Какие документы необходимо подготовить до регистрации в Роскомнадзоре
Содержание статьи
С 2025 года требования к операторам персональных данных существенно ужесточили. Отсутствие даже одного документа или ошибка в оформлении могут привести к штрафам до нескольких миллионов рублей. В этой статье мы рассмотрим перечень внутренних документов, которые оператор обязан разработать и утвердить в компании еще до регистрации в Роскомнадзоре.
Перечень документов оператора
У каждого оператора должен быть полный список документов, касающихся работы с персональными данными (ПДн). Их количество может доходить до 60-ти, но многое зависит от специфики деятельности организации.
Мы рассмотрим основные документы, которые вам точно понадобятся.
Политика обработки ПДн
Политика обработки персональных данных – обязательный документ, регламентирующий порядок сбора, хранения и использования личной информации (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). Она должна быть четкой и доступной как для сотрудников, так и для пользователей.
Что включить в политику:
- цели обработки – например, исполнение договора, оказание услуг, маркетинговые рассылки;
- правовые основания обработки ПДн: согласие субъекта, исполнение обязательств по договору, выгодоприобретателем которого выступает субъект, и т.д.;
- типы обрабатываемых данных – ФИО, контакты (телефон, email), адреса и другие сведения;
- меры защиты данных – способы обеспечения конфиденциальности и ответственность компании за их утечку;
- срок обработки и хранения ПДн;
- порядок уничтожения данных при достижении целей;
- порядок реагирования на запросы субъектов ПДн;
- указание на то, осуществляется ли трансграничная передача данных.
Пример:
Интернет-магазин указывает, что собирает ФИО, адрес доставки и телефон клиента исключительно для обработки заказов и связи с покупателем.
Согласие на обработку
Этот документ дает компании право легально собирать и обрабатывать личную информацию в случаях, когда оно обязательно. Например, для маркетинговых рассылок, обработки биометрических или специальных категорий ПДн, и т.д. Согласие необходимо получать у каждого человека, чьи данные используются, если иное не предусмотрено законом (ст. 9 закона № 152-ФЗ).
Ключевые требования к согласию:
- четкое указание, какие именно данные обрабатываются и для каких целей;
- подтверждение добровольного согласия – подпись на бумажном документе или электронное согласие (например, галочка в онлайн-форме).
Пример, когда согласие не требуется:
При заказе товара человек заключает с продавцом договор. Для этого отдельное согласие не нужно, поскольку данные обрабатываются для исполнения договора (п.5 ч.1 ст.6 ФЗ №152-ФЗ).
Согласие на распространение
Если вы планируете распространять ПДн — например, опубликовать ФИО и фотографию сотрудника на сайте компании, — понадобится отдельное согласие на распространение (ст.10.1 ФЗ №152-ФЗ).
Что в нем указывается:
- сведения об операторе и субъекте;
- перечень данных для распространения;
- способ распространения (например, публикация на сайте организации);
- срок действия согласия и порядок отзыва;
- дата оформления и подпись субъекта.
Приказ о назначении ответственного за работу ПДн
По закону в каждой компании должен быть сотрудник, который контролирует и отвечает за работу с личными данными (ст. 22.1 ФЗ № 152-ФЗ).
Что прописать в приказе:
- Кто отвечает — ФИО и должность сотрудника
- Что входит в его обязанности — например, следить за защитой данных и вовремя обновлять документы, доводить до сведения работников обновление законодательства и локальные акты, организовать прием и обработку обращения субъектов ПДн, осуществлять внутренний контроль соблюдения ФЗ №152-ФЗ.
- Когда приказ начинает действовать — дата подписания
Как это работает на практике:
В небольших фирмах ответственность за работу с ПДн часто возлагают на HR-менеджера. В приказе указывают, что он отвечает за хранение трудовых книжек, сбор согласий сотрудников, сохранность других документов с персональными данными.
