Должна ли маленькая компания иметь все документы по ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, размер компании не освобождает её от обязанностей по ФЗ-152. Если организация, даже самая маленькая (5–10 сотрудников или ИП), обрабатывает персональные данные — будь то данные работников, клиентов или подрядчиков, — она обязана соблюдать все требования закона. Это включает наличие обязательных документов по обработке и защите ПДн.

Минимум для маленькой компании:

- политика в отношении обработки персональных данных (публичная);
- приказ о назначении ответственного за обработку ПДн;
- положение об обработке и защите ПДн (внутренний регламент);
- формы согласий на обработку ПДн (для сотрудников, клиентов, подрядчиков);
- журнал учёта обращений субъектов ПДн;
- приказы о допуске сотрудников к работе с ПДн.

Дополнительно (по мере специфики):

- регламенты по уничтожению и обезличиванию ПДн;
- договоры с подрядчиками с включением условий обработки ПДн;
- меры защиты в информационных системах (если данные хранятся в электронных базах).

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан принять локальные акты, назначить ответственного и вести учёт обращений субъектов.
• Ст. 19 ФЗ-152 — оператор обязан принимать организационные и технические меры по обеспечению безопасности ПДн.
• Ст. 22 ФЗ-152 — обязанность уведомлять Роскомнадзор о начале обработки (в большинстве случаев, кроме исключений).

Практика проверок Роскомнадзора

Роскомнадзор в своих разъяснениях подчёркивает: обязанность по документированию обработки ПДн распространяется на всех операторов, независимо от числа сотрудников.
Пример: ИП с небольшим магазином обработал данные покупателей для бонусной программы, но не имел ни приказа о назначении ответственного, ни форм согласий. В ходе проверки РКН вынес предписание и оштрафовал ИП.
Другой случай: небольшое турагентство подготовило комплект минимальных документов (политику, формы согласий, приказы). Проверка подтвердила соответствие требованиям, ограничившись замечанием по деталям.

Что важно учитывать маленьким компаниям

• Закон не делает поблажек для малого бизнеса. Даже если обрабатываются только данные сотрудников (ФИО, паспорт, СНИЛС для кадрового учёта), документы обязательны.
• Чем меньше организация, тем проще может быть структура документов, но их отсутствие считается нарушением.
• Проверки чаще всего выявляют именно формальные нарушения: нет приказа о назначении ответственного, нет журналов учёта согласий.

Рекомендации и выводы

Да, даже маленькая компания обязана иметь полный комплект документов по ФЗ-152, адаптированный под её деятельность. Чтобы избежать проблем:

1. Определите минимальный набор документов для вашей компании (политика, приказы, согласия).
2. Внесите в документы реальные процессы, а не используйте абстрактные шаблоны.
3. Обновляйте документы при изменении структуры компании или способов обработки данных.

Компания ICTech подготовит для малого бизнеса «комплект под ключ» — полный пакет документов по ФЗ-152 с учётом масштаба организации. Это избавит вас от риска штрафов и облегчит работу при проверках Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге