Разработка документов по персональным данным

Требования законодательства к подготовке документов по ПДн

Для разработки организационно-распорядительных документов (ОРД) нужно ознакомиться с законами и нормативными актами, которые регулируют работу с персональными данными:

• Трудовой кодекс Российской Федерации (ТК РФ);
• Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (152-ФЗ);
• Постановления Правительства РФ (от 21.03.2012 №21, от 15.09.2008 №687, от 01.11.2012 №1119, от 10.07.2014 №387);
• Приказы Роскомнадзора.

Подготовка ОРД по персональным данным должна строиться с соблюдением трех основных принципов:

• Законность. Разработка документов требует соблюдения всех применимых нормативных актов и правил использования ПДн.
• Минимизация. Подразумевает обработку, сбор, хранение только необходимой информации
• Прозрачность. Документы должны быть доступны для субъектов.

Для соблюдения требований законодательства организациям нужно осуществить разработку документацию и своевременно её обновлять.

Подготовка обязательных документов в организации

Четкого перечня документов по персональным данным законодательство не предусматривает. Существует определенный базовый комплект, который обязан иметь каждый работодатель согласно требованиям статьи 86 ТК РФ и статей 18.1 и 19 152-ФЗ. Перечень обязательных документов для оператора ПДн:

1. Политика обработки. Описывает задачи, основные подходы, стандарты работы с персональными данными в компании. Этот документ должен находиться в открытом доступе. Например, он может быть размещен на официальном сайте организации.
2. Положение об обработке. При разработке необходимо перечислить персональные данные, которые будут обрабатываться, устанавливать методы и процедуры процесса, круг полномочий ответственных сотрудников. При подготовке документа в него можно включить шаблоны согласия, обязательства о неразглашении, бланков, извещений и информационных запросов, применяемых при работе с ПДн.
3. Положение о защите. Закрепляет комплекс мер по безопасности персональных данных.
4. Приказ о назначении ответственного. Этим ОРД назначают конкретного сотрудника, отвечающего за выполнение положений 152-ФЗ в компании.
5. Должностные инструкции для сотрудников, имеющих доступ к персональным данным. Подготовка должностных инструкций для каждого работника должна включать его функции и регламент работы с ПДн.
6. Обязательство о неразглашении. Этот документ закрепляет ответственность сотрудников за сохранность информации, к которой он получил доступ.
7. Согласие на обработку ПДн (Согласие). Это разрешение от всех субъектов на доступ к сведениям о нем.
8. Оценка ущерба для физических лиц, который может быть потенциально причинен при нарушении 152-ФЗ. Подготовка документа помогает идентифицировать опасности при обращении с персональными данными, создать защитные механизмы для их предотвращения

Перед тем как приступить к работе с персональными данными, необходимо провести подготовку и отправить соответствующее уведомление в Роскомнадзор. Требование касается юридических лиц и индивидуальных предпринимателей. В противном случае Роскомнадзор имеет право применить штрафные санкции к нарушителям.

Подготовка дополнительного пакета документов

Их состав может варьироваться в зависимости от масштаба организации, категорий обрабатываемых персональных данных, способа их обработки и цели. Внутренние документы описывают процессы работы с ПДн внутри организации. Это политики, процедуры, стандарты безопасности, инструкции для сотрудников.

Внешние документы направлены на информирование сторонних лиц о правилах работы с персональными данными в организации. Сюда входят Политика конфиденциальности, Согласия, Уведомления в Роскомнадзор.

Форма Согласия должна быть своя для каждой из целей работы с персональными данными. Отдельная форма Согласия утверждается для сотрудников. Если организация работает с клиентами - с ними подписывается другая форма Согласия.

При наличии сайта организации, оператор не может собирать ПДн клиентов (например, электронные адреса, телефоны) без Согласия.

Если в организации данные обрабатываются с помощью информационной системы персональных данных (ИСПДн), то перечень документов по персональным данным расширится. В список ОРД по ПДн войдут:

• Перечень ИСПДн.
• Акт определения уровня защищенности ПДн.
• Модель угроз.
• Инструкции по работе с ИСПДн.
• Инструкции ответственных за информационную безопасность.
• Журналы учёта.

Необходимо осуществлять постоянный мониторинг законодательных изменений и обновлять документы в соответствии с требованиями законодательства о защите персональных данных. При проведении проверок представители Роскомнадзора настаивают на предоставлении полного пакета документов.

Услуга подготовки пакета документов по ПДн

Типовые шаблоны документов, касающихся выполнения требований 152-ФЗ, можно найти на просторах Интернета. Однако необходимо критически оценивать такие материалы, поскольку их подготовка не учитывает специфику бизнес-процессов и организационную структуру вашего предприятия.

К разработке ОРД лучше привлечь специалистов для создания соответствующей документации, адаптированной к вашим условиям.

Подготовка полного пакета документов для Роскомнадзора включает:

1. Обследование текущего состояния обработки ПДн в организации. Необходимо провести анализ и классификацию всех типов персональных данных, установить процессы сбора, хранения, передачи, определить цели и основания обработки персональных данных.
2. Разработка политики обработки ПДн. Она должна отображать фактическую работу с соблюдением норм 152-ФЗ в компании.
3. Разработка форм согласий на обработку ПДн. Для каждой цели должны применяться свои формы согласия.
4. Разработка положения об обработке ПДн. Это практический регламент по управлению информацией. В нем документируют процедуры доступа к данным, их редактирования, удаления, механизмы контроля доступа и мониторинга защиты данных.
5. Подготовка проекта приказа по назначению ответственного за организацию обработки персональных данных.
6. Анализ уязвимостей и рисков ИСПДн. На основе этих данных базируется разработка плана действий по подготовке и внедрению необходимых технических и организационных мер по защите персональных данных.
7. Разработка политики безопасности. Она должна включать механизмы защиты и соблюдения законодательства.
8. После завершения разработки отдельных документов проводится подготовка полного комплекта документов по ПДн для утверждения руководством организации.

Грамотная подготовка документов поможет обеспечить правильную обработку персональных данных и минимизировать риски нарушений.

Ответственность за нарушения

Роскомнадзор при проведении проверок особое внимание уделяет подготовке документов. Неправильное разработка или их отсутствие могут повлечь за собой штрафы для ответственного лица или организации.

В связи с изменениями в Кодексе об административных правонарушениях (КоАП) эти штрафы с 30 мая 2025 года достигают сотен тысяч рублей.

Нарушения в соответствии со статьей 13.11 КоАП:

Преимущества обращения в УЦ ПРОФИ

Соблюдение требований 152-ФЗ - не просто юридическая обязанность, но и показатель ответственного отношения компании к защите ПДн. Своевременная разработка и внедрение документов по персональным данным минимизирует риски и обеспечивает законность работы вашей организации.

Наша компания предлагает профессиональную поддержку в области разработки комплекта документов, соответствующего особенностям вашей организации. Эксперты УЦ ПРОФИ сделают подготовку документов по персональным данным под ключ.

Комплексный подход поможет создать работающую систему защиты персональных данных и избежать административных санкций со стороны Роскомнадзора и других регуляторов.