+7-953-535-22-46
Ape-email@yandex.ru
Ape-email@yandex.ru
Перечень документов, требуемых
при обработке персональных данных (ПД)
С учетом запрашиваемых при проведении проверок и описанием первоначальных шагов в области работы с ПД
Штрафы за нарушение законодательства в этой сфере весьма существенные: для организаций — от 30 тыс. до 18 млн руб. (ст. 13.11 КоАП РФ).
Персональные данные — это любые сведения о физлице, которые относятся к нему прямо или косвенно, а также:
Персональные данные — это любые сведения о физлице, которые относятся к нему прямо или косвенно, а также:
- позволяют идентифицировать обладателя как личность.
- требуются обычно для трудовой деятельности.
Организация работы с персональными данными в компании регулируется Федеральным законом №152-ФЗ «О персональных данных» (Далее - 152-ФЗ) и сопутствующими нормативными актами.
Основные шаги включают разработку документации, назначение ответственного, внедрение мер защиты и соблюдение процедур обработки данных и др.
Основные шаги включают разработку документации, назначение ответственного, внедрение мер защиты и соблюдение процедур обработки данных и др.
Первоначальные шаги для организации правильной работы с персональными данными.
1. Разработка локальной документации
Необходимо создать пакет документов, который регламентирует обработку и защиту персональных данных. Ключевые документы представлены ниже в Перечне.
Также могут потребоваться инструкции по защите данных при использовании носителей информации, план внутреннего контроля и другие документы в зависимости от специфики организации.
2. Первоначальное назначение ответственного
Согласно ст. 22.1 ФЗ №152-ФЗ, в организации должен быть назначен один сотрудник, ответственный за обработку персональных данных. Это может быть кадровик, юрист, сотрудник отдела безопасности или другой специалист, обладающий знаниями в области законодательства и информационной безопасности.
3. Организация мер защиты персональных данных
Необходимо внедрить организационные и технические меры для защиты данных от несанкционированного доступа, уничтожения, изменения и других неправомерных действий. Примеры мер:
ограничение доступа к данным только для уполномоченных сотрудников (ролевая модель доступа);
использование паролей, двухфакторной аутентификации, антивирусного ПО;
регулярное обновление программного обеспечения и проведение аудита защищённости систем.
Для автоматизированной обработки данных важно обеспечить локализацию на серверах в РФ. Трансграничная передача данных возможна только в случаях, прямо разрешённых законом.
4. Получение согласий на обработку данных
Обработка персональных данных, как правило, требует письменного или электронного согласия субъекта, также в ряде случаев могут потребоваться согласия на распространение ПД, на их передачу третьим лицам или на их получение от третьих лиц (подробнее далее в Перечне).
5. Уведомление Роскомнадзора (постановка на учет в качестве Оператора).
До начала обработки персональных данных организация обязана уведомить РКН о своём намерении начать обработку ПД. Форма уведомления опубликована в Приложении к Приказу Роскомнадзора №180.
В документе указываются сведения об операторе, цели обработки, категории данных и субъектов, правовое основание, перечень мер защиты и другие данные.
6. Обучение сотрудников
Сотрудники, работающие с персональными данными, должны быть ознакомлены с локальными актами и требованиями законодательства под подпись. Рекомендуется проводить регулярное обучение и инструктажи по вопросам защиты данных.
7. Реагирование на инциденты
При утечке данных организация обязана уведомить РКН в течение 24 часов через систему ГосСОПКА.
Также необходимо принимать меры по восстановлению прав субъектов данных и устранению нарушений.
Необходимо создать пакет документов, который регламентирует обработку и защиту персональных данных. Ключевые документы представлены ниже в Перечне.
Также могут потребоваться инструкции по защите данных при использовании носителей информации, план внутреннего контроля и другие документы в зависимости от специфики организации.
2. Первоначальное назначение ответственного
Согласно ст. 22.1 ФЗ №152-ФЗ, в организации должен быть назначен один сотрудник, ответственный за обработку персональных данных. Это может быть кадровик, юрист, сотрудник отдела безопасности или другой специалист, обладающий знаниями в области законодательства и информационной безопасности.
3. Организация мер защиты персональных данных
Необходимо внедрить организационные и технические меры для защиты данных от несанкционированного доступа, уничтожения, изменения и других неправомерных действий. Примеры мер:
ограничение доступа к данным только для уполномоченных сотрудников (ролевая модель доступа);
использование паролей, двухфакторной аутентификации, антивирусного ПО;
регулярное обновление программного обеспечения и проведение аудита защищённости систем.
Для автоматизированной обработки данных важно обеспечить локализацию на серверах в РФ. Трансграничная передача данных возможна только в случаях, прямо разрешённых законом.
