Документы, которые должны быть в компании по законодательству о персональных данных
04.06.2025 распечататьКлючевыми документами для организации, которая работает с персональными данными, являются два: Положение о защите персональных данных и Политика обработки. Политика обработки персональных данных, по-сути, часть положения о защите персональных данных. Это может быть отдельный документ или часть одного, общего. Всего в отношении защиты персональных данных у компании может более 15 документов.
Оба ключевых документа по работе с персональными данными – Положение о защите персональных данных и Политика обработки персональных данных – являются внутренними локально-нормативными актами. Положение устанавливает правила, ответственность и порядок защиты персональных данных в организации. Политика конкретизирует Положение, в ней описывают цели сбора данных, порядок обработки, меры по обеспечению безопасности и другие аспекты.
№ п|п | Документ | Требование | Законодательство | Как составить |
Основные документы. которые должны быть в каждой компании | ||||
1 | Политика в отношении обработки персональных данных Политика обработки персональных данных может быть не отдельном документом, а частью Положения о защите персональных данных. | Оператор обязан разработать документы, в которых прописаны все процедуры при работе с персданными. | Статья 18_1 Федерального закона от 27.07. 2006 г. № 152-ФЗ «О персональных данных» | Утвержденной формы нет. Правила составления документа и обязательные разделы названы в рекомендациях Роскомнадзора от 31 июля 2017 года Политика должна содержать шесть основных разделов: цели сбора персональных данных; правовые основания обработки персональных данных объем и категории обрабатываемых данных, категории субъектов персональных данных; порядок и условия обработки персональных данных; актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным. Документ размещают в свободном доступе на сайте, где есть формы регистрации. |
2 | Уведомление об обработке персональных данных | Компания, которая работает с персональными данными (а это практически все) обязана уведомить Роскомнадзор о начале обработки персональных данных. | Статья 22 Федерального закона от 27.07. 2006 г. № 152-ФЗ «О персональных данных» | Форма уведомления утверждена Приказом Роскомнадзора от 28.10.2022 № 180. Подать уведомление подать одним из трех способов: на бумаге в территориальное отделение РКН; на сайте Роскомнадзора; через Госуслуги. Как составить и направить в Роскомнадзор уведомление о начале обработки персданных |
3 | Изменения в уведомление об обработке персональных данных | В случае изменения ранее поданных в РКН сведений, при прекращении обработки персданных необходимо об этом уведомить РКН в течение 10 дней. | Ч. 7 статьи 22, статья 25 Федерального закона от 27.07. 2006 г. № 152-ФЗ «О персональных данных» | |
4 | Приказ о назначении ответственного за организацию обработки персональных данных | Организация, выступающая в роли оператора персданных, обязана назначить ответственного за организацию обработки данных. | Статья 22-1 Федерального закона от 27.07. 2006 г. № 152-ФЗ «О персональных данных» | Стандартной формы приказа нет. Документ можно составить в произвольной форме. В нем нужно указать: основания назначения (это ссылка на статью 22-1 Федерального закона от 27.07. 2006 г. № 152-ФЗ «О персональных данных»); должность и ФИО сотрудника, который назначается ответственным за обработку персональных данных; размер доплаты к должностному окладу в связи с исполнением дополнительной обязанности. Специальных требований к работнику, который будет исполнять эти обязанности законодательством не установлено. Это может быть: специалист по кадрам, бухгалтер, секретарь компании и др. С сотрудниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным других работников, работодатель должен оформить обязательство об их неразглашении. Другой вариант — подписать дополнительное соглашение к трудовому договору, в котором прописать обязательство не разглашать персональные данные. |
5 | Перечень сотрудников, которые будут обрабатывать персональные данные и иметь к ним доступ | Оператор персданных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, предоставления и иных, неправомерных действий. | Статья 19 Федерального закона от 27.07. 2006 г. № 152-ФЗ «О персональных данных» | Стандартной формы нет. Документ можно составить в произвольной форме. В нем нужно указать: основания назначения (это ссылка на статью 22-1 Федерального закона от 27.07. 2006 г. № 152-ФЗ «О персональных данных»); ФИО и должности сотрудников, которые имеют доступ к персональным; при необходимости -указать к каким именно персданным есть доступ, например, работникам одного подразделения. Как правило, доступ к данным имеют заместители директора, начальники отделов, работники бухгалтерии, секретариат. С сотрудниками, которые в силу своих должностных обязанностей имеют доступ к персональным данным нужно оформить обязательство о неразглашении сведений, если это не предусмотрено отдельным пунктом трудового договора. |
6 | Согласие субъекта на обработку его персональных данных | Владелец самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. | Статья 9 Федерального закона от 27.07. 2006 г. № 152-ФЗ «О персональных данных» | Обработка персональных данных может осуществляться только на основании согласия в письменной форме, подписанного владельцем. Согласие субъекта на обработку его персональных данных (образец 2025 года от Роскомнадзора) |
Дополнительные документы, составляются в зависимости от сферы деятельности и внутренних правил организации | ||||
7 | Документы, подтверждающие предоставление субъекту персональных данных информации, если данные получены не от него | Если персданные получены не от субъекта, оператор обязан предоставить ему следующую информацию: наименование либо ФИО и адрес оператора или его представителя; цель обработки персданных и правовое основание; предполагаемые пользователи данных; права субъекта персональных данных; источник получения. | Часть 3 статьи 18 Федерального закона от 27.07. 2006 г. № 152-ФЗ «О персональных данных» | Это могут быть договоры, соглашения, или иные документы, подтверждающие правомерность использования этих данных. |
8 | Политика в отношении обработки персональных данных | Оператор обязан разработать документы, в которых прописаны все процедуры при работе с персданными. | Статья 18_1 Федерального закона от 27.07. 2006 г. № 152-ФЗ «О персональных данных» | Утвержденной формы нет. Правила составления документа и обязательные разделы названы в рекомендациях Роскомнадзора от 31 июля 2017 года Политика должна содержать шесть основных разделов: цели сбора персональных данных; правовые основания обработки персональных данных объем и категории обрабатываемых данных, категории субъектов персональных данных; порядок и условия обработки персональных данных; актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным. Документ размещают в свободном доступе на сайте, где есть формы регистрации. Политика обработки персональных данных может быть не отдельном документом, а частью Положения о защите персональных данных. |
9 | Документы, где описаны организационные и технические меры защиты персональных данных | Оператор персданных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, предоставления и иных, неправомерных действий. | Статья 19 Федерального закона от 27.07. 2006 г. № 152-ФЗ «О персональных данных» | В документе нужно описать конкретные меры для защиты ПД, включая организационные и технические. К организационным мерам относится: обучение персонала, ограничение доступа, разработка инструкций, установление статусов и обязанностей пользователей, ведение журналов доступа, условия и место хранения носителей данных и т.п. Технические меры – это методы шифрование, обезличивание информации, введение электронной подписи, антивирусные программы, межсетевые экраны для фильтрации трафика, системы предотвращения вторжений (IPS) и обнаружения вторжений (IDS), системы предотвращения утечек (DLP) и т.п. |
10 | Документы по приему, обработке запросов субъектов персональных данных | Закон обязывает всех, кто работает с персональными данными организовать прием и обработку обращений и запросов от владельцев персональных данных или их представителей. | Статья 22-1 Федерального закона от 27.07. 2006 г. № 152-ФЗ «О персональных данных» | Установленной формы нет. Это могут быть Правила или Регламент рассмотрения запросов субъектов персональных данных или их представителей. В документе нужно прописать сведения, которые вправе запросить владелец персданных, сроки ответов на запросы, условия отказов. |
11 | Документы, определяющие категории персональных данных, особенности и правила их обработки без использования средств автоматизации и Типовые формы | Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, без использования средств автоматизации, категориях обрабатываемых сведений и особенностях обработки. | Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства РФ от 15.09.2008 года № 687 |
|
12 | Документ, устанавливающий требования к ведению журналов (реестров, книг …), содержащих персональные данные для однократного пропуска на территорию | При ведении журналов должны соблюдаться определенные условия, которые установлены Положение № 687 | Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства РФ от 15.09.2008 года № 687 | Необходимость ведения журнала (реестра, книги) должна быть предусмотрена политикой (положением) об обработке персональных данных. В документе нужно закрепить следующие условия: когда, на каком основании, кем и какие сведения заносятся в журнал (реестр, книги); копирование сведений из журналов (реестров, книг) не допускается; персональные данные каждого субъекта персональных данных могут заноситься в журнал (книгу, реестр) не более одного раза в каждом случае пропуска на территорию. |
13 | Документ, устанавливающий требования к хранению материальных носителей, содержащих персональные данные | При хранении персданных на материальных носителях должна быть обеспечена их сохранность и исключен несанкционированный. | Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства РФ от 15.09.2008 года № 687 | Документ составляется в произвольной форме и содержит перечень мер, необходимых для сохранности носителей. Документ можно не составлять, а включить все положения в Политику обработки персональных данных отдельным разделом или пунктами. |
14 | Документ о классификации информационных систем | Документ получают государственные органы для подтверждения соответствия своей информационной системы требованиям закона. Можно получить и коммерческим структурам на добровольной основе. | Порядок проведения классификации информационных систем персональных данных. Утвержден приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года № 55/86/20 | Составляется акт классификации информационных систем. Потребуется также список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе. |
Подписка на новости и полезные материалы
В статье использованы фото с сайта freepik.com или shutterstock.com
