Инструкция по обработке персональных данных: образец

Инструкция по обработке персональных данных — это внутренний локальный нормативный акт организации, устанавливающий конкретные правила и порядок работы сотрудников с персональными данными. Документ определяет, какие действия допустимы при обработке ПДн, а какие категорически запрещены.

Правовая основа:

• Статья 18.1 Федерального закона от 27.07.2006 № 152-ФЗ — обязывает оператора принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом. К таким мерам относится издание локальных актов по вопросам обработки ПДн и ознакомление с ними работников;
• Пункт 8 части 1 статьи 86 Трудового кодекса РФ — работники должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных;
• Постановление Правительства РФ от 15.09.2008 № 687 — устанавливает особенности обработки ПДн без использования средств автоматизации, включая обязанность определить порядок обработки.

Инструкция по обработке ПДн является обязательным документом в системе защиты персональных данных. Её отсутствие свидетельствует о невыполнении оператором требований статьи 18.1 152-ФЗ и может повлечь административную ответственность по статье 13.11 КоАП РФ.

Важно различать: инструкция по обработке ПДн — это практический документ для сотрудников (как работать с данными), в отличие от Положения об обработке ПДн, которое описывает общие принципы и политику организации. Инструкция конкретизирует положение применительно к повседневной работе каждого сотрудника.

Инструкция по обработке персональных данных разрабатывается для всех сотрудников организации, имеющих доступ к персональным данным. Перечень таких сотрудников утверждается приказом руководителя (перечень лиц, допущенных к обработке ПДн).

Категории сотрудников, для которых инструкция обязательна:

Организация может разработать единую инструкцию для всех категорий сотрудников или несколько инструкций, адаптированных под специфику работы каждого подразделения. Для крупных организаций рекомендуется второй вариант, так как он учитывает особенности обработки ПДн в каждом подразделении.

Каждый сотрудник, включённый в перечень лиц, допущенных к обработке ПДн, должен быть ознакомлен с инструкцией под подпись до начала работы с персональными данными.

Инструкция по обработке персональных данных должна быть конкретной, понятной для сотрудников и охватывать весь жизненный цикл обработки ПДн — от получения до уничтожения.

Рекомендуемая структура инструкции:

1. Общие положения

• назначение инструкции и область применения;
• перечень нормативных актов (152-ФЗ, ПП 1119, локальные акты организации);
• основные термины и определения (персональные данные, обработка, оператор, субъект ПДн);
• ответственность за нарушение инструкции.

2. Порядок допуска к персональным данным

• допуск осуществляется на основании приказа руководителя;
• каждый допущенный сотрудник подписывает обязательство о неразглашении;
• доступ предоставляется в объёме, необходимом для выполнения должностных обязанностей (принцип минимальных привилегий);
• порядок прекращения допуска при увольнении или переводе.

3. Правила обработки персональных данных

• обрабатывать ПДн только в рамках определённых целей;
• не допускать обработки избыточных данных;
• проверять наличие правового основания (согласие, договор, закон) перед обработкой;
• не передавать ПДн третьим лицам без правового основания;
• не копировать ПДн на личные устройства (флешки, личные компьютеры, облачные хранилища);
• блокировать рабочую станцию при отходе от рабочего места;
• не обсуждать персональные данные в присутствии посторонних лиц.

4. Хранение персональных данных

• бумажные документы с ПДн хранить в запираемых шкафах / сейфах;
• электронные данные хранить только в ИСПДн организации, не на локальных дисках;
• соблюдать установленные сроки хранения;
• ограничить доступ к помещениям, где хранятся носители ПДн.

5. Передача персональных данных

• передача ПДн внутри организации — только уполномоченным лицам, в том числе через защищённые каналы;
• передача третьим лицам — только при наличии правового основания, договора поручения обработки или согласия субъекта;
• трансграничная передача — с учётом требований статьи 12 152-ФЗ;
• при передаче по электронной почте — использовать шифрование или защищённые каналы.

6. Уничтожение персональных данных

• порядок уничтожения бумажных носителей (шредер, акт уничтожения);
• порядок уничтожения электронных данных (безвозвратное удаление, форматирование носителей);
• сроки уничтожения при достижении цели обработки или по требованию субъекта;
• обязательное составление акта об уничтожении ПДн.

7. Действия при инцидентах

• что считается инцидентом безопасности ПДн (утечка, несанкционированный доступ, потеря носителя);
• порядок немедленного уведомления ответственного за организацию обработки ПДн;
• обязанность уведомить Роскомнадзор в течение 24 часов (с 01.09.2022);
• порядок фиксации инцидента и проведения расследования.

