Какие документы нужны для соответствия 152-ФЗ: полный чек-лист

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» обязывает каждого оператора персональных данных оформить комплект документов, подтверждающих законность обработки ПДн. Отсутствие документов — прямой путь к штрафам при проверке Роскомнадзора. В этой статье приводим полный чек-лист из 30 документов, объясняем, какие из них обязательны для всех, а какие — в зависимости от специфики деятельности.

Многие организации ошибочно полагают, что достаточно разместить политику конфиденциальности на сайте и на этом обязанности исчерпаны. На практике 152-ФЗ требует целый пакет организационно-распорядительных, юридических и технических документов. Их состав зависит от объёма обработки ПДн, наличия информационных систем, категорий обрабатываемых данных и других факторов.

Полный чек-лист документов по 152-ФЗ

Ниже представлена сводная таблица всех документов, которые могут потребоваться организации для соответствия 152-ФЗ.

Количество документов, необходимых конкретной организации, зависит от масштаба и характера обработки персональных данных. Далее рассмотрим каждую группу документов подробнее.

Обязательные документы для любой организации

Независимо от размера бизнеса, сферы деятельности и объёма обрабатываемых данных, каждый оператор ПДн должен иметь минимальный комплект из 8-12 документов. Это базовый набор, без которого организация не может считаться соответствующей требованиям 152-ФЗ.

1. Политика обработки персональных данных

Основной публичный документ, описывающий принципы и правила обработки ПДн в организации. Согласно ч. 2 ст. 18.1 Федерального закона N 152-ФЗ, оператор обязан обеспечить неограниченный доступ к этому документу. На практике это означает публикацию на сайте и размещение в общедоступном месте в офисе.

Политика должна содержать:

• Перечень обрабатываемых ПДн и категории субъектов
• Цели обработки ПДн
• Правовые основания обработки
• Действия с ПДн (сбор, хранение, передача, уничтожение)
• Сроки обработки и хранения
• Порядок обеспечения безопасности ПДн
• Права субъектов ПДн

2. Уведомление в Роскомнадзор

Уведомление о намерении обрабатывать персональные данные подаётся до начала обработки ПДн. Исключения перечислены в ч. 2 ст. 22 закона, но они трактуются узко. Большинство организаций обязаны подать уведомление.

3. Приказ о назначении ответственного за обработку ПДн

Организация обязана назначить лицо, ответственное за организацию обработки ПДн (ст. 22.1 закона). Это оформляется приказом руководителя. Ответственный координирует работу с ПДн, отвечает на запросы субъектов и Роскомнадзора, контролирует соблюдение требований.

4. Положение об обработке и защите персональных данных

Внутренний нормативный документ, детализирующий порядок обработки и защиты ПДн. В отличие от политики, положение предназначено для сотрудников организации и содержит конкретные процедуры: кто обрабатывает, как передаёт, где хранит, как уничтожает.

5. Согласие на обработку ПДн

Если обработка ПДн осуществляется на основании согласия субъекта (а не договора, закона или иного основания), необходимо оформить согласие в надлежащей форме. Для обработки специальных категорий и биометрических данных требуется письменное согласие.

6. Акт оценки вреда субъектам ПДн

Оператор обязан оценить вред, который может быть причинён субъектам ПДн в случае нарушения закона. Акт оценки вреда — относительно новое требование, но Роскомнадзор активно проверяет его наличие.

7. Перечень персональных данных

Документ, фиксирующий все категории ПДн, обрабатываемых организацией, с указанием целей, правовых оснований и сроков обработки.

8. Приказ о допуске к обработке ПДн и список допущенных лиц

Не все сотрудники организации должны иметь доступ к персональным данным. Необходимо определить перечень должностей и конкретных лиц, допущенных к обработке ПДн, и оформить это приказом.

Документы для сайта

Если у организации есть веб-сайт, собирающий данные посетителей (формы обратной связи, регистрация, заказы, аналитика), необходимо оформить дополнительные документы.

Политика конфиденциальности для сайта

Политика конфиденциальности сайта — это адаптированная версия политики обработки ПДн, ориентированная на пользователей сайта. Она должна быть доступна по ссылке с каждой страницы, где собираются данные. Документ описывает, какие данные собирает сайт, с какой целью, как защищает и кому передаёт.

Ключевые элементы:

• Перечень собираемых данных (ФИО, email, телефон, IP-адрес, cookie)
• Цели сбора данных (обработка заказов, обратная связь, аналитика, маркетинг)
• Способы обработки (автоматизированная и неавтоматизированная)
• Сроки хранения данных
• Права пользователя (доступ, исправление, удаление, отзыв согласия)
• Контактные данные ответственного за обработку ПДн

Согласие на обработку ПДн на сайте

Каждая форма на сайте, собирающая персональные данные, должна содержать механизм получения согласия. Как правило, это чекбокс со ссылкой на политику конфиденциальности. Важно: чекбокс не должен быть отмечен по умолчанию — пользователь должен поставить галочку самостоятельно.

Пользовательское соглашение

Если сайт предоставляет сервисы (личный кабинет, конструктор, калькулятор), необходимо пользовательское соглашение, регулирующее отношения между оператором и пользователем. В соглашении описываются права и обязанности сторон, порядок использования сервиса, ответственность.

Уведомление об использовании cookie

Современные сайты используют cookie для аналитики, персонализации и рекламы. Уведомление о cookie информирует пользователя о том, какие cookie используются, и предоставляет возможность управлять настройками. Хотя российское законодательство не содержит прямого требования о «cookie-баннере» (в отличие от GDPR), cookie могут содержать персональные данные и подпадать под требования 152-ФЗ.

Согласие на получение рекламных рассылок

Если вы отправляете рекламные email, SMS или push-уведомления, необходимо получить отдельное согласие на рассылку (ст. 18 Федерального закона «О рекламе»). Это согласие должно быть самостоятельным — нельзя объединять его с согласием на обработку ПДн.

Документы для кадрового учёта

Работодатели обрабатывают значительный объём персональных данных сотрудников: от паспортных данных до сведений о здоровье. Это требует дополнительного комплекта документов.

Согласие работника на обработку ПДн

Несмотря на то что обработка ПДн сотрудников в рамках трудовых отношений допускается без согласия (на основании Трудового кодекса), согласие необходимо для:

• Передачи данных третьим лицам (банку для зарплатной карты, страховой компании)
• Обработки данных, не предусмотренных трудовым законодательством (фото для пропуска, данные для корпоративного профиля)
• Размещения данных сотрудника на сайте организации

Согласие должно быть конкретным, информированным и осознанным. Рекомендуется использовать отдельные формы для каждой цели обработки.

Согласие на обработку ПДн близких родственников

Если организация собирает данные близких родственников сотрудников (для оформления страховки, социальных льгот, в анкете при приёме на работу), необходимо получить согласие этих лиц. На практике сотрудник выступает представителем своих родственников и подписывает согласие от их имени при наличии доверенности или в случаях, предусмотренных законом.

Обязательство о неразглашении персональных данных

Каждый сотрудник, допущенный к обработке ПДн, должен подписать обязательство о неразглашении. Документ фиксирует ответственность работника за конфиденциальность персональных данных, к которым он получает доступ в рамках своих должностных обязанностей.

Журнал учёта обращений субъектов ПДн

Организация обязана вести учёт обращений субъектов ПДн — запросов на доступ к данным, их исправление, удаление, отзыв согласия. Журнал позволяет отслеживать сроки и полноту ответов.

Приказ о допуске к обработке ПДн

Список сотрудников, имеющих доступ к ПДн, оформляется приказом руководителя. Приказ обновляется при кадровых изменениях: приёме, увольнении, переводе сотрудников.

Технические документы

Если организация использует информационные системы для обработки ПДн (а это практически все современные компании), необходимо оформить технические документы.

