Whatsapp Telegram соцсети
info@consult-gp.ru +7 (495) 995-58-54
Каталог
+7 (495) 995-58-54

Какие внутренние документы по 152-ФЗ нужны бизнесу

30.05.2025

Закон обязывает каждого оператора персданных (персональных данных) разработать и утвердить комплект документации по работе с личными данными сотрудников, клиентов, пользователей сайтов и других граждан. Это требование касается всех представителей бизнеса, включая некоммерческие и коммерческие организации, а также индивидуальных предпринимателей. За отсутствие необходимых документов Роскомнадзор выписывает крупные штрафы.

Содержание статьи

Коротко о требованиях к внутренней документации по 152-ФЗ

  • Бизнес должен утвердить все необходимые локальные акты по работе с личными данными сотрудников и клиентов.

  • Подготовить локальную документацию по персданным необходимо до уведомления РКН о намерении обрабатывать персональную информацию граждан.

  • Документы, которые бизнес должен использовать при работе с персданными, перечислены в соответствующем законе 152-ФЗ

  • Конкретный перечень локальных документов каждый оператор устанавливает самостоятельно с учетом требований закона и специфики своей деятельности.

  • Некоторые внутренние документы по персданным необходимо согласовать с представителями профсоюза.

  • Определенные документы бизнес должен также опубликовать (как минимум, разместить на своем веб-ресурсе политику в сфере персданных). Если не обеспечить публикацию политики, сумма штрафа составит 30 000-60 000 ₽.

  • Если обрабатывать персданные без оформленного согласия субъекта, то штрафные санкции для компаний составят от 300 000 ₽ до 1 500 000 ₽ при повторных нарушениях.

  • За более серьезные нарушения предусмотрены многомиллионные штрафы, например, за компрометацию биометрии штраф может составить 20 000 000 ₽ и более.

Перечень внутренних документов по персданным

Бизнес, выполняющий функции оператора персданных, должен разработать свои внутренние документы, которыми он будет руководствоваться при работе с личной информацией граждан. Закон (152-ФЗ) упоминает несколько десятков наименований документов. Среди них есть обязательные, которые должны быть у каждого оператора, и дополнительные, которые следует разработать и утвердить по необходимости. Определяющим фактором при подготовке комплекта внутренних документов по персданным является специфика бизнеса:

  • направления деятельности (особенности бизнес-процессов);
  • категории субъектов (только сотрудники либо еще и клиенты, посетители и др.);
  • объем запрашиваемой личной информации;
  • цели сбора сведений;
  • способы и методы обработки персданных (самостоятельная обработка или передача иным лицам).

Поэтому шаблоны «чужих» локальных документов из интернета не всегда подходят для конкретного оператора. При проверках Роскомнадзора выявленные несоответствия приведут к применению санкций. Например, штраф за несоответствие сбора личных сведений граждан заявленным целям составит для компаний до 300 000-500 000 ₽ (ч.1 и 1.1. ст. 13.11 КоАП).

Обязательный минимум

Несмотря на некую вариабельность состава комплекта внутренней документации по персданным, закон называет ряд обязательных документов. То есть такие локальные акты необходимо иметь всем операторам персданных. Одни документы согласуются с представителями профсоюза (например, положение о персданных сотрудников), другие утверждаются работодателем единолично.

Базовый комплект внутренней документации оператора персданных, в том числе работодателя, может выглядеть следующим образом:

  1. положение или иной документ о правилах работы с личной информацией своих сотрудников;
  2. политика (конфиденциальности), устанавливающая основополагающие принципы работы с персданными клиентов и пользователей веб-сайта;
  3. положение или иной документы, перечисляющий меры защиты личной информации и алгоритм действий в случае ее утечки;
  4. документы об определении ответственных лиц, об ограничении доступа к личным сведениям граждан, об организации мест хранения информации и пр. (приказы);
  5. должностные инструкции ответственных сотрудников, имеющих доступ к персданным;
  6. порядки, регламенты, инструкции и прочие документы, которые прописывают конкретные правила хранения и доступа к информации, сроки и порядок ее уничтожения, правила рассмотрения запросов, план внутреннего аудита (контроля) и др.

Роскомнадзор рекомендует документировать уничтожение персданных, например, подписывать акты, вносить записи в журналы учета.

Дополнительно следует разработать и утвердить шаблоны и формы документов, которые потребуются в процессе работы с персданными:

  • письменные формы согласий для субъектов;
  • журналы инструктажа, учета, пропуска и т. д.
  • проект обязательства (соглашения) о неразглашении персональных данных
  • акты внутренних проверок, оценки данных, об уничтожении данных;
  • проекты запросов и ответов.

Обратите внимание: согласие нужно получать у каждого субъекта не только на обработку его данных, но также на передачу иным лицам (распространение среди неограниченного круга субъектов).

Оператор устанавливает правила работы с персданным на свое усмотрение, но в строгом соответствии с законом 152-ФЗ и другими нормативными актами. То есть он не может предоставлять себе неограниченные полномочия либо ограничивать права субъектов. Недопустимо запрашивать у граждан информацию, которая избыточна для выполнения заявленных оператором целей, например, не стоит требовать сведения о вероисповедании при найме сотрудников.

При этом не стоит забывать, что оператор должен прописать во внутренних документах свои обязательства с учетом актуальных требований, например:

  • отвечать на запросы РКН в течение 10-ти дней;
  • сообщать о компрометации персданных в течение первых 24 часов и отчитываться о проведенной проверке до истечения 72 часов;
  • предоставлять субъекту запрошенную информацию в течение 10 дней и др.

Что касается порядка составления внутренней документации, то не имеет никакого значения, оформлены локальные акты отдельными документами или представляют собой составные части одного документа. Например, зачастую положение о персданных включает в себя и политику, и регламент работы и формы документов.

Внутренние документы для ИП и ООО

С июня 2025 года по многим правонарушениям в сфере персданных предприниматели приравнены к юрлицам, то есть будут нести точно такую же административную ответственность. А требования к локальной документации у ИП и ООО одинаковые?

152-ФЗ прямо указывает, что операторы-юрлица должны разработать соответствующую документацию по обработке и защите персданных (см. п. 2 ч. 1 ст. 18.1). Также компании должны назначить ответственных лиц при работе с личной информацией граждан. Про предпринимателей отдельно ничего не сказано. Но при этом абсолютно все операторы (вне зависимости от формы бизнеса) обязаны обеспечить безопасность полученных данных, организовать свободный доступ субъектов к своей политике, также требуется регулярно проводить внутренний контроль.

Конкретный перечень мер и документов бизнес устанавливает самостоятельно, ориентируясь не на свою организационную форму (ООО или ИП), а на специфику своей работы: какие личные данные собираются, для чего, как защищается и уничтожается информация.

Таким образом, предприниматели должны, как минимум, разработать и утвердить политику, которую необходимо опубликовать на сайте. Другие документы составляются с учетом принципа необходимости и достаточности.

Определить перечень обязательных документов, разработать локальные акты и формы/шаблоны документов в сфере работы с персданными помогут эксперты «Консалт-групп» в рамках индивидуальной консультации.

#Персональные данные#Политика конфиденциальности#Пользовательское соглашение#Роскомнадзор#ИП#ООО
Вас так же может заинтересовать
Яндекс.Метрика