- Оператор обязан иметь комплект внутренних документов: приказы, положения, инструкции, журналы, акты и согласия
- Минимальный пакет включает политику конфиденциальности, приказ о назначении ответственного и формы согласий
- Акты об уничтожении и журналы учёта подтверждают соблюдение требований ФЗ-152 при проверках
- Документы необходимо регулярно актуализировать при изменении процессов обработки или IT-инфраструктуры
- Шаблоны из интернета требуют обязательной адаптации под конкретную деятельность компании
Зачем оператору нужны внутренние документы
Документы по персональным данным — это основное доказательство соблюдения требований ФЗ-152. Даже если компания фактически соблюдает закон, отсутствие приказов, журналов или положений при проверке Роскомнадзора может считаться нарушением.
При проверках Роскомнадзор сначала анализирует внутренние документы: политику, приказы, журналы, формы согласий и регламенты. Отсутствие обязательных документов часто становится основанием для штрафа даже без утечки данных.
Перечень обязательных документов по ФЗ-152
| Документ | Форма | Где нужен | Примечание | |---|---|---|---| | Приказ о назначении ответственного | Приказ | Всегда | Хранить с отметкой об ознакомлении | | Политика конфиденциальности | Публичный документ | На сайте, в офисе | Для субъектов данных | | Положение о защите ПД | Внутренний документ | Для сотрудников | Описывает меры и процедуры | | Согласия на обработку ПД | Бумажный/электронный | От физических лиц | Хранить весь срок обработки | | Договоры поручения | Договор | При привлечении обработчиков | Важно при аутсорсе и облаках | | Журналы учёта согласий/обращений | Журнал | Для контроля | Вести в бумажном или электронном виде | | Акты об уничтожении | Акт | При уничтожении ПД | Подтверждают корректное удаление | | Регламент хранения | Внутренний документ | Всегда | Сроки и порядок хранения | | Инструктаж сотрудников | Протокол/журнал | Для всех с доступом к ПД | Нужна фиксация ознакомления |
Основные документы: что они делают
Приказ о назначении ответственного
Назначает сотрудника, который отвечает за организацию обработки персональных данных, взаимодействие с РКН и внутренний контроль.
В приказе обычно указываются:
- ФИО и должность ответственного
- Полномочия и обязанности
- Порядок взаимодействия с подразделениями
- Ответственность за нарушения
Политика конфиденциальности
Публичный документ для пользователей сайта и клиентов.
Политика должна содержать:
- Какие ПД собираются
- Для каких целей
- Как осуществляется хранение
- Кому передаются данные
- Как субъект может отозвать согласие
Политика обработки персональных данных должна находиться в открытом доступе: обычно ссылка размещается в футере сайта и рядом с формами сбора данных.
Положение о защите персональных данных
Внутренний регламент для сотрудников.
Обычно включает:
- Категории ПД
- Порядок доступа
- Правила хранения
- Меры защиты
- Действия при инцидентах и утечках
Согласия на обработку
Согласие должно быть:
- Конкретным
- Информированным
- Добровольным
- Полученным ДО начала обработки
Для отдельных категорий данных (биометрия, здоровье, маркетинг) могут потребоваться специальные формы согласий.
Согласия, журналы и акты
Журнал учёта согласий
Позволяет подтвердить:
- Когда согласие было получено
- Какой пользователь его дал
- На какую обработку распространяется согласие
- Когда согласие было отозвано
Журнал можно вести:
- В Excel
- В CRM
- В бумажном виде
- В специализированной системе документооборота
Акты об уничтожении ПД
Если персональные данные удаляются — это должно быть подтверждено актом.
Особенно важно:
- После отзыва согласия
- При окончании срока хранения
- При ликвидации базы
- При увольнении сотрудников
- Есть приказ о назначении ответственногообязательно
- Разработана политика конфиденциальностиобязательно
- Положение/регламент обработки утверждёнобязательно
- В наличии формы согласий для всех субъектов
- Ведётся журнал согласий и обращений
- Хранятся акты об уничтожении ПД
- Сотрудники ознакомлены с внутренними документами
Пример акта об уничтожении ПД
Акт № ___ от ______
г. _________
Мы, нижеподписавшиеся, составили настоящий акт
об уничтожении персональных данных:
1. Перечень уничтожённых ПД: ______________________
2. Объём/категория данных: ________________________
3. Носитель/база данных: __________________________
4. Метод уничтожения: _____________________________
5. Ответственные лица: ____________________________
6. Дата уничтожения: ______________________________
Подписи: ___________ ___________
Когда документы нужно обновлять
Документы по персональным данным необходимо регулярно актуализировать.
Обновление требуется при:
- внедрении новых CRM, сервисов или облаков;
- изменении категорий персональных данных;
- запуске новых форм на сайте;
- передаче данных подрядчикам;
- изменении законодательства;
- изменении способов хранения или обработки ПД.
Если документы не соответствуют фактическим процессам обработки, Роскомнадзор может признать их недостоверными. Например, политика 2021 года без упоминания используемых облачных сервисов или аналитики уже считается потенциальной проблемой.
Типичные ошибки компаний
| Ошибка | Последствие | |---|---| | Политика не соответствует реальной обработке | Предписание и штраф | | Нет приказа о назначении ответственного | Нарушение организационных требований | | Согласия не хранятся | Невозможно подтвердить законность обработки | | Отсутствуют акты уничтожения | Риск претензий по срокам хранения | | Нет договоров поручения с подрядчиками | Нарушение ст. 6 ФЗ-152 |
Практические рекомендации
- Храните ключевые документы в бумажном и электронном виде.
- Делайте резервные копии журналов и актов.
- Пересматривайте документы минимум раз в год.
- Проверяйте соответствие документов фактическим процессам.
- Назначьте сотрудника, отвечающего за актуализацию пакета документов.