4. Получение согласий на обработку данных
Обработка персональных данных, как правило, требует письменного или электронного согласия субъекта, также в ряде случаев могут потребоваться согласия на распространение ПД, на их передачу третьим лицам или на их получение от третьих лиц (подробнее далее в Перечне).
5. Уведомление Роскомнадзора (постановка на учет в качестве Оператора).
До начала обработки персональных данных организация обязана уведомить РКН о своём намерении начать обработку ПД. Форма уведомления опубликована в Приложении к Приказу Роскомнадзора №180.
В документе указываются сведения об операторе, цели обработки, категории данных и субъектов, правовое основание, перечень мер защиты и другие данные.
6. Обучение сотрудников
Сотрудники, работающие с персональными данными, должны быть ознакомлены с локальными актами и требованиями законодательства под подпись. Рекомендуется проводить регулярное обучение и инструктажи по вопросам защиты данных.
7. Реагирование на инциденты
При утечке данных организация обязана уведомить РКН в течение 24 часов через систему ГосСОПКА.
Также необходимо принимать меры по восстановлению прав субъектов данных и устранению нарушений.
ВАЖНО:
за нарушения в области обработки персональных данных предусмотрены крупные штрафы, а в некоторых случаях уголовная ответственность.
Только регулярный аудит внутренних процессов и своевременное обновление документации помогут минимизировать риски.
за нарушения в области обработки персональных данных предусмотрены крупные штрафы, а в некоторых случаях уголовная ответственность.
Только регулярный аудит внутренних процессов и своевременное обновление документации помогут минимизировать риски.
Перечень необходимых документов в 2026 г.
Согласие на обработку персональных данных
Является законным основанием для обработки ПД. Оно не требуется в исчерпывающем перечне случаев, предусмотренном пунктами 2 - 11 ч. 1 ст. 6 152-ФЗ.
Вероятность запроса при проверке: высокая.
На основании чего требуется:
п.1 ч.1 ст.6 152-ФЗ.
Вероятность запроса при проверке: высокая.
На основании чего требуется:
п.1 ч.1 ст.6 152-ФЗ.
Согласие на получение ПД от
3-х лиц
3-х лиц
Такое разрешение выдает сотрудник работодателю на запрос и получение ПД у третьих лиц (например, у государственных органов или других организаций).
Вероятность запроса при проверке: средняя.
На основании чего требуется:
п.3 ст.86 ТК РФ.
Вероятность запроса при проверке: средняя.
На основании чего требуется:
п.3 ст.86 ТК РФ.
Согласие на передачу ПД
Документ, предоставляемый работодателю и управомочивающий его передавать ПД третьим лицам. Требуется, когда передача ПД не связана с непосредственными обязанностями работодателя.
Вероятность запроса при проверке: высокая.
На основании чего требуется:
ст.88 ТК РФ.
Вероятность запроса при проверке: высокая.
На основании чего требуется:
ст.88 ТК РФ.
Согласие на распространение ПД.
Требуется, если к примеру, на корпоративном сайте содержится информация о сотрудниках (ФИО, должность, email с фамилией, образование и опыт работы).
Или, к примеру, если есть публикации отзывов клиентов с их ПД.
Также, если работодатель разместил интервью с работником, где указаны его личные сведения или фотография сотрудника используется в рекламе.
Вероятность запроса при проверке: высокая.
На основании чего требуется:
ч.1 ст.10.1 152-ФЗ.
Или, к примеру, если есть публикации отзывов клиентов с их ПД.
Также, если работодатель разместил интервью с работником, где указаны его личные сведения или фотография сотрудника используется в рекламе.
Вероятность запроса при проверке: высокая.
На основании чего требуется:
ч.1 ст.10.1 152-ФЗ.
Согласие на обработку специальных категорий ПД, биометрии
Требуется при обработке биометрических данных, медицинских сведений для определения пригодности к работе, сохранении информации о приобретении клиентами интим-товаров и др.
Вероятность запроса при проверке: если такие данные заявлены в качестве обрабатываемых - высокая.
В противном случае - не запрашивается.
На основании чего требуется:
ч.2 ст.10, ч. 1 ст.11 152-ФЗ
Вероятность запроса при проверке: если такие данные заявлены в качестве обрабатываемых - высокая.
В противном случае - не запрашивается.
На основании чего требуется:
ч.2 ст.10, ч. 1 ст.11 152-ФЗ
Согласие на обработку персональных данных недееспособных лиц / на обработку ПД умершего от его наследников
Вероятность запроса при проверке: высокая.
На основании чего требуется:
ч.6 и 7 ст.9 152-ФЗ.
Уведомление об обработке персональных данных в Роскомнадзор (РКН)
Вероятность запроса при проверке: высокая.
На основании чего требуется:
ст.22 152-ФЗ.
На основании чего требуется:
ст.22 152-ФЗ.
Уведомление о неавтоматизированной обработке (на типовых формах, бланках и пр.).
