Защита персональных данных
Пакет документов по 152-ФЗ

Защита персональных данных для организаций по 152-ФЗ: обязательные требования и правовые основания

Любая организация, обрабатывающая персональные данные (ПДн), обязана соблюдать требования Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Это касается юридических лиц всех форм, государственных и муниципальных учреждений, а также индивидуальных предпринимателей. Закон применяется, если организация собирает, хранит, передаёт или использует такие данные, как ФИО, номер телефона, адрес, паспортные данные, ИНН, СНИЛС, адрес электронной почты и т.п.

Персональные данные считаются обработанными не только при вводе их в электронную систему, но и при заполнении бумажной анкеты, получении копий документов, ведении учётных журналов. Даже если организация имеет всего одного сотрудника или обрабатывает информацию одного клиента — она уже считается оператором персональных данных.

Согласно статье 6 ФЗ-152, обработка персональных данных возможна только при наличии правового основания — например, согласия субъекта данных или исполнения договора. Кроме того, статья 18.1 обязывает организацию принять локальные нормативные акты, назначить ответственное лицо, обеспечить безопасность хранения и, при наличии сайта, опубликовать политику обработки персональных данных в открытом доступе.

Таким образом, защита персональных данных для организаций — это комплексная обязанность, предполагающая внедрение системы юридических и организационных мер, направленных на соблюдение закона и предотвращение утечки информации.

Какие документы требуются для соблюдения требований 152-ФЗ организациями

Чтобы организация могла доказать соблюдение законодательства о персональных данных, необходимо оформить и внедрить определённый пакет документов по 152-ФЗ. Это не просто формальность — наличие этих документов проверяется при проверках Роскомнадзора, и их отсутствие является административным правонарушением.

Вот основные виды документов, которые требуются для юридического соблюдения закона:

Политика обработки персональных данных

Политика обработки персональных данных — это обязательный документ, предусмотренный статьёй 18.1 Федерального закона № 152-ФЗ «О персональных данных». Она устанавливает общие правила, по которым организация собирает, хранит, использует и защищает персональные данные физических лиц. Наличие и содержание этого документа проверяется в первую очередь при любом обращении Роскомнадзора.

Когда политика обязательна?

Организации обязаны размещать политику в открытом доступе, если они собирают персональные данные через интернет — например, при заполнении форм на сайте, регистрации пользователей, приёме заявок, подписках на рассылки и т. д. Даже если данные собираются только офлайн, наличие политики внутри компании — тоже обязательное условие.

Что должно быть в политике?

Содержание политики должно соответствовать реальным процессам обработки данных. В документе указываются:

• цели обработки (например, кадровый учёт, оказание услуг, рассылка информации);
• категории субъектов данных (сотрудники, клиенты, посетители сайта);
• список обрабатываемых персональных данных;
• правовые основания обработки (согласие, договор, закон и пр.);
• описание мер по защите персональных данных;
• порядок реализации прав субъекта ПДн;
• контактные данные оператора.

Также политика должна включать срок хранения персональных данных и указание на возможность отзыва согласия субъектом.

Типичные ошибки

Многие компании копируют шаблон политики из интернета и размещают его на сайте, не адаптируя под свою деятельность. Это может привести к тому, что политика будет содержать недостоверную информацию, что является нарушением закона. Кроме того, отсутствие ссылки на политику в формах сбора данных также расценивается как нарушение.

Политика обработки ПДн — это не просто формальность, а юридически значимый документ, защищающий как интересы субъекта данных, так и самого оператора. Разработка корректной политики — обязательный этап защиты персональных данных в организации.

Согласие на обработку персональных данных

Согласие на обработку персональных данных — это документ, который подтверждает, что субъект (физическое лицо) добровольно разрешает оператору использовать его персональные данные в указанных целях. Правовая основа — статья 9 Федерального закона № 152-ФЗ, которая устанавливает, что обработка ПДн возможна только с согласия субъекта, за исключением отдельных случаев, предусмотренных законом.

Когда требуется согласие?

Согласие обязательно, если персональные данные собираются:

• при приёме на работу (от сотрудников);
• при оказании услуг или продаже товаров (от клиентов);
• при записи на обучение, консультацию, мероприятие;
• при передаче данных третьим лицам (например, аутсорсинговой бухгалтерии, IT-компании);
• при фото- и видеосъёмке, размещении отзывов на сайте;
• при использовании сайта с формами обратной связи, заявками и подписками.

Согласие требуется как при электронной, так и при бумажной обработке персональных данных. Также важно помнить: отсутствие письменного согласия в случае, когда оно требуется, приравнивается к нарушению закона и влечёт административную ответственность.

Что должно быть в согласии?

Согласие оформляется в письменной форме (или в электронной — с юридически значимым подтверждением) и должно содержать:

• ФИО и контактные данные субъекта;
• наименование и адрес оператора (вашей организации);
• цель обработки данных;
• перечень обрабатываемых данных;
• срок действия согласия;
• способ отзыва согласия;
• дата и подпись.

Важно не использовать универсальные и размытые формулировки. Цели должны быть конкретными, согласие — адресным и персонализированным. Также в соответствии со статьёй 5 ФЗ-152, оператор обязан обрабатывать только те данные, которые соответствуют заявленным целям.

Особенности согласий по категориям

• Сотрудники — отдельно согласие на обработку кадровых данных, на передачу в ПФР, ФСС, бухгалтерию, страховщиков.
• Клиенты — согласие на хранение, звонки, отправку уведомлений, предоставление информации третьим лицам.
• Пользователи сайта — согласие через чекбокс с привязкой к политике ПДн.

Почему это важно?

При проверке Роскомнадзора именно отсутствие или неправильная форма согласия становится основанием для штрафа. Даже если данные получены «по доброй воле» — без письменного подтверждения оператор нарушает закон. Кроме того, грамотно оформленное согласие защищает компанию от претензий субъектов данных.

Приказы и локальные акты по защите персональных данных

Приказы и локальные нормативные акты — это внутренние документы, которые формируют систему управления обработкой персональных данных в организации. Они создаются на основании статьи 18.1 и статьи 19 Федерального закона № 152-ФЗ и служат основой для построения системы защиты ПДн.

Зачем нужны приказы и положения?

Без таких документов невозможно обеспечить должный уровень правовой защищённости и соблюдение принципов обработки персональных данных. Они регламентируют:

• кто отвечает за организацию обработки и защиту ПДн;
• каким образом осуществляется доступ к персональным данным;
• какие меры по обеспечению безопасности реализуются в компании;
• как фиксируются действия с данными.

Их наличие обязательно при любой проверке Роскомнадзора. Отсутствие или устаревшие акты — основание для предписания и штрафа.

Основные документы, которые необходимо оформить

1. Приказ о назначении ответственного за организацию обработки ПДн
   Согласно п. 2 ст. 18.1 ФЗ-152, каждая организация должна официально назначить ответственного сотрудника, который будет следить за соблюдением требований закона и внутренней политики. Назначение оформляется приказом руководителя.
2. Положение об обработке персональных данных
   Это ключевой локальный акт, в котором описываются:\n
   • цели и основания обработки;\n
   • состав и категории ПДн;\n
   • способы хранения, передачи и уничтожения данных;\n
   • порядок доступа сотрудников;\n
   • обязанности ответственного лица;\n
   • меры безопасности.

Положение может быть единым или разбитым по направлениям (например, отдельные документы для кадровой и клиентской обработки).

1. Перечень мер по защите ПДн
   Согласно ст. 19 закона, оператор обязан принимать меры по предотвращению утечек и неправомерного доступа. В перечне указываются организационные (ограничение доступа, обучение персонала) и технические (пароли, антивирус, шифрование) меры, которые реализуются в компании.

Почему важны именно локальные акты?

Они не только подтверждают соблюдение законодательства, но и помогают стандартизировать поведение сотрудников. Если произошла утечка данных или проверка, именно наличие локальных актов снижает юридические риски и позволяет доказать добросовестность оператора.