Правила внутреннего контроля
В пакет документов для регистрации в Роскомнадзоре входят и правила внутреннего контроля. Компании обязаны защищать личные данные от утечек, взломов и других угроз (п. 4 ч. 1 ст. 18.1, ст. 19 ФЗ № 152-ФЗ). Четкие правила помогают контролировать работу с данными и быстро устранять нарушения.
Что должно быть в правилах:
- Периодичность проверок – например, раз в квартал или полгода.
- Действия при нарушениях – фиксация в акте, привлечение виновных.
- Способы защиты – шифрование, обучение сотрудников, контроль доступа.
Пример:
Компания раз в полгода проверяет, как хранятся согласия сотрудников, защищены ли компьютеры паролями, вовремя ли уничтожаются устаревшие данные.
Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»
Сделаем заключение на соблюдение требований Роскомнадзора
Запишитесь на бесплатный аудит
Заполните форму и мы свяжемся с вами
Соглашение о неразглашении
Этот документ предотвращает утечку конфиденциальной информации внутри компании. Его подписывают все сотрудники и подрядчики, работающие с личными данными.
Что обязательно прописать:
- Какие данные защищаются (например, паспортные данные, контакты, зарплата)
- Что запрещено сотруднику (передавать информацию посторонним, копировать без необходимости)
- Последствия нарушений (дисциплинарные взыскания, материальная ответственность)
Пример из практики:
Бухгалтер, имеющий доступ к персональным данным и зарплатам сотрудников, подписывает соглашение. В нем четко указано, что разглашение этой информации грозит увольнением и компенсацией ущерба компании.
Приказ о допуске сотрудников к ПДн
Этот документ определяет, кто из сотрудников может работать с личной информацией. Он помогает контролировать доступ и предотвращает утечки.
Что прописывается в приказе:
- Кто имеет доступ — конкретные сотрудники и должности
- Какие данные можно использовать — только те, что нужны для работы
- Что разрешено делать — просматривать, вносить изменения или передавать данные
- Ответственность за нарушения — штрафы, выговоры, увольнение
Пример:
В компании менеджеры по продажам получают доступ только к контактам клиентов и истории заказов — этого достаточно для их работы. Бухгалтерия и другие отделы эти данные не видят. Такой подход минимизирует риски утечки.
Акт об уничтожении ПДн
Этот акт подтверждает, что компания правильно удалила личную информацию, которая больше не требуется.
Что должно быть в акте:
- когда и где уничтожали данные;
- какие именно сведения удалили: например, сканы паспортов, договоры;
- как уничтожили: шредирование, стирание с дисков;
- кто участвовал: подписи ответственных.
Пример:
После завершения акции магазин уничтожил анкеты участников. Электронные файлы стерли с серверов, бумажные анкеты пропустили через шредер, после чего ответственные сотрудники подписали акт. Это гарантирует, что данные нельзя восстановить.
Уведомление о начале обработки ПДн
Чтобы самостоятельно подать уведомление для регистрации в Роскомнадзоре, вам вам нужно заполнить его на сайте ведомства. Укажите основные сведения о вашей организации: полное наименование, ИНН, ОГРН, контактные данные. Затем перейдите к заполнению информации о целях обработки персональных данных — выберите подходящие варианты из предложенного списка.
Обязательно укажите, где физически располагается база данных с персональными сведениями. Также опишите применяемые меры защиты информации — технические и организационные.
При заполнении формы на сайте Роскомнадзора большинство полей содержат выпадающие списки с вариантами ответов. Вам нужно последовательно выбрать подходящие пункты: тип оператора, категории обрабатываемых данных, правовые основания обработки и другие параметры. Реквизиты компании и сведения об ответственных лицах вводятся вручную в соответствующие текстовые поля формы.
Заключение
Список документов для регистрации в Роскомнадзоре может включать до 60 наименований. Все зависит от сферы деятельности оператора и ряда других факторов. Если вы не знаете, как заполнить тот или иной документ, доверьте это юристам: малейшая ошибка может стоить компании несколько миллионов рублей, так как в 2025 году политика РКН становится все жестче, а требований — больше.
Остались вопросы?
Наш менеджер вас проконсультирует