Вероятность запроса при проверке: если оператором ранее заявлен неавтоматизированный способ - высокая.
В противном случае - не запрашивается.
На основании чего требуется:
п.б ч.7 Постановления Правительства № 687 от 15.09.2008.
В противном случае - не запрашивается.
На основании чего требуется:
п.б ч.7 Постановления Правительства № 687 от 15.09.2008.
Уведомление о намерении осуществлять трансграничную передачу персональных данных
Вероятность запроса при проверке: если такие данные заявлены в качестве обрабатываемых - высокая.
В противном случае - не запрашивается.
На основании чего требуется:
ч.3,4 ст.12 152-ФЗ.
В противном случае - не запрашивается.
На основании чего требуется:
ч.3,4 ст.12 152-ФЗ.
Соглашение о трансграничной передаче ПД
Требуется по общему правилу при трансграничной передаче. Соглашение не требуется в случаях, предусмотренных ч. 15 ст. 12 152-ФЗ.
Вероятность запроса при проверке: средняя.
На основании чего требуется:
ст.12 152-ФЗ.
Вероятность запроса при проверке: средняя.
На основании чего требуется:
ст.12 152-ФЗ.
Уведомление о факте неправомерной или случайной передачи
Вероятность запроса при проверке: в зависимости от обстоятельств.
На основании чего требуется:
ч.3.1 ст.21 152-ФЗ.
На основании чего требуется:
ч.3.1 ст.21 152-ФЗ.
Уведомление о компьютерном инциденте (ГосСОПКА)
Вероятность запроса при проверке: в зависимости от обстоятельств.
На основании чего требуется:
ч.12-14 ст.19 152-ФЗ.
На основании чего требуется:
ч.12-14 ст.19 152-ФЗ.
Уведомление о результатах внутреннего расследования
Вероятность запроса при проверке: в зависимости от обстоятельств.
На основании чего требуется:
ч.3.1 ст.21 152-ФЗ.
На основании чего требуется:
ч.3.1 ст.21 152-ФЗ.
Политика обработки и Положение об обработке ПД (в том числе работников)
Вероятность запроса при проверке: высокая.
На основании чего требуется:
ч.2 ст.18.1, ч.2 ст.19 152-ФЗ, ст.86 ТК РФ.
На основании чего требуется:
ч.2 ст.18.1, ч.2 ст.19 152-ФЗ, ст.86 ТК РФ.
Информация о запретах на обработку распространяемых персональных данных
Вероятность запроса при проверке: средняя.
На основании чего требуется:
ч.10 ст.10.1 152-ФЗ.
На основании чего требуется:
ч.10 ст.10.1 152-ФЗ.
Поручение обработки персональных данных третьим лицом - контрагентом
Вероятность запроса при проверке: в зависимости от обстоятельств.
На основании чего требуется:
ч.3-6 ст.6 152-ФЗ
На основании чего требуется:
ч.3-6 ст.6 152-ФЗ
Обязательство о неразглашении ПД
Требуется для обеспечения конфиденциальности ПД и предотвращение их несанкционированного распространения. Может быть оформлено отдельно (NDA) или в виде в качестве отдельного пункта в трудовом договоре, ином документе.
Вероятность запроса при проверке: низкая.
На основании чего требуется:
ч.1 ст.24 152-ФЗ, ст.90 ТК РФ
Вероятность запроса при проверке: низкая.
На основании чего требуется:
ч.1 ст.24 152-ФЗ, ст.90 ТК РФ
Документы об обучении ответственных по обработке ПД
Прямого указания на обязательную периодичность обучения ответственных за обработку ПД в законе №152-ФЗ нет. Однако согласно Постановлению Правительства РФ от 06.05.2016 №399 рекомендуется обеспечивать регулярное повышение квалификации.
Вероятность запроса при проверке: высокая.
На основании чего требуется:
п.6 ч.1 ст.18.1 152-ФЗ.
Вероятность запроса при проверке: высокая.
На основании чего требуется:
п.6 ч.1 ст.18.1 152-ФЗ.
Листы ознакомления работников с ЛПА в области обработки ПД
Вероятность запроса при проверке: высокая.
На основании чего требуется:
п.6 ч.1 ст.18.1 152-ФЗ.
На основании чего требуется:
п.6 ч.1 ст.18.1 152-ФЗ.
Приказы о назначении ответственных за обработку, реализацию мер сохранности ПД и безопасности ПД в информационных системах (ИСПДн).
В ИСПДн в том числе входят CRM-системы, кадровые и бухгалтерские системы, СКУД, системы ЭДО и т.д.
Вероятность запроса при проверке: высокая.
На основании чего требуется:
ч.1 ст.18.1 152-ФЗ, ч.14 Постановления Правительства 1119 от 01.11.2012, ч.15 Постановления Правительства № 687 от 15.09.2008.