Журналы, акты и реестры по учёту персональных данных

Документы учёта и фиксации обработки персональных данных необходимы для подтверждения того, что организация действительно реализует меры, заявленные в своих локальных актах. Эти формы не упоминаются напрямую в ФЗ-152, но их обязательность следует из статей 18 и 19 закона, а также из рекомендаций Роскомнадзора и приказа № 274 от 14.07.2021 «Об утверждении требований и способов обеспечения безопасности персональных данных».

Зачем нужны учётные формы?

Организация может разработать отличную политику и положение, но без журналов, актов и реестров это будет неподтверждённая на практике система. Проверяющий орган требует не только теоретические документы, но и фактические доказательства соблюдения процедур.

Основные формы учёта

1. Журнал регистрации согласий на обработку ПДн
   Ведётся в бумажной или электронной форме. Отражает:\n
   • ФИО субъекта;\n
   • дата получения согласия;\n
   • способ получения (лично, по почте, онлайн);\n
   • номер/регистрационный индекс согласия.
2. Акты об уничтожении персональных данных
   Составляются при:\n
   • истечении срока хранения ПДн;\n
   • увольнении сотрудника;\n
   • отзыве согласия;\n
   • необходимости уничтожения бумажных или цифровых носителей.

Акт должен содержать описание уничтоженных данных, способ уничтожения, подписи комиссии.

1. Журнал инструктажа сотрудников по защите ПДн
   Подтверждает, что сотрудники ознакомлены с:\n
   • положением об обработке ПДн;\n
   • мерами по защите информации;\n
   • ответственностью за нарушения.

Журнал должен содержать дату, ФИО сотрудника, подпись и тему инструктажа.

1. Реестр информационных систем персональных данных (ИСПДн)
   Если организация использует электронные средства обработки (CRM, email, 1С, облачные сервисы), она обязана вести учёт таких систем. Реестр должен включать:\n
   • наименование системы;\n
   • цели обработки;\n
   • вид данных;\n
   • уровень защищённости (по классификации Роскомнадзора).
2. Учёт доступа к ПДн (при необходимости)
   В некоторых случаях нужно фиксировать, кто, когда и с какой целью имел доступ к ПДн — особенно если доступ имеют разные сотрудники или используются ИТ-системы с распределёнными правами.

Что это даёт?

• Подтверждение системности в защите ПДн;
• Основание для доказательства добросовестности при проверке;
• Минимизацию рисков при внутренних нарушениях (утечках, жалобах субъектов данных).

Как правильно оформить защиту персональных данных в организации

Правильное оформление системы защиты персональных данных — это не просто сбор шаблонов из интернета. Это комплекс мер, который должен учитывать реальные процессы обработки ПДн в конкретной организации и соответствовать требованиям Федерального закона № 152-ФЗ, а также подзаконных актов и методических рекомендаций Роскомнадзора.

Юридическая основа

Организация обязана не только разработать документы, но и внедрить их в повседневную деятельность, что следует из статей 18, 19 и 5 ФЗ-152:

• Статья 18 — говорит об обязанностях оператора по организации обработки;
• Статья 19 — обязывает принять меры по обеспечению безопасности ПДн;
• Статья 5 — определяет принципы обработки, включая законность, целесообразность, ограничение цели и минимизацию состава обрабатываемых данных.

Общие требования к оформлению документации

1. Индивидуальный характер
   Все документы (политика, положения, согласия, приказы) должны соответствовать специфике вашей организации. Универсальные шаблоны, не отражающие действительность, расцениваются как формальность и приравниваются к отсутствию документов.
2. Чёткость и однозначность формулировок
   Например, в целях обработки ПДн следует писать конкретно: «для оформления трудового договора», а не «для кадровых нужд». Размытые формулировки могут быть признаны несоответствующими требованиям закона.
3. Подписи и регистрация
   Все документы должны быть утверждены приказом, зарегистрированы (журнал регистрации или учётный номер) и содержать подписи ответственных лиц и сотрудников.
4. Сроки хранения и уничтожения
   В документах должны быть указаны сроки хранения ПДн (в соответствии с Трудовым кодексом, ГОСТ Р 58144 и другими нормативами) и процедуры их уничтожения после истечения этих сроков.
5. Актуальность
   Документы необходимо пересматривать при:\n
   • изменении организационной структуры;\n
   • смене ответственного;\n
   • обновлении ИТ-систем;\n
   • изменениях в законодательстве.

