Что должно быть в инструкции по ПДн для сотрудников?

Инструкция по работе с персональными данными — это локальный акт, который устанавливает правила для сотрудников и помогает организации доказать, что она исполняет требования ФЗ-152. Чем подробнее и конкретнее инструкция, тем выше уровень защищённости компании и тем меньше риск претензий со стороны Роскомнадзора.

Основные разделы инструкции по ПДн:

1. Общие положения
   • цель документа;
   • правовая основа (ФЗ-152, подзаконные акты, приказы ФСТЭК/ФСБ);
   • кто обязан соблюдать инструкцию.
2. Термины и определения
   • краткие пояснения основных понятий: «персональные данные», «обработка», «оператор», «ответственный за ПДн» и др.
3. Порядок работы с ПДн
   • сбор данных (какие сведения можно собирать, как фиксировать согласие);
   • хранение (бумажные носители, электронные базы, правила защиты);
   • использование (только в рамках целей, определённых в политике);
   • передача (условия, акты передачи, согласие субъекта);
   • уничтожение (порядок, акты об уничтожении).
4. Права и обязанности сотрудников
   • что сотрудник обязан делать: хранить тайну, работать строго в пределах полномочий, сообщать об утечках;
   • что категорически запрещено: копировать ПДн без необходимости, пересылать по личной почте, хранить на личных устройствах, разглашать.
5. Ответственность
   • дисциплинарная (замечание, выговор, увольнение);
   • административная (штрафы по КоАП РФ);
   • материальная (возмещение ущерба работодателю).
6. Информационная безопасность
   • правила работы с паролями, шифрованием, антивирусами;
   • особенности работы в сети Интернет и корпоративной почте.
7. Порядок ознакомления
   • подпись сотрудника в журнале, подтверждающая, что он изучил инструкцию и обязуется её соблюдать.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан принимать локальные акты, устанавливающие порядок обработки ПДн.
• Ст. 19 ФЗ-152 — меры по предотвращению несанкционированного доступа включают организационные документы (инструкции).
• Приказ ФСТЭК № 21 от 18.02.2013 — требует регламентировать обязанности сотрудников при работе с ПДн.
• Ст. 90 ТК РФ — обязывает работников сохранять конфиденциальность персональных данных.

Практика проверок Роскомнадзора

• В одной компании у сотрудников были лишь устные указания по работе с данными. Проверка признала это нарушением, так как локальные акты отсутствовали.
• В другой организации инструкции были персонализированы: отдельно для кадровиков, бухгалтерии, IT. РКН отметил это как лучшую практику.
• РКН также обращает внимание, что инструкция должна быть доступна сотрудникам и регулярно обновляться.

Что важно учесть при разработке инструкции

• Инструкции не должны быть «общими», их нужно адаптировать под конкретные процессы компании.
• Лучше разрабатывать отдельные инструкции для разных категорий сотрудников (кадры, бухгалтерия, IT, маркетинг).
• Ознакомление фиксируется под подпись в журнале.
• Документ должен утверждаться приказом руководителя.

Рекомендации и выводы

Инструкция по работе с ПДн — это не формальность, а важный инструмент защиты бизнеса. Она показывает, что компания соблюдает ФЗ-152, обучает сотрудников и минимизирует риск утечек.

Компания ICTech разрабатывает инструкции по ПДн под специфику деятельности клиента и включает их в пакет документов по ФЗ-152. Это поможет вам пройти проверку Роскомнадзора без штрафов и реально защитить данные.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге