Защита персональных данных: полный список документов в 2025 году

Владельцы бизнеса в России все чаще сталкиваются с жесткими проверками Роскомнадзора. Штрафы за нарушения ФЗ от 27.07.2006 №152-ФЗ достигают 500 млн рублей при масштабных утечках, к тому же это сильно вредит репутации компании. Мы расскажем, какие документы по защите персональных данных должны быть в каждой организации, как их разработать и кто обычно этим занимается.

Какие данные относятся к персональным

Персональные данные (ПДн) — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такое определение закреплено в ст. 3 ФЗ от 27.07.2006 № 152-ФЗ. Ключевой критерий — возможность идентифицировать человека по этой информации, даже если фамилия или имя в ней прямо не указаны.

К персональным данным относятся, в частности:

• фамилия, имя, отчество;
• дата и место рождения;
• адрес проживания или регистрации;
• паспортные данные;
• ИНН, СНИЛС;
• номер телефона, адрес электронной почты;
• сведения о семейном положении, образовании, профессии;
• информация о доходах, состоянии здоровья.

Персональные данные делятся на несколько категорий. Например, сведения о состоянии здоровья, интимной жизни, национальной принадлежности относятся к специальной категории ПДн. Их обработка допускается только в строго ограниченных случаях, установленных законом (ч. 2 ст. 10 Закона № 152-ФЗ).

Пример:
Частная медицинская клиника ведет электронные амбулаторные карты пациентов. В рамках оказания медицинских услуг учреждение получает от пациента данные о его состоянии здоровья: диагноз, результаты анализов, сведения о перенесенных заболеваниях, назначенное лечение. Эти данные относятся к специальной категории.

Важно: оператор обязан обеспечивать усиленные меры защиты этих данных, так как их утечка может нанести существенный вред субъекту. Например, клиника обязана использовать сертифицированные средства защиты информации, ограничить доступ сотрудников к данным, вести учет обращений к медицинской информации, а также оформить ряд документов, регламентирующих работу с ПДн.

Скачать чек-лист по соблюдению законодательства о персональных данных

Заполните форму, вышлем материалы вам на e-mail:

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Перечень документов по защите персональных данных

ФЗ №152-ФЗ не определяет четкий перечень документов, которые могут понадобиться организации. Он зависит от особенностей ее деятельности и ряда других факторов. Однако есть список документов, которые обязательно должны быть в каждой компании:

1. Положение о защите персональных данных сотрудников.
2. Положение об обработке и защите ПДн иных лиц (клиентов, посетителей, пациентов и пр.).
3. Перечень информационных систем (ИС) ПДн.
4. Инструкция по хранению и учету съемных носителей персональных данных.
5. Политика обработки ПДн.
6. Приказ о вводе ИС в эксплуатацию.
7. Модель угроз безопасности в ИС.
8. План мероприятий по обеспечению безопасности ПДн.
9. Инструкция по организации парольной защиты.
10. Инструкция по проведению антивирусного контроля ИС.
11. План внутреннего контроля (аудита) соответствия обработки персональных данных требованиям законодательства и локальным актам оператора.
12. Положение о проведении внутреннего контроля оператора.
13. Акт оценки вреда, который может быть причинен субъектам ПДн в случае утечки.
14. Журнал средств защиты информации, содержащую ПДн.
15. Приказ об утверждении мест хранения материальных носителей персональных данных.
16. Приказ об утверждении списка помещение, где ведется обработка ПДн в ИС.
17. Инструкция по безопасности на случай возникновения нештатных ситуаций.
18. Приказ о назначении комиссии по защите ПДн.
19. Приказ о назначении ответственного за работу с данными.
20. Приказ о назначении администратора информационной безопасности.
21. Регламенты допуска сотрудников к ПДн, обязательства о неразглашении.
22. Акт определения уровня защищенности для ИСПДн и (или) Акт классификации для государственной ИС.

Важно! Все организационно-технические меры и документы по защите персональных данных должны соответствовать требованиям Приказа ФСТЭК России от 18.02.2013 № 21 и Постановления Правительства РФ от 01.11.2012 №1119.Приказ ФСТЭК определяет состав и содержание организационных и технических мер по обеспечению безопасности ПДн в ИС, а Постановление №1119 устанавливает требования к защите данных и определяет их уровни защищенности.

Как разработать документы по защите персональных данных

Оформление документов обычно поручают штатному юристу, но, если у вас его нет или у него мало опыта работы по ФЗ №152-ФЗ, лучше обратиться в юридическую компанию, которая будет сопровождать вас на каждом этапе:

1. Проведите аудит ПДн: уточните обрабатываемые данные, цели, основания и сроки их хранения.
2. Разработайте Политику обработки ПДн: опишите процессы в соответствии с 152-ФЗ и реальными целями компании.
3. Создайте формы согласий: разработайте отдельные шаблоны для каждой конкретной цели обработки данных.
4. Примите Положение об обработке ПДн: опишите детально всю процедуру обработки на основе Политики.
5. Назначьте ответственного: определите сотрудника, отвечающего за организацию обработки ПДн.
6. Обучите персонал: обеспечьте обучение сотрудников, работающих с персональными данными.
7. Внедрите меры защиты: реализуйте необходимые технические и организационные меры безопасности при работе с ПДн.
8. Регулярно актуализируйте документы: систематически пересматривайте и обновляйте их, следите за изменением законодательства в сфере обработки и защиты ПДн.

Важно! Если компания-оператор не опубликовала Политику обработки ПДн на сайте или не предоставила сведения о реализуемых мерах защиты данных, ее могут оштрафовать по ч.3 ст. 13.11 КоАП РФ на сумму до 60 000 рублей. Но куда серьезнее штрафы за утечку ПДн: они могут достигать 15 млн, а при повторном правонарушении — 500 млн рублей.

Заключение

Защита персональных данных — не формальность, а критически важный аспект работы любого бизнеса в 2025 году. Проведите аудит, разработайте Политику и Положение, создайте формы согласий, назначьте ответственного, обучите сотрудников и внедрите меры защиты. Регулярно обновляйте документы в соответствии с законодательством — оно постоянно меняется. Не откладывайте, приведите все процессы в порядок уже сегодня. Вы можете это делегировать юристам — заказать только документы по защите персональных данных сотрудников и клиентов или комплексное сопровождение.