Какие документы обязательны по закону 152-ФЗ?

Организация, которая обрабатывает персональные данные, обязана иметь определённый комплект документов, подтверждающих соответствие требованиям ФЗ-152. Эти документы фиксируют цели, порядок обработки, меры защиты и права субъектов. Отсутствие их при проверке Роскомнадзора автоматически расценивается как нарушение.

Основные документы, которые должны быть у каждой компании:

1. Политика в отношении обработки персональных данных — для публичного размещения (например, на сайте).
2. Положение об обработке и защите ПДн — внутренний документ, определяющий порядок работы с данными в компании.
3. Приказы и распоряжения руководителя:
   • о назначении ответственного за обработку ПДн;
   • об утверждении перечня лиц, допущенных к обработке данных;
   • об утверждении перечня мер по обеспечению безопасности.
4. Журнал учёта обращений субъектов ПДн (для фиксации запросов, исправлений и отзывов согласий).
5. Согласия субъектов на обработку ПДн (для случаев, когда согласие обязательно).
6. Локальные акты по обеспечению безопасности: порядок доступа к данным, правила хранения, регламенты уничтожения.
7. Модели угроз и планы обеспечения безопасности ПДн (для информационных систем, где данные хранятся в электронном виде).
8. Договоры с подрядчиками/обработчиками ПДн (с включёнными условиями о защите данных).

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан утвердить локальные акты, определяющие политику обработки ПДн, назначить ответственного, вести учёт обращений.
• Ст. 19 ФЗ-152 — оператор обязан принимать правовые, организационные и технические меры для обеспечения безопасности данных.
• Ст. 22 ФЗ-152 — при уведомлении Роскомнадзора оператор обязан подтвердить наличие мер и документов.
• Приказы ФСТЭК и ФСБ (например, приказ ФСТЭК № 21 от 18.02.2013) устанавливают требования к разработке организационно-распорядительной документации по защите ПДн.

Позиция Роскомнадзора

Роскомнадзор в проверках обращает внимание в первую очередь на:

• наличие политики по ПДн и её соответствие ст. 18.1 ФЗ-152;
• наличие приказа о назначении ответственного;
• корректность форм согласий;
• документально закреплённые меры по защите ПДн.
  На практике часто выявляется, что компании ограничиваются только размещением политики на сайте, но не ведут внутренних журналов и не утверждают приказы — такие организации получают предписания об устранении нарушений.

Что важно учитывать

• Полный пакет документов зависит от специфики бизнеса: для IT-компании и для стоматологической клиники состав документов будет отличаться по детализации.
• Даже у микробизнеса (ИП с одним сотрудником) должны быть минимум политика, приказ о назначении ответственного и формы согласий.
• Документы должны быть не формальными «шаблонами», а отражать реальные процессы компании.

Рекомендации и выводы

Наличие обязательного комплекта документов — ключевое условие соблюдения ФЗ-152. Чтобы соответствовать закону:

1. Подготовьте политику и положение об обработке ПДн.
2. Издайте приказы: о назначении ответственного, об утверждении мер защиты, о допуске сотрудников.
3. Организуйте процесс получения согласий и ведите их учёт.
4. Зафиксируйте порядок уничтожения и обезличивания ПДн.
5. Обновляйте документы при изменении процессов в компании.

Компания ICTech готова разработать для вашей организации полный пакет документов по ФЗ-152: от политики до локальных регламентов, согласий и журналов учёта. Это позволит пройти проверку Роскомнадзора без штрафов и снизить риски инцидентов с данными.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге