Документы по защите персональных данных в организации: состав и разработка

Любая компания, работающая с персональными данными сотрудников, клиентов или посетителей сайта, обязана разработать и внедрить комплект документов по защите персональных данных. Это не формальность, а практический инструмент управления рисками и доказательство законности обработки данных при проверках.

Невыполнение требований законодательства о персональных данных, в частности, отсутствие необходимых локальных нормативных актов, шаблонов согласий, должностных инструкций или их несоответствие закону является прямым нарушением 152-ФЗ и грозит не только крупными административными штрафами, но и серьезным ударом по репутации. В случае судебного оспаривания предписания Роскомнадзора сведения о нарушении становятся публичными, что может привести к утрате доверия партнеров и клиентов.

Мы разработали это руководство, чтобы помочь вам разобраться со всеми необходимыми документами, понять их цель и организовать эффективную систему защиты персональных данных в вашей компании.

Что такое персональные данные и оператор персональных данных в организации

Персональные данные (ПД) - это любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту персональных данных).

В широком смысле это сведения о человеке, которые позволяют установить его личность (идентифицировать) или могут быть использованы для этого при их сопоставлении с другой информацией. К ним базово относят ФИО, адрес проживания и паспортные данные, при их совместном использовании, а кроме того, и косвенные идентификаторы. Например, номер абонентского устройства подвижной радиотелефонной связи, который может использоваться для поиска связанных аккаунтов в социальных сетях, таргетированной рекламы или прямой связи с лицом в целях получения и последующего использования дополнительной информации о субъекте.

Оператор персональных данных – это любая организация или лицо, которое определяет цели, состав и условия обработки таких данных. К операторам относятся государственные органы, коммерческие компании любой формы, также граждане, кроме случаев обработки исключительно в личных или семейных целях.

Следовательно, если вы имеете в штате сотрудников или как минимум зарегистрировались в качестве СМЗ для работы с клиентами, такая деятельность неразрывно связана с обработкой персональных данных. В этом случае на вас распространяются все обязанности, предусмотренные Федеральным законом No 152-ФЗ «О персональных данных», включая необходимость разработки минимума организационно-распорядительных документов.

Лицензия оператора персональных данных не требуется, поскольку деятельность по обработке персональных данных не подлежит обязательному лицензированию.

Обязательный комплект документов по защите личной информации для 2025 года (в соответствии с 152-ФЗ);

Для обеспечения законной и безопасной работы с персональными данными в организации должен быть утверждён ряд обязательных документов. Их основная задача – зафиксировать процедуры, распределить ответственность и минимизировать риски. К базовым документам этой тематики можно отнести:

1. Приказ о назначении лица, ответственного за организацию и контроль обработки персональных данных. Документ, который официально закрепляет за конкретным сотрудником функции контроля за всей работой с персональными данными. Этот специалист обеспечивает соблюдение законодательства, внутренний контроль и взаимодействие с субъектами и госорганами в соответствии с должностной инструкцией.

2. Перечень должностей сотрудников, имеющих доступ к персональным данным. Этот документ определяет круг лиц в организации, которые в силу своих служебных обязанностей наделены правом работать с конфиденциальной информацией, что позволяет контролировать и ограничивать доступ к персональным данным.;

3. Внутренние инструкции по работе с ПД для сотрудников. Утвержденные руководством обязательные правила, которые определяют, как именно работники должны обрабатывать персональные данные. Чем сложнее и разнообразнее процессы, тем более подробными и дифференцированными по ролям должны быть эти правила.

4. Политика конфиденциальности в отношении ПД. Политика является ключевым документом, определяющим философию и подход компании к работе с конфиденциальной информацией. Оператор обязан обеспечить доступ к документу, содержащему его политику конфиденциальности и информацию о применяемых мерах защиты данных. Если компания собирает личные данные через интернет, политика должна быть опубликована на веб-сайте и доступна для ознакомления всем заинтересованным сторонам.

5. Форма согласия на обработку ПД. Получение согласия субъекта данных– необходимое условие для большинства операций с персональными данными. При этом законом не установлено, как должен выглядеть текст такого подтверждения. Оператор может выбрать любой вариант, главное, чтобы согласие было конкретным, предметным, информированным, сознательным и однозначным.

6. Положение об обработке и защите ПД – это локальный нормативный акт организации, то есть ее внутренний документ, который детально описывает все процессы, связанные с обработкой персональных данных внутри организации, распределяет ответственность между сотрудниками и определяет их обязанности. Все без исключения работники организации должны быть ознакомлены с ним под подпись.

7. Реестр процессов обработки ПД. Это перечень, который систематизирует все действия с персональными данными в организации. В него включается информация о каждой операции: какие конкретно данные обрабатываются, с какой целью, на каком правовом основании и пр. Реестр обеспечивает прозрачность и служит основой для оценки рисков и планирования мер безопасности.

8. Документы и (или) локальные акты, подтверждающие осуществление внутреннего контроля/аудита процессов обработки персональных данных. Организация обязана разрабатывать и исполнять планы проведения внутреннего контроля, а также формировать материалы по итогам проверочных мероприятий. Форма, методы и периодичность такого контроля определяются исходя из оценки рисков и могут меняться в связи с внешними факторами.

9. Акт оценки вреда, который может быть причинен субъектам в случае нарушения закона, составляется в соответствии с рекомендациями Роскомнадзора. Документ помогает оценить адекватность принимаемых мер защиты на случай проведения проверки. Обновлять документ необходимо при любом изменении в деятельности компании, которое ведет к изменению степени потенциального ущерба интересам субъектов.

10. Документы по учёту, хранению и уничтожению материальных носителей ПД.  Комплект локальных актов, обеспечивающих выполнение требований Постановления Правительства No 687 от 15.09.2008. Включает регламенты, которые закрепляют утверждённые места хранения носителей, порядок их учёта и выдачи, меры защиты от несанкционированного доступа, а также процедуру безопасного уничтожения. 

11. Модель угроз безопасности ПД. Документ, который формализует возможные угрозы безопасности персональных данным в информационных системах организации. Он является основой для выбора и обоснования применяемых технических и организационных мер защиты. Модель угроз разрабатывается с учетом актуальных актов ФСТЭК и ФСБ России собственными силами или с привлечением аттестованного подрядчика.

Требования к документам по защите персональных данных

Далее предлагаем раскрыть подробнее содержание основного пакета документов по персональным данным в организации, сопровождающих процесс обработки ПД в каждой компании и указать на частые ошибки, которые возникают при их подготовке или в процессе использования.

А. Политика конфиденциальности

Форма и содержание политики обработки персональных данных, как и её название, не регламентируются законом в строгом порядке. Тем не менее для обеспечения правильности документа рекомендуется использовать методические материалы Роскомнадзора или привлекать к разработке документации по защите персональных данных юристов, специализирующихся в данной области.

Опираясь на наш опыт подготовки и согласования таких документов со специалистами профильного ведомства, рекомендуем включать в текст Политики следующие блоки:

I. Вводную часть с определением ключевых понятий — «оператор», субъект персональных данных», «обработка», а также непоименованные в законе термины. Здесь же указываются области применения политики, основополагающие принципы обработки данных и сведения об операторе-владельце ресурса или компании. 

II. Цели и условия сбора данных. Для каждой цели необходимо указать перечень и категории обрабатываемых данных, способы обработки, категории субъектов, сроки их хранения. Информация о наличии у оператора правовых оснований к обработке ПД указывается с учетом положения ст.6 152-ФЗ.

III. Детальное описание бизнес-процессов, в рамках которых осуществляется сбор данных. Здесь компания отвечает на главный вопрос субъекта: «Что вы делаете с моими данными?» В разделе подробно расписывается весь их жизненный цикл: от момента, когда вы получаете их, до момента уничтожения. Это делает процесс обработки прозрачным и предсказуемым.

IV. Перечень мер, принимаемых оператором и направленных на обеспечение выполнения оператором обязанностей, предусмотренных ФЗ «О персональных данных». Данный раздел призван убедить надзорные органы в том, что организация уделяет пристальное внимание вопросам защиты информации и воспринимает свои обязательства в сфере информационной безопасности со всей серьёзностью. 

V. Сведения о случаях передачи оператором персональных данных сторонним лицам, включая подрядчиков, если применимо. Здесь указываются юридические основания для такой передачи, цели, для которых данные передаются, а также перечень передаваемых персональных данных. 