Модель угроз безопасности ПДн

Модель угроз — один из ключевых документов для организаций с информационными системами персональных данных (ИСПДн). Документ описывает потенциальные угрозы безопасности ПДн, источники угроз и оценку их актуальности. На основании модели угроз определяются необходимые меры защиты.

Модель угроз разрабатывается с учётом:

• Методических рекомендаций ФСТЭК России
• Базовой модели угроз безопасности ПДн
• Особенностей конкретной ИСПДн
• Категорий обрабатываемых ПДн
• Объёма обрабатываемых записей

Акт определения уровня защищённости ПДн

На основании модели угроз определяется уровень защищённости персональных данных (УЗ). Существует четыре уровня — от УЗ-4 (минимальный) до УЗ-1 (максимальный). Уровень защищённости определяет набор организационных и технических мер, которые оператор обязан реализовать.

Для определения уровня защищённости учитываются:

• Тип актуальных угроз (1, 2 или 3 типа)
• Категория обрабатываемых ПДн (специальные, биометрические, общедоступные, иные)
• Количество субъектов ПДн (менее или более 100 000)
• Принадлежность субъектов (сотрудники или не сотрудники)

Паспорт информационной системы ПДн

Паспорт ИСПДн — описательный документ, содержащий информацию о конкретной информационной системе: её назначение, состав обрабатываемых ПДн, архитектура, используемые средства защиты, режим работы, перечень пользователей.

Регламент реагирования на инциденты

Документ определяет порядок действий при обнаружении инцидентов безопасности: утечка данных, несанкционированный доступ, потеря носителя. Включает:

• Классификацию инцидентов
• Порядок уведомления ответственных лиц
• Процедуру расследования
• Порядок уведомления Роскомнадзора (в течение 24 часов)
• Меры по минимизации последствий
• Порядок документирования инцидента

Журнал учёта машинных носителей ПДн

Если персональные данные хранятся на съёмных носителях (флешки, внешние диски, оптические диски), необходимо вести журнал их учёта с указанием принадлежности, места хранения, дат выдачи и возврата.

План внутренних проверок и акт проверки

Оператор должен проводить периодические внутренние проверки соответствия обработки ПДн требованиям законодательства. План проверок утверждается ежегодно, результаты фиксируются в акте.

Как быстро оформить все документы

Подготовка полного комплекта документов по 152-ФЗ — задача, требующая глубокого знания законодательства и значительных временных затрат. Типичные проблемы при самостоятельной подготовке:

• Неполнота: организации пропускают обязательные документы, что выявляется при проверке
• Устаревшие шаблоны: использование документов, не учитывающих последние поправки
• Несоответствие специфике: шаблоны из интернета не адаптированы под конкретную организацию
• Юридические ошибки: некорректные формулировки, которые не выдерживают проверки РКН
• Длительность: ручная подготовка занимает от нескольких дней до нескольких недель

Конструктор документов Кибероснова

Конструктор документов Кибероснова решает все эти проблемы. Сервис позволяет создать полный комплект документов по 152-ФЗ за несколько минут:

1. Ответьте на вопросы — система задаёт вопросы о вашей организации, целях обработки ПДн, используемых информационных системах
2. Получите готовый комплект — на основе ваших ответов конструктор формирует все необходимые документы, адаптированные под вашу организацию
3. Скачайте и используйте — документы доступны в форматах DOCX и PDF, готовы к подписанию и внедрению

Преимущества конструктора:

• Автоматический подбор документов под специфику организации
• Юридически выверенные формулировки
• Соответствие актуальной редакции 152-ФЗ и подзаконных актов
• Регулярное обновление шаблонов при изменении законодательства
• Экономия времени: полный комплект за 5-10 минут вместо нескольких дней
• Стоимость в десятки раз ниже услуг юриста

Не откладывайте оформление документов. Штрафы за отсутствие документации могут достигать сотен тысяч рублей, а с учётом оборотных штрафов за утечку — сотен миллионов. Перейдите в конструктор документов и создайте все необходимые документы прямо сейчас.