Вероятность запроса при проверке: высокая.
На основании чего требуется:
ч.1 ст.18.1 152-ФЗ, ч.14 Постановления Правительства 1119 от 01.11.2012, ч.15 Постановления Правительства № 687 от 15.09.2008.
Инструкция ответственного за организацию обработки реализацию мер сохранности ПД и безопасности ПД в ИСПДн
п.1 ч.1 ст.18.1 152-ФЗ, ч.2-3 ст.22.1 152-ФЗ, ч.14 Постановления Правительства 1119 от 01.11.2012.
Регламент внутреннего контроля и аудита соответствия обработки ПД
требованиям законодательства и локальных актов
требованиям законодательства и локальных актов
Вероятность запроса при проверке: высокая.
На основании чего требуется: п.4 ч.1 ст.18.1 152-ФЗ.
На основании чего требуется: п.4 ч.1 ст.18.1 152-ФЗ.
Положение о мерах по предотвращению, выявлению и устранению нарушений законодательства в области ПД
Вероятность запроса при проверке: высокая.
На основании чего требуется: п.5 ч.1 ст.18.1 152-ФЗ
Регламент контроля за принимаемыми мерами по обеспечению безопасности ПД в ИСПДн
Вероятность запроса при проверке: низкая.
На основании чего требуется: п.9 ч.2 ст.19 152-ФЗ .
Требования Оператора в области резервного копирования
Оператор на законодательном уровне обязан установить периодичность резервного копирования, используемые средства и носители для хранения копий, правила хранения и защиты резервных копий и др.
Вероятность запроса при проверке: высокая.
На основании чего требуется: п.7 ч.2 ст.19 152-ФЗ
Вероятность запроса при проверке: высокая.
На основании чего требуется: п.7 ч.2 ст.19 152-ФЗ
Положение об обеспечении безопасности ПД
Вероятность запроса при проверке: высокая.
На основании чего требуется: п.3 ч.1 ст.18.1 152-ФЗ
На основании чего требуется: п.3 ч.1 ст.18.1 152-ФЗ
Правила доступа к данным в ИСПДн
Вероятность запроса при проверке: низкая.
На основании чего требуется: п.5 ч.2 ст.19 152-ФЗ.
На основании чего требуется: п.5 ч.2 ст.19 152-ФЗ.
Перечень мер обеспечения сохранности ПД
Вероятность запроса при проверке: высокая.
На основании чего требуется:
ч. 15 Постановления Правительства № 687 от 15.09.2008.
Требуется до 01.09.2030 (Постановление Правительства № 12 от 18.01.2025).
На основании чего требуется:
ч. 15 Постановления Правительства № 687 от 15.09.2008.
Требуется до 01.09.2030 (Постановление Правительства № 12 от 18.01.2025).
Реестры и перечни
Включая реестр машинных носителей ПД, процессов обработки, мест хранения, помещений для обработки, перечень лиц, имеющих доступ к ПД.
Вероятность запроса при проверке: высокая.
Вероятность запроса при проверке: высокая.
Важно: в зависимости от специфики деятельности, перечня и видов обрабатываемых данных, способов и целей обработки, категорий ПД и ряда иных факторов, данный перечень может отличаться.
Общая рекомендация:
выстроить процессы, связанные с ПД
Рост числа зафиксированных нарушений в сфере защиты персональных данных свидетельствует о недостаточной защищённости информационных систем крупных компаний, что создает предпосылки для успешных кибератак.
В свою очередь, государство усиливает контроль за деятельностью организаций в области ПД.
Одно лишь неуведомление Роскомнадзора о начале обработки персональных данных в силу ч. 10 ст. 13.11 КоАП РФ влечет наложение административных штрафов для должностных лиц — от 30 000 до 50 000 руб., для юридических лиц и ИП — от 100 000 до 300 000 руб.
В этой связи, крайне важно организовать работу с персональными данными в соответствии с ФЗ №152-ФЗ.
В свою очередь, государство усиливает контроль за деятельностью организаций в области ПД.
Одно лишь неуведомление Роскомнадзора о начале обработки персональных данных в силу ч. 10 ст. 13.11 КоАП РФ влечет наложение административных штрафов для должностных лиц — от 30 000 до 50 000 руб., для юридических лиц и ИП — от 100 000 до 300 000 руб.
В этой связи, крайне важно организовать работу с персональными данными в соответствии с ФЗ №152-ФЗ.
Нужна помощь в организации работы с персональными данными? Оставьте заявку и с Вами свяжутся любым удобным для Вас способом.
Телефон: +7-953-535-22-46
Почта: Ape-email@yandex.ru
Почта: Ape-email@yandex.ru
Telegram/WhatsApp: +7-953-535-22-46
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c Политикой конфиденциальности.
Смотрите также:
