Любая компания или предприниматель, которые работают с персональными данными клиентов, сотрудников или пользователей сайта, обязаны соблюдать требования Федерального закона № 152-ФЗ «О персональных данных».
Многие ограничиваются формальной политикой на сайте, но закон требует гораздо большего — системной работы с документами, ответственным лицом и мерами защиты информации.
Далее разберём, какие основные обязанности возлагает 152-ФЗ на организации и что нужно сделать, чтобы избежать претензий Роскомнадзора и штрафов.
Определить цели и правовые основания обработки ПДн
Что сделать:
- Четко описать цели обработки (например: заключение и исполнение договоров, кадровый учет, маркетинговые коммуникации).
- Зафиксировать правовые основания: согласие субъекта; исполнение договора; исполнение обязанностей по закону; защита жизненно важных интересов и т. п.
- Не объединять базы для несовместимых целей и не собирать «лишние» данные.
Какие документы: Политика обработки ПДн, Положение/Регламент обработки ПДн, Реестр процессов обработки.
Где в законе: принципы и условия обработки (ст. 5, 6 152-ФЗ).
Назначить ответственного за организацию обработки ПДн
Что сделать:
- Приказом назначить ответственного, определить его задачи: контроль соблюдения 152-ФЗ, ведение реестров, обучение сотрудников, взаимодействие с Роскомнадзором, ответ на запросы субъектов.
- Закрепить порядок подотчетности и замещения.
Какие документы: Приказ о назначении, Должностная инструкция/положение об ответственном, Матрица ролей.
Где в законе: обязанность оператора обеспечить выполнение требований и информировать о политике/практиках (ст. 18.1 152-ФЗ).
Разработать и утвердить пакет организационно-распорядительной документации (ОРД)
Что сделать:
- Утвердить Политику в отношении ПДн и обеспечить к ней неограниченный доступ (на сайте/по запросу).
- Принять локальные регламенты: порядок сбора, хранения, использования, передачи и уничтожения; порядок доступа; реагирование на инциденты; работа с запросами субъектов; порядок взаимодействия с порученными обработчиками.
- Вести реестры: процессов обработки, категорий ПДн и субъектов, получателей, сроков хранения, инцидентов, запросов субъектов и регулятора.
Какие документы: Политика ПДн; Положение/Регламент обработки; Реестр обработок; Журналы (запросов, инцидентов, выдачи носителей, уничтожения); Модели/карты данных.
Где в законе: обязанность опубликовать Политику и раскрывать сведения о мерах защиты (ст. 18.1 152-ФЗ).
Уведомить Роскомнадзор о начале обработки ПДн и поддерживать сведения в реестре в актуальном состоянии
Что сделать:
- До начала обработки подать уведомление об обработке через личный кабинет на pd.rkn.gov.ru.
- Отслеживать внесение в реестр и сообщать об изменениях не позднее 15-го числа месяца, следующего за месяцем изменений; при прекращении обработки — уведомить в течение 10 рабочих дней.
Какие документы: Заявка (уведомление), подтверждение из реестра операторов, журнал изменений.
Где в законе: ст. 22 152-ФЗ (сроки, обязанности по уточнению/обновлению).
Получать надлежащее согласие субъектов (когда требуется)
Что сделать:
- Определить, когда обработка возможна без согласия (договор, закон и т. п.), а когда — только с согласия.
- Обеспечить, чтобы согласие было конкретным, информированным, отдельным от иных документов; предусмотреть цифровую форму с фиксацией волеизъявления и журналированием.
- Реализовать механизм отзыва согласия и прекращения соответствующей обработки.
Какие документы: Шаблоны согласий по категориям/целям; Процедура получения/отзыва; Журнал согласий.
Где в законе: ст. 6 (условия обработки), ст. 9 (требования к согласию).
Соблюдать права субъектов ПДн и порядок работы с запросами
Что сделать:
- Организовать прием и обработку запросов субъектов (доступ, уточнение, блокирование, уничтожение), идентификацию заявителя, сроки ответов и формат ответа.
- Обеспечить корректное информирование при сборе ПДн, включая источники, цели, получателей, сроки.
Какие документы: Регламент работы с запросами субъектов; Формы ответов; Журнал регистрации запросов.
Где в законе: обязанности при сборе и предоставляемая информация (ст. 18, отсылка к ст. 14 152-ФЗ).
Обеспечить конфиденциальность и безопасность ПДн
Что сделать (минимум):
- Принять правовые, организационные и технические меры защиты от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения.
- Установить уровни доступа и правила авторизации, хранение логов, резервное копирование, порядок уничтожения носителей.
- Закрепить требования к подрядчикам-обработчикам в договорах/поручениях и контролировать их соблюдение.
Какие документы: Политика ИБ для ПДн; Меры/профили защиты; Порядок управления доступом; Порядок уничтожения/обезличивания; Поручения на обработку (DPA).
Где в законе: ст. 19 152-ФЗ (меры защиты); ст. 6 ч. 3–6 (обработка по поручению).
Опробовать и поддерживать актуальность опубликованной информации о политике и мерах
Что сделать:
- Опубликовать Политику ПДн и сведения о реализуемых мерах защиты (в публичном доступе на сайте/по запросу).
- Регулярно пересматривать Политику и ОРД при изменениях процессов, ИТ-ландшафта, законодательства, ротациях подрядчиков.
Какие документы: Политика ПДн (публичная версия), Пояснение о мерах, Журнал актуализации.
Где в законе: ст. 18.1 152-ФЗ (обязанность обеспечения неограниченного доступа).
Контролировать трансграничную передачу ПДн
Что сделать:
- Проверять юрисдикцию получателя (уровень адекватной защиты/решения уполномоченного органа), основания и условия передачи.
- Фиксировать маршруты передачи, применять договорные механизмы и дополнительные меры.
Какие документы: Реестр трансграничных передач; Оценка юрисдикций; Допсоглашения о передаче.
Где в законе: ст. 12 152-ФЗ (ограничения/запреты, условия).
Работать с порученными обработчиками (аутсорс, облака, колл-центры)
Что сделать:
- Заключить поручение/допсоглашение с перечнем ПДн, операций, целей; обязанностями по конфиденциальности и безопасности; порядком проверки мер и уведомления об инцидентах.
- Вести реестр обработчиков и периодические проверки.
Какие документы: Поручение на обработку (DPA), Чек-лист аудита обработчика, Реестр обработчиков.
Где в законе: ст. 6 ч. 3–6 152-ФЗ.
Соблюдать сроки хранения и порядок уничтожения/обезличивания
Что сделать:
- Установить сроки хранения ПДн по целям/категориям и по окончании сроков уничтожать либо обезличивать данные; фиксировать факт уничтожения актом.
- Ограничить хранение копий и резервов, настроить автоматизацию.
Какие документы: Регламент уничтожения/обезличивания; Акты уничтожения.
Где в законе: принципы ограничения сроков (ст. 5 152-ФЗ).
Обучать сотрудников и контролировать соблюдение режима
Что сделать:
- Проводить вводный и регулярный инструктаж, проверку знаний, фиксировать результаты.
- Включать требования о конфиденциальности в трудовые договоры/ЛНА; применять дисциплинарные меры за нарушения.
Какие документы: Журнал инструктажей, Типовые НДА/обязательства о конфиденциальности.
Где в законе: обязанности оператора по обеспечению выполнения требований (ст. 18.1 152-ФЗ) и конфиденциальность (гл. 2).
Подготовиться к проверке Роскомнадзора
Что сделать:
- Иметь «папку готовности»: все ОРД, журналы, подтверждение уведомления, назначение ответственного, образцы согласий, переписку по запросам субъектов.
- Назначить контактное лицо, отрепетировать ответы, проверить сайт (формы, куки, политика).
Какие документы: Чек-лист самопроверки, Полный пакет документов по обработке персональных данных в организации.
Где в законе: ст. 22 (уведомление/реестр), ст. 18.1 и ст. 19 (организационные и защитные меры).
