Обязательно ли положение о защите ПД или можно обойтись политикой конфиденциальности?

Положение о защите ПД — это один из обязательных внутренних документов оператора. Политика конфиденциальности — публичный документ для субъектов. Это разные документы с разными функциями, и оба нужны.

Кто утверждает положение о защите ПД?

Положение утверждается руководителем организации (генеральным директором, директором) приказом. Допускается утверждение иным уполномоченным лицом согласно уставу.

Нужно ли согласовывать положение с Роскомнадзором?

Нет. Положение о защите ПД — внутренний документ. Согласовывать с РКН его не нужно, но при проверке инспектор запросит его в числе первых документов.

Положение о защите персональных данных: структура и содержание

Главное за 30 секунд

Положение о защите ПД — внутренний документ компании, регулирующий порядок обработки и защиты данных
Документ обязателен для операторов персональных данных и проверяется Роскомнадзором
Положение отличается от политики конфиденциальности: оно предназначено для сотрудников, а не для клиентов
В документе должны быть описаны меры защиты, роли сотрудников, сроки хранения и порядок уничтожения ПД
Положение необходимо регулярно актуализировать при изменении процессов обработки данных

Что такое положение о защите персональных данных

Положение о защите персональных данных (также «Положение об обработке и защите ПД») — внутренний нормативный документ организации, регулирующий порядок обработки и защиты ПД.

В отличие от политики конфиденциальности, которая публикуется на сайте и адресована субъектам ПД, положение — рабочий документ для сотрудников компании.

Требование ФЗ-152

Обязанность принять документы, определяющие политику в отношении обработки ПД, установлена статьёй 18.1 ФЗ-152. Положение о защите ПД — один из ключевых таких документов.

Чем отличается положение от политики конфиденциальности

| Характеристика | Положение о защите ПД | Политика конфиденциальности | |---|---|---| | Аудитория | Сотрудники, руководство | Клиенты, пользователи сайта | | Публикация | Внутренний документ | Публикуется на сайте | | Содержание | Меры защиты, процедуры, роли | Цели, категории, права субъектов | | Кто утверждает | Руководитель компании | Руководитель компании | | Обязательность | Обязателен по ФЗ-152 | Обязателен по ФЗ-152 |

Обязательное содержание положения

Статья 18.1 ФЗ-152 и методические рекомендации РКН определяют минимальный состав положения:

Раздел 1. Общие положения

Цели и задачи документа
Область применения
Нормативная база (ФЗ-152, НК РФ, ТК РФ и пр.)
Термины и определения

Раздел 2. Категории обрабатываемых ПД

Перечень категорий субъектов (клиенты, сотрудники, партнёры)
Перечень категорий данных по каждой группе субъектов
Цели обработки для каждой категории
Правовые основания обработки (согласие, договор, закон)

Раздел 3. Организационные меры защиты

Назначение ответственного за организацию обработки ПД
Порядок проведения инструктажа сотрудников
Процедура предоставления доступа к ПД
Порядок обработки запросов субъектов ПД
Процедура при выявлении инцидентов

Раздел 4. Технические меры защиты

Применяемые средства защиты информации
Требования к паролям и аутентификации
Порядок резервного копирования
Требования к антивирусной защите
Шифрование при передаче и хранении

Раздел 5. Обработка по поручению (при наличии)

Порядок привлечения обработчиков (подрядчиков)
Требования к договорам поручения
Ответственность обработчиков

Раздел 6. Сроки хранения и уничтожение

Матрица сроков хранения по категориям
Порядок уничтожения ПД
Форма акта об уничтожении

Раздел 7. Ответственность

Ответственность сотрудников за нарушение положения
Дисциплинарные меры
Ссылки на административную и уголовную ответственность

Порядок введения в действие

Разработка проекта положения (юрист или специалист по ПД)
Согласование с ответственным за ПД, HR, IT
Утверждение руководителем (приказ)
Ознакомление сотрудников под роспись
Хранение в оригинале + электронная версия в корпоративной системе

Риск

Сотрудники, имеющие доступ к ПД, обязаны быть ознакомлены с положением под роспись. Это требование статьи 87 ТК РФ и статьи 18.1 ФЗ-152.

Типичные ошибки при проверках

| Ошибка | Чем опасна | |---|---| | Использование шаблона без адаптации | Документ не соответствует реальным процессам компании | | Нет описания технических мер защиты | Претензии РКН и ИБ-аудита | | Сотрудники не ознакомлены под роспись | Нарушение требований ТК РФ и ФЗ-152 | | Не описаны сроки хранения | Данные могут храниться бессрочно | | Положение не обновлялось несколько лет | Документ считается неактуальным |

Формальный документ не защищает

Если в положении указаны меры защиты, которых фактически нет, инспектор РКН квалифицирует это как несоответствие реальной практике обработки данных.

Обновление положения

Положение нужно актуализировать при:

Изменении состава обрабатываемых ПД
Изменении целей обработки
Изменении применяемых технических средств
Изменении структуры компании (подразделения, ответственные)
Выходе новых нормативных актов

Рекомендованная периодичность плановой проверки — раз в год.

Чек-лист по положению о защите ПД

Положение разработано и утверждено приказом руководителяобязательно
Все сотрудники с доступом к ПД ознакомлены под росписьобязательно
Положение содержит матрицу сроков хранения и процедуру уничтожения
Технические меры защиты описаны и соответствуют реальным мерам
Положение актуализировано (не старше 1–2 лет)
Есть версия для ознакомления в корпоративной системе

Частые вопросы о положении о защите ПД

Подходит ли скачанный шаблон из интернета?

Шаблон — хорошая основа, но не готовый документ. Положение должно отражать реальную практику конкретной компании: реальные категории данных, реальные технические меры, реальных ответственных. Типовой шаблон без адаптации не защитит от претензий РКН.

Один документ на всю группу компаний или для каждой отдельно?

Каждое юридическое лицо — отдельный оператор ПД. Для каждой компании нужно своё положение. Допускается единая структура с адаптацией под каждую организацию.

Нужно ли положение ИП?

Да. ИП, обрабатывающий ПД клиентов или сотрудников, — оператор ПД и обязан иметь документы, регулирующие обработку. Для малого бизнеса допускается упрощённая форма.

Нужно ли ежегодно переутверждать положение приказом?

Нет, обязательного ежегодного переутверждения нет. Но при существенных изменениях процессов обработки, инфраструктуры или законодательства документ необходимо актуализировать и утверждать новую редакцию.

Кто обычно отвечает за разработку положения?

В зависимости от структуры компании это может быть юрист, специалист по защите персональных данных, compliance-менеджер или внешний консультант. На практике документ разрабатывается совместно с HR и IT-подразделением.

Нет положения о защите ПД или есть сомнения в его актуальности?

Проверим сайт и документы — за 2 рабочих дня

Заказать разработку положения

Александр Петров

Юрист · Эксперт по ФЗ-152

Консультирует средний и крупный бизнес по вопросам соответствия требованиям закона о персональных данных. Более 8 лет практики.