Разработка документов по обработке персональных данных

Перед началом оформления документов нужно выполнить несколько ключевых шагов: определить цели и состав обрабатываемых данных; подать уведомление в Роскомнадзор о начале их обработки; разработать пакет документов 152-ФЗ; обеспечить ознакомление сотрудников с нормами и назначить ответственного за ПДн. Примерный план действий выглядит так:

• Определить цели и объем обработки ПДн: уточните, какие персональные данные вы собираете (клиентов, сотрудников, подрядчиков) и для каких целей.
  
• Подать уведомление в Роскомнадзор: зарегистрируйтесь как оператор и сообщите о начале обработки данных.
  
• Сформировать пакет документов: подготовьте весь необходимый комплект (см. список ниже).
  
• Назначить ответственного: распоряжением руководителя назначьте сотрудника, контролирующего соблюдение ФЗ-152.
  
• Ознакомить персонал: проинструктируйте сотрудников по правилам работы с ПДн (например, получение согласия при сборе, безопасное хранение, разграничение доступа и т. д.).
  

Кроме того, важно обеспечить соответствие документов реальной практике. Например, если на сайте есть формы сбора данных (обратный звонок, регистрация, анкета), они должны содержать поля для согласия и ссылку на политику обработки.
Закон 152-ФЗ не прописывает жёсткого перечня документов — конкретный набор зависит от специфики бизнеса. Тем не менее, существует базовый комплект документов по персональным данным, который рекомендуется иметь любому оператору:

• Политика обработки персональных данных – публичный документ, раскрывающий принципы и цели использования ПДн. Обычно размещается на сайте или на видном месте в офисе.
  
• Согласие на обработку ПДн – письменное или электронное разрешение субъекта (сотрудника или клиента) на сбор и применение его данных. Согласие должно быть добровольным, конкретным и информированным. Например, в тексте согласия указывают цель обработки, сведения об операторе, срок действия и порядок отзыва.
  
• Согласие на рекламную рассылку – отдельный документ для отправки рекламных сообщений. Его нельзя «встраивать» в общие документы.
  
• Уведомление в Роскомнадзор – официальное заявление о начале обработки данных, отправляемое в реестр операторов.
  
• Приказ о назначении ответственного за ПДн – внутренний акт, которым руководитель назначает ответственного сотрудника.
  
• Сообщение о трансграничной передаче ПДн – оформляется, если данные передаются через зарубежные сервисы или хранятся за границей.
  
• Локальные акты и журналы: комплекс внутренних документов (приказы, положения, инструкции, журналы). В их числе:
  
  • Положение об обработке и защите ПДн – устанавливает внутренний порядок хранения и использования данных.
    
  • Приказы руководителя – например, об утверждении списка сотрудников, допущенных к ПДн; об утверждении мест хранения носителей; о составе комиссии по уничтожению документов и т.д.
    
  • Инструкции и регламенты – описывают правила работы с системами, правила доступа и т.д.
    
  • Журналы учета – например, журнал регистрации обращений субъектов ПДн (фиксируются дата обращения, ФИО субъекта, цель и результат рассмотрения запроса), а также журналы контроля, проверок и инцидентов.
    

Все вышеуказанные документы оформляются как локальные нормативные акты с полными реквизитами: указываются название организации, дата, номер (или идентификатор), подпись ответственных лиц. Обыкновенно для удобства используют единую систему нумерации и реестр всех локальных актов (для быстрого поиска)

Политика обработки персональных данных – это внутренний локальный акт оператора, описывающий подход компании к работе с ПД. Согласно рекомендациям Роскомнадзора, документ должен содержать следующие разделы и сведения:

• Общие положения – цели политики, основные термины (оператор, субъект, обработка и т.д.), права и обязанности оператора и субъектов.
  
  
• Цели обработки данных – конкретные законные цели сбора и использования ПД.
  
  
• Правовые основания – перечень нормативных актов, договоров и иных оснований (например, согласия субъекта), на которых базируется обработка.
  
  
• Категории данных и субъектов – виды собираемых персональных данных (ФИО, контакты, БД, пр.) и категории лиц (сотрудники, клиенты, контрагенты и т.д.), чьи данные обрабатываются.
  
  
• Порядок и условия обработки – полный список операций с данными (сбор, хранение, изменение, передача, уничтожение и т.д.), методы обработки (ручная и автоматизированная), сроки хранения и условия уничтожения. Также описываются условия трансграничной передачи, если она используется.
  
  
• Меры безопасности – перечисление правовых, организационных и технических мер защиты информации (шифрование, антивирусы, разграничение доступа и др.).
  
  
• Права субъектов – порядок реализации прав физических лиц: доступ к своим данным, их корректировка, удаление и т. д., а также регламенты обработки заявок и жалоб от субъектов.
  
  

Например, в документах рекомендуется явно указать категории обрабатываемых данных и способы обработки (контакты, переписка, платежи и т.п.), сроки хранения и процедуру уничтожения ПД. Политика должна публиковаться либо обеспечиваться для сотрудников в свободном доступе и ознакомлении.

Согласие на обработку персональных данных – это документ или форма, где конкретный человек (субъект данных) даёт разрешение на обработку своих персональных сведений. По ст. 9 ФЗ‑152 субъект «свободно, своей волей и в своем интересе даёт согласие» на обработку, и оператор обязан иметь подтверждение такого согласия. Согласие оформляется письменно (в виде подписанного документа или электронной подписи) и подписывается самим субъектом (или его представителем).
Политика обработки персональных данных – это внутренний акт самой организации, описывающий общие правила и принципы работы с любыми персональными данными. Она утверждается руководством компании и доступна для сотрудников и при необходимости публикуется (например, на сайте). Политика не ограничивается одним человеком, а регламентирует процесс обработки всех данных в организации. Таким образом, согласие – это индивидуальное разрешение от физлица, а политика – общая инструкция оператора по работе с данными (включая цели, меры защиты, права субъектов и т. д.).

Как правило, документы оператора утверждаются и подписываются руководством или уполномоченными представителями компании. Например, уведомление в Роскомнадзор подписывает уполномоченное лицо (обычно генеральный директор или глава компании). Локальные акты (приказы, регламенты, политика конфиденциальности и т. д.) утверждаются приказом руководителя, после чего сотрудники должны быть ознакомлены с ними под роспись.
Согласие на обработку подписывает непосредственно сам субъект персональных данных. Это может быть либо физическая подпись в бумажном документе, либо электронная (в случае онлайн-формы), либо проставление галочки в соответствующем поле на сайте. Важно, что молчание или бездействие субъекта не считается согласием.

Документы по 152‑ФЗ следует оформлять как локальные нормативные акты с полными реквизитами: названием организации, датой, номером или идентификатором, указанием ответственных лиц и подписанием руководителем. Рекомендации Роскомнадзора рекомендуют структурировать Политику обработки в виде основных разделов (общие положения, цели, правовые основания и т. д.). Формы согласий и уведомлений должны соответствовать Закону: согласие оформляется письменно или электронно (подписанный документ), уведомление в РКН – на бумаге или электронно, с подписью уполномоченного лица. Следует проверять актуальность шаблонов и учитывать специфику бизнеса при оформлении: одни и те же формулировки не подходят для всех. Приказы о назначении ответственных и внутренние положения должны быть выполнены в едином стиле предприятия и доведены до сведения персонала.

Наличие необходимой документации – критично для законной работы с персональными данными. Отсутствие или несоответствие документов чревато штрафами и санкциями. Нарушения в сфере ПД могут обернуться штрафами до сотен тысяч и миллионов рублей. Например, непроставленное согласие или несвоевременное уведомление РКН карается штрафом до 300–500 тысяч ₽. Незакрытые утечки или ненадлежащее хранение данных влекут ещё большие штрафы (до 15–20 млн ₽ за нарушение при обработке биометрии, повторные утечки – до 3% выручки). За трансграничную передачу ПД без разрешения штраф – от 6 до 18 млн ₽. Кроме административной ответственности, нарушители могут понести гражданско‑правовую ответственность (возмещение ущерба) и даже уголовную (до 5 лет лишения свободы за особо крупные нарушения).

Документы по защите ПД необходимо актуализировать при изменении законодательства или внутренних процессов. При каждом изменении в сборе или обработке данных (новые системы, сервисы, категории данных) следует пересматривать политические и локальные акты. Кроме того, регулярные обновления законодательства также требуют корректировок: так, с 30 мая 2025 года вступают новые требования ФЗ‑152 (усилены правила обработки, локализации данных и ответственности). Поэтому рекомендуется проверять и при необходимости обновлять политику, соглаcия, инструкции и прочие документы как минимум ежегодно или при выходе новых норм.

В Интернете доступно множество примеров и шаблонов документов по 152‑ФЗ. Прямого запрета на использование типовых форм нет, однако это чревато ошибками. Как отмечают эксперты, каждый бизнес имеет свою специфику, и один универсальный образец не учтёт все нюансы. Использование неподходящего шаблона может привести к несоответствию требованиям закона и, как следствие, к штрафам. Рекомендуется составлять документы самостоятельно или с помощью специалистов: провести анализ процессов компании, учесть рекомендации Роскомнадзора и адаптировать текст под свою деятельность. Это обеспечит более надёжную защиту и соответствие законодательству.