VI.Способы связи с оператором для реализации субъектом своих прав (адрес электронной почты, контактный телефон и т.д.) Требования закона о персональных данных ориентированы на защиту прав пользователей, поэтому они логично сочетаются с нормами юзабилити. Стандартная практика – размещать ссылку на Политику конфиденциальности в футере сайта и в формах сбора данных. Это даёт пользователю возможность ознакомиться с документом непосредственно перед предоставлением своих данных, чтобы соблюсти закон и соответствовать правилам digital-этикета.

Вам необходима первичная консультация?

В случае если организация не собирает персональные данные через свой веб-сайт, существуют альтернативные способы обеспечения доступа к политике конфиденциальности. Например, можно разместить распечатанный документ на информационном стенде в офисе или предоставлять его для ознакомления в момент, когда клиент подписывает какие-либо соглашения, анкеты или другие документы.

Б. Положение об обработке и защите ПД

Параллельно, если вы являетесь работодателем, внутри компании должен существовать внутренний регламент, принятый в установленном порядке локальный нормативно-правовой акт, именуемый Положением об обработке персональных данных. Этот документ должен включать в себя процедуры, направленные на предотвращение и выявление нарушений законодательства в сфере прайвеси (что требуется Трудовым кодексом РФ).

В. Положении обычно раскрывается:

• информация о лицах, которые несут ответственность за работу с персональными данными;
• описание порядка получения доступа к персональным данным, источники их поступления;
• правила, регламентирующие передачу персональных данных сторонним организациям;
• алгоритм действий, связанных с уничтожением персональных данных;
• детальное описание мер, которые необходимо предпринять в случае возникновения угроз безопасности персональных данных.

Таким образом, Политика конфиденциальности служит публичным документом, размещаемым на сайте компании и регулирующим работу с данными, главным образом пользователей. В свою очередь, Положение об обработке персональных данных является внутренним нормативным актом, который обязательно должен соблюдаться всеми сотрудниками организации.

Компания может объединить эти два документа в один или вести их раздельно – главное, чтобы в них были исчерпывающе отражены все процессы обработки ПД в компании с учетом требований применимого законодательства.

C. Согласие на обработку персональных данных

Самый простой способ для компаний получить право законно обрабатывать персональные данные –  получить согласие у их владельца. Это основание часто используют при продвижении товаров, работ и услуг в Интернете, потому что другие способы сложнее применять, так как они требуют особых условий, и потому их легитимность проще оспорить.

Получить разрешение на обработку данных можно как непосредственно у самого субъекта, так и от его уполномоченного представителя, в любой форме при условии, что этот факт потом будет возможно проверить. В качестве примеров таких способов можно привести: 

• оформление в письменном виде (как в бумажной форме, так и с применением цифровой подписи); 

• проставление отметки в специально предусмотренном поле (чек-боксе), содержащем ссылку на текст самого согласия и политику конфиденциальности для ознакомления пользователя;

• посредством голосовой коммуникации (при условии обязательной фиксации разговора) и др.

В определенных законодательством ситуациях согласие должно быть оформлено исключительно в письменном виде. Необходимые элементы письменного согласия указаны в части 4 статьи 9 Закона о персональных данных. При согласовании текста обычного согласия, подписанного ПЭП или даже акцептованного посредством совершения простых конклюдентных действий (т.н. «простое согласие»), рекомендуем также ориентироваться на эти требования.

Особый случай: распространение персональных данных. Если вы планируете сделать чьи-то данные публичными (например, разместить фото и ФИО сотрудника в разделе «Наша команда» на сайте), нужно получить на это отдельное разрешение. В нём человек должен чётко разрешить, какие именно данные и в каком объёме можно публиковать. Роскомнадзор предъявляет к такому согласию свои требования.

Кроме того, с 1 сентября 2025 года действует новое правило. Согласие, в каком бы виде оно не было представлено, должно быть выделено в самостоятельный документ и не может быть частью договора, оферты или других документов. Если у вашей компании есть такие совмещённые документы, их нужно срочно переделать.

Требований много, с чего же начать самопроверку?

