Разработка документов по персональным данным

Зачем нужна документальная система по персональным данным

Чтобы работа с персональными данными была законной, мало просто «не допускать утечек» — у оператора должна быть документальная система, подтверждающая соблюдение требований 152‑ФЗ. На проверках Роскомнадзор в первую очередь запрашивает локальные акты, политики, приказы, согласия и журналы, а их отсутствие автоматически считается нарушением, даже если фактической утечки не было.

Штрафы за отсутствие документов и несоответствие требованиям к согласиям и политикам могут достигать 150–300 тыс. руб. для юрлица, а при повторных нарушениях — до 300–500 тыс. руб. и выше. Поэтому грамотный комплект документов по персональным данным — это реальная защита от санкций, а не «бумага для галочки».

Базовый комплект документов по персональным данным

Ниже перечислены ключевые документы, которые нужны практически любой компании или ИП, обрабатывающим персональные данные.

1. Политика в отношении обработки персональных данных (Политика конфиденциальности)

• Что это

Публичный документ, который размещается в открытом доступе, обычно на сайте компании и/или в офисе.

• Зачем нужен

Описывает, какие данные вы обрабатываете, с какой целью, на каком основании, как защищаете, какие права есть у субъекта и как он может с вами связаться.

• Риск, если нет или политика «для вида»

Штраф за отсутствие политики и нарушений в информировании субъектов: от 150 до 300 тыс. руб. для юрлица, при повторном нарушении до 300–500 тыс. руб. по ч.1 ст. 13.11 КоАП РФ.

Риск блокировки сайта или сервисов по предписанию регулятора при грубых несоответствиях.

2. Положение (регламент) об обработке и защите персональных данных

• Что это

Внутренний документ, детализирующий, как именно в компании обрабатываются и защищаются персональные данные сотрудников, клиентов, пользователей.

• Зачем нужен

Фиксирует цели, состав ПДн, порядок хранения, доступа, передачи, уничтожения, меры безопасности.

Является основной опорой для инструкций и действий сотрудников при работе с ПДн.

• Риск, если нет

При проверке Роскомнадзор расценивает отсутствие положения как отсутствие внутреннего регулирования обработки ПДн, что ведет к штрафам за нарушение требований 152‑ФЗ и ст. 13.11 КоАП РФ.

Рост вероятности ошибок сотрудников и утечек, которые не прикрыты локальными актами.

3. Приказ о назначении ответственного за организацию обработки персональных данных

• Что это

Приказ, которым оператор официально назначает ответственное лицо за соблюдение требований 152‑ФЗ и локальных актов.

• Зачем нужен

Выполнение прямого требования закона: оператор обязан назначить ответственного.

Фиксирует персональную ответственность и зону контроля внутри компании.

• Риск, если нет

Штрафы за нарушение ст. 18.1 152‑ФЗ и отсутствие ответственного: Роскомнадзор квалифицирует это как несоблюдение организационных мер защиты ПДн.

При инцидентах сложно обосновать, кто отвечал за обработку и безопасность.

4. Перечень сотрудников, допущенных к работе с персональными данными + приказы/обязательства о неразглашении

• Что это

Документ со списком лиц, имеющих доступ к ПДн, с указанием уровня доступа.

Отдельные приказы/распоряжения и подписанные обязательства о неразглашении.

• Зачем нужен

Разграничивает доступ; позволяет показать проверяющему, что доступ к данным есть только у определенных сотрудников.

• Риск, если нет

Любой сотрудник формально может считать, что имеет право работы с ПДн; Роскомнадзор может зафиксировать отсутствие мер по ограничению доступа и назначить штраф.

Утечки и злоупотребления сложно квалифицировать и расследовать.

5. Формы согласия на обработку персональных данных (включая формы для сайта и онлайн‑сервисов)

• Что это

Стандартизированные формы согласия: бумажные (для кадров и клиентов) и электронные (для сайта, заявок, онлайн‑сервисов).

• Зачем нужны

Подтверждают наличие законного основания обработки ПДн, описывают цели и состав данных, дают право на отзыв.

Для сайта и форм заявок — связаны с чек‑боксами и ссылками на Политику.

• Риск, если нет или сделано неправильно

Обработка признается незаконной, штраф за отсутствие согласия или некорректную форму — от 150 до 300 тыс. руб. для юрлица, при повторном нарушении — до 300–500 тыс. руб.

Риски блокировки или ограничения работы сайта в части сбора данных.

6. Реестр ИСПДн (информационных систем персональных данных)

• Что это

Перечень всех информационных систем, в которых обрабатываются ПДн: кадровые программы, CRM, почтовые сервисы, облака и т.п.

• Зачем нужен

База для выбора мер защиты, классификации ИСПДн, подготовки моделей угроз и документов по безопасности.

• Риск, если нет

Отсутствие системного подхода к защите ПДн: сложно показать, что меры безопасности соответствуют реальному числу и типу систем.

Рост рисков претензий по линии безопасности и утечек.

7. Регламенты и инструкции по обработке и защите ПДн (включая порядок уничтожения/обезличивания)

• Что это

Набор инструкций и регламентов: по работе в ИСПДн, хранению бумажных дел, передаче данных, уничтожению носителей, обезличиванию ПДн, реагированию на инциденты.

• Зачем нужны

Трансформируют Положение в конкретные действия: кто, что и как делает с ПДн.

Показывают Роскомнадзору, что меры безопасности и порядок уничтожения ПДн формализованы.

• Риск, если нет

Нарушения по безопасности (утечки, неконтролируемое хранение, передача по незащищенным каналам) квалифицируются как отсутствие организационных и технических мер.

Отдельные штрафы за несоблюдение требований к хранению и уничтожению ПДн.

8. Журнал учета обращений субъектов персональных данных

• Что это

Журнал (бумажный или электронный), в котором фиксируются запросы субъектов ПДн, ответы на них, сроки исполнения и решения об отказе.

• Зачем нужен

Подтверждает, что компания реализует права субъектов (доступ, исправление, уничтожение данных и т.д.).

• Риск, если нет

Трудно доказать выполнение требований ст. 14, 15, 21 152‑ФЗ; при жалобах граждан это может приводить к санкциям.

9. Приказы об утверждении политики и других локальных актов по ПДн

• Что это

Приказы руководителя, которыми утверждаются Политика, Положение, регламенты, перечни допущенных лиц и т.п.

• Зачем нужны

Закрепляют, что документы приняты официально и обязательны для исполнения.

• Риск, если нет

Формально документы могут считаться не введенными в действие, что усложняет защиту компании на проверке.

Как аутсорсинг помогает быстро собрать полный комплект документов

Самостоятельно составить весь набор документов по ПДн с учетом последних требований и практики Роскомнадзора сложно: высок риск шаблонных ошибок и противоречий.

Аутсорсинговая команда по персональным данным:

• проводит аудит текущих документов и процессов;
• формирует индивидуальный перечень необходимых ЛНА именно под ваш бизнес (офлайн/онлайн, сайт, формы заявок, кадровый контур);
• разрабатывает все документы «под ключ» с учетом требований 152‑ФЗ и практики проверок;
• помогает внедрить регламенты и обучить сотрудников работать по ним;
• при необходимости сопровождает взаимодействие с Роскомнадзором.

В итоге вы получаете полный комплект документов по персональным данным, который не только закрывает формальные требования закона, но и реально снижает риск штрафов и инцидентов.