Рекомендуемая частота пересмотра — не реже одного раза в год.

1. Хранение документации
   Документы хранятся в бумажном виде в отдельной папке, а при использовании электронного документооборота — в защищённой системе с разграничением доступа. Доступ к ним должен быть только у уполномоченных лиц.

Частые ошибки при оформлении

• Использование нерелевантных шаблонов без адаптации под бизнес;
• Отсутствие подписей сотрудников на ознакомлении с положением о ПДн;
• Нет назначенного ответственного приказом;
• Несогласованность между политикой на сайте и фактической обработкой;
• Отсутствие документов по технической защите (при наличии ИТ-систем).

Правильное оформление защиты персональных данных в организации — это не формальная задача. Это система, которая должна быть логичной, юридически обоснованной, документально подтверждённой и соответствующей реальности. Только в этом случае организация сможет подтвердить соблюдение закона и защититься от штрафов и претензий.

Защита персональных данных сотрудников и клиентов: особенности документооборота

Организации, которые обрабатывают персональные данные, чаще всего делают это в отношении двух основных категорий субъектов: своих сотрудников и клиентов (покупателей, заказчиков, пациентов, учеников и т.д.). При этом к каждой категории применяются свои подходы и нюансы в части оформления документов, получения согласий и обеспечения безопасности.

Персональные данные сотрудников

Работодатель обрабатывает персональные данные работников с момента отклика на вакансию и далее — в процессе оформления, исполнения и завершения трудового договора. Обязательство по защите этих данных вытекает не только из ФЗ-152, но и из статей 86–90 Трудового кодекса РФ.

Что должно быть оформлено

• Согласие на обработку персональных данных сотрудника — оформляется при приёме на работу (включая цели: оформление в ПФР, ФСС, передачу в банк, доступ к системам и т.д.);
• Согласие на передачу данных третьим лицам — например, если бухгалтерия или кадровый аутсорсинг передают информацию стороннему сервису;
• Ознакомление с положением об обработке персональных данных — сотрудник должен расписаться в журнале или листе ознакомления;
• Обязательство о неразглашении персональных данных — если сотрудник сам обрабатывает ПДн коллег или клиентов;
• Журнал инструктажей по защите ПДн — подтверждает информирование сотрудника о правилах работы с данными.

Важно

Согласие не требуется, если обработка необходима для исполнения трудового договора или установлена законом. Но это не отменяет обязанности документально оформить внутренние положения и регламенты.

Персональные данные клиентов

Если организация оказывает услуги, продаёт товары или иным способом взаимодействует с физическими лицами, она собирает и использует их персональные данные. Это может происходить:

• при регистрации на сайте;
• при оформлении заказа;
• при записи на приём;
• при участии в мероприятии;
• при предоставлении обратной связи и т.п.

Какие документы требуются

• Согласие на обработку персональных данных клиента — в бумажной или электронной форме (например, чекбокс на сайте с привязкой к политике);
• Согласие на фото/видео и публикацию отзывов — если компания использует изображения или цитаты клиентов в маркетинговых целях;
• Положение или политика ПДн — с описанием целей, оснований и сроков хранения данных клиентов.

Важно

Согласие должно быть добровольным, конкретным и информированным. Это означает, что нельзя «прятать» его в текст договора без отдельного акцента. Также необходимо обеспечить возможность отзыва согласия (например, через e-mail или форму на сайте).

Общие риски при отсутствии документов

• Жалобы от сотрудников или клиентов в Роскомнадзор;
• Штрафы по ст. 13.11 КоАП РФ;
• Претензии по несанкционированной передаче данных;
• Утечка информации и репутационные потери.

Организация обязана по-разному оформлять работу с ПДн сотрудников и клиентов, учитывая специфику правовых оснований и форм взаимодействия. Отсутствие корректных согласий и положений — одна из наиболее частых причин претензий со стороны надзорных органов и субъектов данных.

Порядок разработки и внедрения пакета документов по защите персональных данных

Создание документации по защите персональных данных — это регламентированный процесс, который должен учитывать специфику деятельности организации и соответствовать положениям Федерального закона № 152-ФЗ, подзаконным актам и методическим рекомендациям Роскомнадзора.

Нельзя просто «скачать шаблоны» — важно выстроить логическую, работающую систему, в которой каждый документ подкреплён реальной процедурой и действиями сотрудников.

Этапы разработки и внедрения

1. Аудит текущей обработки персональных данных

На первом этапе проводится оценка фактических процессов обработки ПДн в организации:

• какие данные обрабатываются;
• от кого они получаются;
• для каких целей и на каких основаниях;
• в каких информационных системах и помещениях они хранятся;
• кто из сотрудников имеет к ним доступ.

По итогам аудита формируется карта обработки данных, которая ляжет в основу для формирования пакета документов.

2. Определение состава необходимой документации

В зависимости от масштаба, сферы деятельности и способов обработки ПДн определяется нужный перечень документов. Например:

• если есть сайт — добавляется политика для онлайн-платформ;
• если используется видеонаблюдение — согласие и регламент по видеофиксации;
• если есть удалённый персонал — регулируется передача данных через электронные каналы.

3. Разработка документов

На этом этапе создаются:

• политика обработки ПДн;
• положения;
• приказы;
• согласия;
• акты, журналы, реестры;
• при необходимости — положения об ИСПДн, модели угроз, регламенты уничтожения данных и др.

Все документы должны учитывать актуальные требования ФЗ-152, ГОСТов и методических рекомендаций (например, Письмо Роскомнадзора от 23.01.2020 № 08-03-21/733).

4. Назначение ответственного за обработку ПДн

Обязательно должен быть назначен сотрудник, который будет контролировать:

• соблюдение требований закона и внутренних актов;
• актуализацию документов;
• взаимодействие с Роскомнадзором;
• приём запросов субъектов данных.

Назначение оформляется отдельным приказом.

5. Ознакомление и инструктаж персонала

Документы — это не самоцель. Сотрудники должны:

• знать, что такое ПДн и как их защищать;
• подписать ознакомление с положениями;
• пройти инструктаж и, при необходимости, обучение;
• понимать ответственность за нарушения.

Факт ознакомления фиксируется в журнале или на листах регистрации.

6. Внедрение документов и подготовка к проверкам

Формирование документации должно завершаться её практическим применением:

• размещение политики на сайте;
• заполнение журналов;
• систематизация хранения согласий;
• техническое ограничение доступа к ПДн.

Готовый пакет документов должен быть удобно структурирован и легко доступен при внутренней проверке или визите Роскомнадзора.

Разработка и внедрение пакета документов по защите персональных данных — это не формальность, а системная юридическая работа, которая должна быть выполнена с учётом вашей реальной деятельности. Только в этом случае организация может подтвердить соответствие требованиям закона и избежать штрафов.

Ответственность организаций за отсутствие документации по персональным данным

Невыполнение требований закона № 152‑ФЗ «О персональных данных» влечёт административную, гражданскую и возможную уголовную ответственность. На практике наиболее частыми основаниями нарушений являются отсутствие документации, согласий и публичной политики.

Административная ответственность (КоАП РФ)

Обеспечение соблюдения лежит на статье 13.11 КоАП РФ. Обновлённые размеры штрафов:

Часть 1 – несанкционированная обработка, несоответствие целям (без признаков уголовного деяния)

• Должностные лица и ИП: до 100 000 ₽
• Юридические лица: до 300 000 ₽

Часть 2 – обработка ПДн без письменного согласия, когда оно требуется

• Должностные лица и ИП: до 300 000 ₽
• Юридические лица: до 700 000 ₽

Часть 3 – отсутствие публичной политики обработки ПДн

• Должностные лица: до 12 000 ₽
• ИП: до 20 000 ₽
• Юрлица: до 60 000 ₽

Часть 4 – отказ предоставить субъекту информацию о обработке

• Должностные лица: до 12 000 ₽
• ИП: до 30 000 ₽
• Юридические лица: до 80 000 ₽

Часть 5 – несвоевременное исполнение требований субъекта (удаление, блокировка и т.д.)

• Должностные лица: до 20 000 ₽
• ИП: до 40 000 ₽
• Юридические лица: до 90 000 ₽

Часть 10 – неподача уведомления о начале обработки ПДн в Роскомнадзор

• Должностные лица: до 50 000 ₽
• ИП: до 300 000 ₽
• Юридические лица: до 300 000 ₽

Утечки данных и особо крупные нарушения (части 12–14)

• Утечка от 1 000 до 10 000 субъектов: штрафы от 3 до 5 млн ₽
• Утечка от 10 000 до 100 000 – от 5 до 10 млн
• Более 100 000 – от 10 до 15 млн ₽
• Специальные категории и биометрия — до 20 млн ₽
• За повторные нарушения может назначаться оборотной штраф — до 3 % выручки, минимум 25–30 млн, максимум — до 500 млн ₽

Проверки Роскомнадзора

Роскомнадзор проводит как плановые, так и внеплановые проверки. Основаниями могут быть:

• жалоба субъекта;
• данные других госорганов;
• присутствие в реестре операторов (или отсутствие уведомления).

Проверяющие вправе запросить:

• политику обработки ПДн;
• приказы, положение, согласия;
• журналы инструктажа;
• подтверждения применения мер защиты.

Если документов нет или они оформлены неверно, выносится акт проверки с предписанием устранить нарушения — часто с последующим штрафом.

Почему документация защищает бизнес

Корректный пакет документов помогает:

• доказать соблюдение закона при проверке;
• снять претензии от субъектов данных;
• сократить риск штрафов, если нарушения устранены до вынесения постановления;
• сохранить репутацию и доверие потребителей.

Штрафы за отсутствие документов или несоответствие законодательства — реальные и значительные. Для организаций это может означать потерю от десятков тысяч до миллионов рублей. Грамотная разработка и внедрение пакета документов — не только законная обязанность, но и эффективная защита вашего бизнеса.

Как заказать разработку документации по 152-ФЗ: условия и сроки

Организации, которые осознают ответственность за соблюдение закона № 152-ФЗ, всё чаще предпочитают поручать разработку документов по защите персональных данных профильным специалистам. Это позволяет не только избежать штрафов, но и внедрить реально работающую систему, адаптированную под специфику бизнеса.

Что входит в услугу

Наша услуга по разработке пакета документов по 152-ФЗ для организаций включает:

• аудит текущей обработки персональных данных (в устной или письменной форме);
• определение перечня необходимых документов в зависимости от рода деятельности;
• разработку полного комплекта документов, включая:
  • политику обработки ПДн;
  • согласия (сотрудники, клиенты, партнёры);
  • положение об обработке ПДн;
  • приказы и акты;
  • журналы и учётные формы;
  • перечень мер по защите ПДн;
• инструкции по внедрению документов: где хранить, как применять, как вести учёт;
• консультационную поддержку после передачи пакета.

Сроки выполнения

• Стандартный срок подготовки: от 30 рабочих дней после получения необходимых данных от клиента.
• При наличии срочности (например, в связи с грядущей проверкой) возможна экспресс-разработка за 14 рабочих дней.

Что требуется от заказчика

Чтобы разработка была точной и соответствовала вашему бизнес-процессу, на первом этапе мы запрашиваем:

• сферу деятельности (краткое описание);
• есть ли сайт и формы сбора данных;
• количество сотрудников;
• наличие ИТ-систем для хранения/обработки данных;
• другие особенности (например, видеонаблюдение, CRM, облачные сервисы).

Полученные сведения обрабатываются строго в рамках профессиональной конфиденциальности.

Формат работы

Работаем удалённо по всей территории Российской Федерации. Документы направляются в электронном виде в формате PDF и DOCX, при необходимости — с инструкциями по печати, регистрации и оформлению.

По желанию возможна постоплатная схема или оплата по частям для юридических лиц.

Если вы хотите выполнить требования закона № 152-ФЗ грамотно и без лишней головной боли — закажите разработку документации у профессионалов. Это не просто шаблоны, а адаптированный под вашу организацию комплект, готовый к проверкам и понятный для внедрения сотрудниками.