Чтобы ничего не упустить, рекомендуем совершить несколько последовательных шагов:

1. Проанализировать все источники персональных данных и определить, имеется ли надлежащее правовое основание. Согласие выбираем по остаточному принципу.
2. Оценить, требует ли закон получения согласия в письменной форме для ваших бизнес- процессов. Составить такие формы с соблюдением требований.
3. Обновите все формы и чек-боксы на сайте, где отсутствует текст для акцепта или есть заранее проставленные маркеры þ. Любое согласие должно соответствовать критериям предметности, сознательности, однозначности, информированности.
4. Исключите любые формы молчаливого (подразумеваемого) согласия. Выделите упоминания о нем в отдельный документ из текста политик, пользовательских соглашений и оферт.
5. Если информация применяется в различных целях, необходимо получить отдельное разрешение для каждой из них. Это можно реализовать в виде единого документа, так называемого "мультисогласия", предоставляющего субъекту возможность выбора.

D. Отдельные локальные акты по вопросам обработки персональных данных, с подтверждением факта ознакомления с ними работников оператора

В дополнение к Политике оператор обязан разработать ряд внутренних документов, описывающих процедуры обработки персональных данных и нацеленных на предотвращение и выявление нарушений законодательства России, а также на ликвидацию последствий таких нарушений. К ним, в частности, относятся: различные положения, определяющие порядок и условия обработки и защиты пдн в организации (об обработке персональных данных в ИСПДн, об обеспечении безопасности персональных данных, полученных в процессе эксплуатации системы видеонаблюдения и др.); перечни (списки работников, в чьи должностные обязанности входит работа с персональными данными, перечни мест хранения ;материальных носителей, содержащих ПД и подобные); инструкции и регламенты.

Сотрудник, отвечающий за организацию обработки персональных данных, должен информировать персонал организации о требованиях российского законодательства, внутренних политиках и стандартах, касающихся обработки персональных данных, а также о мерах по их защите. Факт ознакомления подтверждается подписью работника в соответствующей ведомости.

E. Документы при взаимодействии с подрядчиками ;

Приводя в порядок внутренние документы по теме privacy, многие компании забывают о необходимости правильного оформления отношения по передаче данных. 

Если оператор принимает решение, делегирует часть функций, связанных с обработкой персональных данных, сторонним подрядчикам, необходимо заключить соглашение о поручении. Это договор не имеет ничего общего с институтом поручения, установленным ГК РФ.

Закон не предъявляет строгих требований к документу, которым оформляется поручение на обработку. Такой документ может быть как самостоятельным соглашением, так и составной частью более общего договора (например, партнерского или об оказании услуг).

Несмотря на гибкость формы, к содержанию поручения предъявляются следующие требования. Обязательные для включения договор условия: 

• состав персональных данных;
• цели обработки и перечень действия, которые будут совершаться обработчиком в отношении персданных;
• общую обязанность обеспечивать конфиденциальность полученных сведений;
• необходимость соблюдения требования о локализации в соответствии со ст. 18.1 152-ФЗ;
• положения об аудите, подразумевающее предоставление по запросу оператора документов, подтверждающих соблюдение обработчиков требований законодательства и условий поручения:
• требования по защите информации в соответствии со ст. 19 152-ФЗ;
• иные условия, которые Стороны признают в качестве существенных.

Обратите внимание, что по общему правилу, если иное не согласовано сторонами в поручении, ответственность за законность обработки личных данных, в том числе и дальнейшей обработки субподрядчиками, лежит на операторе. Когда оператор получает личные данные, он должен убедиться, что у него есть разрешение на их использование для собственных целей и для передачи участникам обработки по цепочке.

Конфиденциальность персональных данных при их передаче по схеме «оператор 1 – оператор 2» обеспечивается за счет соблюдения каждой из сторон требований 152-ФЗ, и закреплением дополнительных гарантий в договоре, предусмотренных NDA, а также обязательств, опосредующих режим коммерческой тайны (если применимо).

F. Документы о прохождении аудита персональных данных

Согласно пункту 3 части 1 статьи 18.1 Федерального закона No 152-ФЗ "О персональных данных", оператор обязан проводить внутренний контроль над обработкой персональных данных. Проведение внутреннего аудита входит в число функций ответственного за организацию обработки ПД.

