных данных пользователей;
-
самозанятых и физических лиц, если они фактически определяют цели и способы обработки персональных данных.
Обязательность ОРД не зависит от:
-
размера бизнеса;
-
наличия коммерческой деятельности;
-
объёма персональных данных;
-
отсутствия жалоб или проверок ранее.
Если лицо признаётся оператором персональных данных, оно обязано обеспечить организацию обработки и защиту персональных данных.
На практике это означает необходимость разработки и внедрения организационно-распорядительной документации, соответствующей фактической деятельности оператора.
Чем грозит отсутствие ОРД
Отсутствие организационно-распорядительной документации по персональным данным рассматривается Роскомнадзором как невыполнение обязательных организационных мер защиты, предусмотренных 152-ФЗ. Это является самостоятельным нарушением, независимо от того, были ли утечки или жалобы.
На практике отсутствие ОРД приводит к следующим последствиям:
-
выдача предписания об устранении нарушений;
-
установление сжатых сроков на разработку и внедрение документов;
-
проведение повторных или контрольных проверок;
-
фиксация повторных нарушений при формальном устранении замечаний;
-
привлечение к административной ответственности.
Даже если оператор оперативно разрабатывает документы после проверки, нарушение считается совершённым на момент её проведения. Кроме того, отсутствие ОРД часто рассматривается как признак системного несоблюдения требований законодательства, что усиливает внимание со стороны контролирующего органа.
Что должно быть вместо «формальной ОРД»
Формальное наличие документов не освобождает оператора от ответственности. Роскомнадзор оценивает, работает ли ОРД на практике, а не просто существует ли в виде файлов.
Корректная ОРД должна:
-
соответствовать фактическим процессам обработки персональных данных;
-
учитывать специфику деятельности оператора;
-
быть согласованной между собой и не содержать противоречий;
-
применяться сотрудниками в повседневной работе;
-
регулярно актуализироваться при изменении деятельности или законодательства.
Использование универсальных шаблонов без адаптации под реальные процессы чаще всего признаётся несоответствующим требованиям 152-ФЗ и приравнивается к отсутствию ОРД.
Как выполнить требования 152-ФЗ корректно
Для выполнения требований законодательства о персональных данных необходим комплексный подход, а не разработка отдельных документов «для проверки».
Как правило, корректное выполнение требований включает:
-
анализ фактических процессов обработки персональных данных;
-
определение обязательного состава документов с учётом деятельности оператора;
-
разработку и адаптацию организационно-распорядительной документации;
-
внедрение документов в практическую работу;
-
контроль актуальности и соблюдения установленных процедур.
Эффективный способ — разработать комплект ОРД, ориентированный на фактические процессы обработки данных и подготовленный с учётом правоприменительной практики Роскомнадзора.
На практике
На практике Роскомнадзор рассматривает отсутствие организационно-распорядительной документации как прямое доказательство того, что оператор не обеспечил организацию обработки персональных данных. Именно по этому основанию чаще всего выносятся предписания и назначаются повторные проверки.
Несмотря на отсутствие термина «ОРД» в тексте 152-ФЗ, её разработка является фактически обязательной для всех операторов персональных данных. Наличие полноценной, актуальной и внедрённой ОРД остаётся ключевым фактором успешного прохождения проверок и снижения рисков привлечения к ответственности.