8. Ответственность

• дисциплинарная ответственность (замечание, выговор, увольнение по п. «в» ч. 6 ст. 81 ТК РФ);
• административная ответственность (ст. 13.11, 13.14 КоАП РФ);
• уголовная ответственность (ст. 137 УК РФ — нарушение неприкосновенности частной жизни);
• гражданско-правовая ответственность (возмещение морального вреда субъекту ПДн).

Ниже приведено типовое содержание инструкции по обработке персональных данных, которое может быть адаптировано под конкретную организацию.

УТВЕРЖДАЮ
Генеральный директор ООО «Пример»
_________________ / ФИО /
«____» ____________ 2026 г.

ИНСТРУКЦИЯ
по обработке персональных данных
в ООО «Пример»

1. Общие положения

1.1. Настоящая Инструкция разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687, Положением об обработке персональных данных ООО «Пример».

1.2. Инструкция устанавливает правила работы с персональными данными для сотрудников ООО «Пример», допущенных к обработке ПДн.

1.3. Требования Инструкции обязательны для исполнения всеми сотрудниками, указанными в Перечне лиц, допущенных к обработке персональных данных.

2. Правила обработки

2.1. Обработка ПДн осуществляется только в целях, определённых Положением об обработке персональных данных ООО «Пример».

2.2. Запрещается обрабатывать персональные данные, не относящиеся к целям обработки.

2.3. Перед началом обработки ПДн нового субъекта сотрудник обязан убедиться в наличии правового основания (согласие, договор, требование закона).

2.4. Запрещается: копирование ПДн на личные устройства; передача ПДн по незащищённым каналам связи; обсуждение ПДн в присутствии лиц, не имеющих допуска; оставление документов с ПДн без присмотра.

3. Хранение и уничтожение

3.1. Бумажные носители с ПДн хранятся в запираемых металлических шкафах в помещениях с ограниченным доступом.

3.2. По истечении срока хранения ПДн подлежат уничтожению с составлением Акта уничтожения. Бумажные носители уничтожаются шредером (не менее уровня P-4 по DIN 66399).

4. Действия при инцидентах

4.1. При обнаружении факта несанкционированного доступа к ПДн, утечки или иного инцидента сотрудник немедленно уведомляет ответственного за организацию обработки ПДн — Сидорова С.С., тел. (495) 123-45-67, e-mail: privacy@example.ru.

4.2. Сотрудник фиксирует обстоятельства инцидента в письменной форме.

5. Ответственность

5.1. За нарушение настоящей Инструкции сотрудник несёт дисциплинарную, административную, уголовную и гражданско-правовую ответственность в соответствии с законодательством Российской Федерации.

С помощью сервиса Кибероснова Документы вы можете создать полную инструкцию по обработке персональных данных, адаптированную под вашу организацию, за несколько минут.

Разработка инструкции — лишь первый шаг. Чтобы документ реально работал и защитил организацию при проверке, необходимо правильно внедрить его в практику.

Этап 1. Утверждение и регистрация

• Инструкция утверждается приказом руководителя организации;
• Документу присваивается регистрационный номер;
• При наличии профсоюза — инструкция согласовывается с профсоюзным органом (ст. 372 ТК РФ).

Этап 2. Ознакомление сотрудников под подпись

• Каждый сотрудник, включённый в перечень лиц, допущенных к обработке ПДн, знакомится с инструкцией под личную подпись;
• Факт ознакомления фиксируется в листе ознакомления с указанием ФИО, должности, даты и подписи;
• Новые сотрудники знакомятся с инструкцией при приёме на работу, до начала работы с ПДн;
• Лист ознакомления хранится вместе с оригиналом инструкции.

Этап 3. Обучение сотрудников

• Проведите вводный инструктаж по работе с ПДн для всех допущенных сотрудников;
• Разъясните практические аспекты: как хранить документы, что делать при утечке, как реагировать на запросы субъектов;
• Периодически (не реже одного раза в год) проводите повторный инструктаж;
• Фиксируйте факт прохождения обучения в журнале.

Этап 4. Контроль исполнения

• Ответственный за организацию обработки ПДн осуществляет периодический контроль соблюдения инструкции;
• Рекомендуется проводить внутренние аудиты не реже одного раза в год;
• Результаты проверок оформляются актом;
• При выявлении нарушений — принимаются корректирующие меры.

Этап 5. Актуализация

• Инструкция пересматривается при изменении законодательства, организационной структуры, бизнес-процессов;
• Рекомендуемая периодичность пересмотра — не реже одного раза в год;
• При внесении изменений — повторное ознакомление сотрудников под подпись.