Аудит позволяет своевременно выявлять и устранять нарушения в процессах обработки персональных данных до того, как они повлекут негативные последствия как для субъектов ПДн, так и для самой компании-оператора.

Причинами проведения самопроверки могут быть:

• совершенствование внутренних процессов и документации для приведения их в соответствие с законодательством;
• реакция на обращения субъектов ПД с целью контроля соблюдения их прав;
• адаптация к изменениям в законодательстве о персональных данных;
• подготовка к выходу на новые рынки, запуску новых продуктов или сервисов;
• проверка уровня знаний сотрудников и контроля соблюдения установленных процедур в подразделениях компании и др. 

Законодательство не определяет конкретную периодичность аудита, это решает сам оператор. Рекомендуется проводить аудит не реже одного раза в год. Внеплановые проверки проводятся при необходимости с учетом внешних факторов.

Важно понимать, что аудит требует значительных временных и трудовых затрат. Это не формальная проверка «на бумаге», а глубокий анализ бизнес-процессов компании. Чем крупнее организация, тем сложнее провести полноценный аудит и исправить все выявленные замечания, поскольку количество процессов может быть очень велико.

Специалисты юридической компании «Центральный округ» готовы взять на себя всю сложность процесса и предложить комплексное решение для вашего бизнеса. Мы предоставляем услугу по сопровождению обработки персональных данных, которая включает в себя:

• проведение всестороннего аудита текущих процессов работы с персональными данными;

• разработку полного комплекта необходимой документации по защите персональных данных; 

• помощь во внедрении утверждённых регламентов и процедур в повседневную деятельность компании.

Наше предложение обеспечит системное соответствие требованиям 152‐ФЗ и создаст надёжную основу для безопасной работы с персональными данными на всех уровнях организации.

Читайте подробно об аудите персональных данных здесь

В заключение предлагаем разобрать наиболее частые заблуждения по вопросам подготовки документов.

FAQ

До 2030 полномочия Роскомнадзора на проведение проверочных мероприятий ограничены в связи с введением моратория. Возникает вопрос: можно ли рассматривать это время как своего рода «переходный» период, чтобы привести все процессы в соответствие?

Несмотря на запрет, РКН продолжает осуществлять контроль за соблюдением законодательства о персональных данных, анализируя информацию на сайтах, данные из других источников, в т.ч. через межведомственный обмен.

Обратите внимание, что на мероприятия, осуществляемые без взаимодействия с контролируемом лицом, не распространяются положения Закона о государственном и муниципальном контроле, а значит, мораторий на них не действует. При выявлении нарушений или получении жалоб, РКН вправе привлечь нарушителей к ответственности. Кроме того, сохраняется возможность проведения внеплановых проверок.

У нас микропредприятие, пару единиц человек в штате и нет сайта. Это обязательно, чтобы в организации были все эти документы в распоряжении?

В материале приведен базовый минимум организационно-распорядительной документации, которая может понадобиться в процессе хозяйственной деятельности, а также в случае проведения проверок. В целом каждый оператор самостоятельно определяет состав организационных и технических мер по защите информации.

При этом следует отметить, что в отношении МСП закон не предусматривает особый послаблений в плане регуляторики. В самом деле, ИП не обязательно назначать ответственного за обработку ПД; оффлайн операторы не обязаны разрабатывать и публиковать пользовательские документы, в частности, Политику конфиденциальности, как это следует из буквального прочтения закона. В остальных вопросах дифференциации правового регулирования не наблюдается.

Вам необходима первичная консультация?

Какая ответственность предусмотрена за отсутствие документов?

Ответственность за неопубликование на сайте оператора политики конфиденциальности, равно как и за отсутствие письменного согласия субъекта персональных данных в случаях, когда такое согласие является обязательным в соответствии с законом, прямо установлена действующим законодательством в ст. 2., 2.1, 3 ст. 13.11 КоАП РФ. Верхний предел штрафа установлен полтора миллиона рублей.

Другие нарушения правил обработки персональных данных, которые могут быть в том числе следствием отсутствия необходимых регламентирующих документов, включая случаи утечек персональных данных, также регулируются вышеупомянутой статьей. В случае серьезных нарушений размер штрафа может быть рассчитан как процент от оборота компании.