Документы для работы с персональными данными: что необходимо для бизнеса

Рассказываем, какие документы для работы с персональными данными нужны операторам и какие штрафы предусмотрены за их отсутствие.

Практически любой бизнес обрабатывает персональные данные (ПДн) клиентов или сотрудников. Все строится на людях, и без них компания не сможет получать прибыль. Но работа с ПДн должна быть организована с учетом требований законодательства, в том числе и к документам.

Рассказываем, какие документы для обработки персональных данных нужно оформить в 2025 году и как действовать пошагово.

Кто считается оператором

Оператор персональных данных — это индивидуальный предприниматель (ИП), организация, физическое лицо или государственный орган, который обрабатывает ПДн физических лиц: например, собирает номера телефонов, ФИО и адреса для доставки товаров или оказания услуг. Клиент в данном случае выступает субъектом ПДн.

Примеры персональных данных:

Учитывайте обязанности оператора

Обрабатывать ПДн — ваше право, которое вы можете реализовать для развития бизнеса и повышения доходности. Но не забывайте и про обязанности, которые закреплены за операторами по ФЗ от 27.07.2006 №152-ФЗ:

1. Обеспечивать законность и справедливость обработки: использовать полученные ПДн можно только в заранее определенных и совместимых целях. Например, если вам нужны данные клиента для изготовления мебели на заказ, нельзя запрашивать у него ИНН, СНИЛС и прочее — только то, что нужно для заключения и исполнения договора: ФИО, адрес, номер телефона, паспортные данные.
2. Гарантировать безопасность: оператор обязан принять все меры технического и организационного характера для защиты сведений о клиентах и работниках: разграничить доступ, установить антивирусное ПО, обеспечить шифрование и т.д.
3. Предварительно информировать субъекта до начала обработки о целях, способах, сроках работы с ПДн и иных существенных аспектах. Человек обязан понимать, зачем вам нужны сведения о нем.

Какие документы нужны для работы с ПДн

Чтобы бизнес легально работал с данными клиентов и сотрудников, нужно подготовить документы в соответствии с ФЗ №152-ФЗ. Это не просто бумажки — это юридический фундамент вашей работы с ПДн. Отсутствие документов или ошибка — прямой риск штрафов от Роскомнадзора и исков от граждан.

Документы для организации работы с персональными данными условно делятся на три блока:

Документация по самой обработке ПДн:

1. Политика обработки ПДн: раскрывает ключевые правила работы с данными, информируя субъектов о целях и условиях обработки, а также об их правах и применяемых мерах защиты.
2. Иные локальные акты: положения об обработке ПДн и их уничтожении, инструкции ответственного за организацию обработки ПДн и лиц, допущенных к работе с ПДн в ИСПДн, регламенты, соглашения, акты об уничтожении ПДн, правила работы с запросами субъектов ПДн, договоры поручения обработки операторам (если привлекаете сторонних исполнителей).
3. Организационные документы: приказ о назначении ответственного за обработку ПДн, приказ об утверждении перечня должностей и лиц, допущенных к обработке ПДн, приказ об утверждении мест хранения (особенно бумажных носителей).

Документы взаимодействия с субъектами: формы письменных согласий на обработку (стандартная форма), на передачу третьим лицам (отдельная форма или пункт в общем согласии, где четко указано, кому и с какой целью передаются данные), на распространение (отдельное согласие для случаев, когда данные раскрываются неограниченному кругу лиц).

Документы по обеспечению безопасности ПДн:

1. Учет ИСПДн: перечень всех ваших систем, где обрабатываются ПДн, акт их классификации (определение уровня защищенности), приказ о вводе в эксплуатацию.
2. Организация защиты: модель актуальных угроз безопасности ПДн, план мероприятий по защите, Положение о комиссии по защите ПДн и приказ о ее создании.
3. Инструкции: по парольной защите, антивирусному контролю, порядок действий при инцидентах (утечках), резервное копирование, учет и хранение материальных носителей, порядок их уничтожения.
4. Контроль и оценка: Положение и план внутреннего контроля (аудита) соблюдения ФЗ №152, акты его проведения. Схема рабочих мест и потоков данных, акт оценки возможного вреда субъектам при нарушении безопасности.
5. Журналы учета: обращений субъектов ПДн, машинных и съемных носителей, мероприятий по контролю защиты, инструктажей сотрудников по ИБ, тестирования СЗИ, ознакомления работников с Политикой обработки и требованиями закона. При необходимости — журнал учета посетителей.

Это необходимый минимум. Полный перечень зависит от масштаба и специфики работы вашей компании.

Получить бесплатную консультацию по регистрации в Роскомнадзоре или подготовке документов для работы с персональными данными

Консультация

Как оформить документы: пошаговая инструкция

В первую очередь необходимо назначить ответственного за обработку ПДн, а также определиться, какие именно документы вам нужны для законной работы с данными. Когда все будет готово, подайте уведомление в Роскомнадзор, чтобы зарегистрироваться в реестре операторов, в противном случае могут оштрафовать.

Работа с документами при этом не заканчивается. Законодательство об обработке и защите ПДн постоянно меняется, поэтому их нужно своевременно актуализировать. Рассмотрим каждый шаг подробнее.

Шаг 1: назначьте ответственного за обработку

Ответственным может быть только один сотрудник: например, юрист, бухгалтер, HR. Если вы работаете как ИП без работников, назначьте ответственным себя. Назначение оформляется отдельным приказом.

Шаг 2: определите, какие документы вам нужны

Перечень документов зависит от объема обрабатываемых ПДн, специфики деятельности компании, уровня защищенности ПДн и типа угроз при обработке данных в информационных системах (Постановление Правительства РФ от 01.11.2012 №1119):

1. Первый тип: актуальны, если одним из источников риска для системы являются недокументированные (недекларированные) возможности в системном ПО (ОС, драйверы, гипервизоры и т.д.).
2. Второй тип: актуальны для системы, когда источником риска выступают недокументированные (недекларированные) возможности в прикладном ПО (базы данных, CRM, бухгалтерские программы, специализированный софт и т.д.).
3. Третий тип: актуальны, если риски безопасности связаны с факторами, не обусловленными скрытыми возможностями в системном или прикладном ПО. Это все остальные риски — от неправомерных действий персонала до физического проникновения.

“У меня своя медицинская клиника. Мы берем стандартные сведения о пациентах:ФИО, адреса, номера телефонов, номера страховых полисов. Также храним сведения о состоянии здоровья, результаты анализов, диагнозы, а это уже считается обработкой специальных категорий персональных данных, на которую нужно согласие каждого пациента. Шаблоны согласий подготовили заранее, еще на этапе открытия клиники”

Владимир Образцов, владелец клиники

Шаг 3: разработайте Политику обработки ПДн

Это основной документ, который регулирует всю работу с ПДн. Ее необходимо опубликовать на сайте. Если у компании есть офис — разместить на информационном стенде.

Какие сведения должны быть в Политике:

1. Цели обработки: например, исполнение договора с клиентом, кадровый учет сотрудников, маркетинг (при наличии согласия), обеспечение безопасности на территории.
2. Правовые основания обработки ПДн: согласие субъекта, необходимость для исполнения договора, где субъект является стороной, выполнение требований закона (например, кадровое делопроизводство), защита жизненно важных интересов субъекта или иных лиц.
3. Объем и категории ПДн, категории субъектов: какие именно данные собираются и о ком. Принцип “только самые необходимые сведения” — в приоритете.
4. Порядок и условия обработки ПДн: какие действия совершаются с данными (сбор, хранение, использование и пр.), какие способы обработки используются (автоматизированный, неавтоматизированный, смешанный), передаются ли данные третьим лицам (и кому именно, на каком основании), обеспечивается ли безопасность ПДн.
5. Сроки хранения ПДн: указываются конкретные сроки или критерии их определения (например, “5 лет после прекращения договора”, “на время действия согласия”, “до достижения целей обработки” + срок, установленный законом для архива).
6. Актуальность, изменение, удаление и уничтожение ПДн: как обеспечивается уточнение данных? Как субъект может их уточнить? Как и на каком основании компания блокирует или удаляет данные? Также указывается порядок уничтожения носителей.
7. Порядок работы с запросами субъектов ПДн: как субъект может отозвать согласие, получить доступ к своим данным, потребовать их исправления или удаления? Нужны и сроки и процедура рассмотрения таких запросов.

Шаг 4: оформите остальные документы

Этот перечень документов для обработки персональных данных разрабатывается на основании Политики и с учетом особенностей вашего бизнеса. Например, если у вас интернет-магазин, вам критически важен договор поручения обработки с хостинг-провайдером и детальные инструкции по защите данных в CRM. Если вы медицинский центр, обрабатывающий особые категории ПДн, потребуются усиленные меры безопасности, отраженные в Положении об обработке ПДн пациентов и модели угроз.

Курьерская служба, работающая с геолокацией водителей, должна четко прописать правовое основание и порядок работы с ПДн в локальном акте. Каждый документ — приказ о назначении ответственного, положение о комиссии по защите ПДн, журнал учета носителей — должен точно отражать ваши реальные бизнес-процессы и ИТ-инфраструктуру, а не быть шаблонной копией.

Шаг 5: подайте уведомление в Роскомнадзор

Уведомление подается до начала обработки ПДн каждым оператором, это можно сделать на сайте ведомства. Исключение — операторы, которые работают с данными в бумажном виде или обрабатывают ПДн для обеспечения государственной безопасности: им регистрироваться в реестре необязательно (ст. 22 ФЗ №152-ФЗ).

Роскомнадзор рассмотрит уведомление в течение 30 дней, по результатам вашу компанию добавят в реестр. Но могут и отказать, если вы указали в уведомлении категории данных, которые не соответствуют целям обработки: например, ИНН для продвижения товар и услуг на рынке — так делать нельзя

Шаг 6: своевременно актуализируйте документы

Для этого вам нужно постоянно следить за изменениями в законах регламентирующих обработку и защиту данных. Обычно это входит в обязанности ответственных, но, если у вас нет работников, это ложится на ваши плечи.

Помните: незнание законов не освобождает от ответственности. Если у вас есть сайт, обязательно разместите там все необходимые документы: Политику, форму согласия на обработку. Предупреждайте новых пользователей о сборе cookies.

Ответственность оператора

Если вы не опубликуете Политику обработки ПДн на сайте, вас могут оштрафовать на сумму до 60 000 рублей (ч. 3 ст. 13.11 КоАП РФ). За неподачу уведомления в Роскомнадзор штраф выше — до 300 000 рублей. Обязательно разработайте шаблон согласия на обработку ПДн и берите его с клиентов, если по закону оно нужно, иначе — штраф до 700 000 рублей.

Особое внимание уделите документам для работы и защиты персональных данных. Например, оператора могут оштрафовать на сумму до 20 млн рублей за утечку биометрии, а отсутствие инструкции на случай возникновения нештатных станет доказательством того, что оператор не принял необходимых мер для защиты данных.