Разработка пакета документов по защите персональных данных (152-ФЗ) от 30 000 ₽

Соблюдение Федерального закона № 152-ФЗ «О персональных данных» — обязанность каждого оператора ПДн, включая работодателей, интернет-платформы и любые организации, работающие с данными физических лиц. Этот закон регулирует порядок сбора, хранения, использования и уничтожения персональных данных, а его несоблюдение чревато серьёзными юридическими и финансовыми последствиями.

В условиях усиленного контроля наличие правильно оформленного пакета документов становится не просто формальностью, а необходимой частью правовой безопасности компании. Документы по ПДн требуются как для внутренних процессов (работа с персоналом), так и для внешних взаимодействий — особенно если компания собирает данные клиентов на сайте, через CRM или иные системы.

Компания «Потенциал» предлагает услугу по разработке полного комплекта документов по персональным данным — от аудита до внедрения. Все материалы соответствуют действующим нормам законодательства и готовы к проверкам со стороны Роскомнадзора и других контролирующих органов.

Какими нормативно-правовыми актами регулируется обработка ПДн?

Обработка и защита персональных данных регулируется комплексом нормативно-правовых актов, соблюдение которых обязательно для всех операторов ПДн:

• Фkедеральный закон № 152-ФЗ от 27.07.2006
• Трудовой кодекс РФ (ст. 86, 87, 88)
• Постановления Правительства РФ: № 146, 1119, 687
• Приказ ФСТЭК России № 21 от 18.02.2013
• Приказ ФСБ России № 378 от 10.07.2014
• Приказ Минкомсвязи № 312, № 346
• Рекомендации Роскомнадзора от 27.07.2017
• Методики ФСТЭК по определению и моделированию угроз

Какие данные сотрудников компании являются персональными?

Персональные данные сотрудников — это любая информация, позволяющая прямо или косвенно идентифицировать физическое лицо. Они обрабатываются работодателем в процессе трудовых отношений и должны защищаться в соответствии с законодательством.

К персональным данным относятся:

• Фамилия, имя, отчество, дата и место рождения;
• Паспортные данн99ые, ИНН, СНИЛС;
• Адрес регистрации и проживания;
• Контактная информация: номер телефона, адрес электронной почты;
• Сведения об образовании, квалификации, опыте работы;
• Трудовые функции, информация о должности, графике и заработной плате;
• Медицинские справки, данные о состоянии здоровья (если требуются для трудоустройства);
• Биометрические данные (фотографии, отпечатки пальцев и др. — при необходимости);
• Иные сведения, используемые работодателем в кадровом, налоговом, бухгалтерском и ином администрировании.

Работодатель обязан получить согласие на обработку ПДн сотрудника, соблюдать режим конфиденциальности и обеспечить защиту этих данных как в бумажном, так и в электронном виде.

Основные требования закона 152-ФЗ к работе с персональными данными

Федеральный закон № 152-ФЗ «О персональных данных» и сопутствующие нормативные акты устанавливают обязательства для всех операторов, осуществляющих сбор, хранение и обработку ПДн. Организации, не выполнившие эти требования, рискуют получить крупные штрафы и запреты на дальнейшую работу с персональными данными.

Ключевые требования к операторам ПДн включают:

• Назначение ответственного за организацию обработки персональных данных;
• Разработку и утверждение локальных нормативных актов, регламентирующих обработку ПДн;
• Получение письменного согласия от субъектов ПДн на их обработку;
• Обеспечение режима конфиденциальности и недопущение несанкционированного доступа к ПДн;
• Соблюдение технических и организационных мер по защите данных, включая определение уровня защищенности и модель угроз;
• Ведение журналов обращений и действий по ПДн, а также реагирование на запросы субъектов данных;
• Организацию процессов уничтожения персональных данных по окончании срока обработки или при отзыве согласия.

Невыполнение хотя бы одного из перечисленных требований может стать основанием для наложения административного штрафа или проведения внеплановой проверки со стороны Роскомнадзора.

Какие документы необходимо разработать по персональным данным

Чтобы соответствовать требованиям законодательства в сфере защиты персональных данных, организации необходимо разработать и внедрить ряд локальных нормативных актов. Эти документы обеспечивают правовую защиту компании, регламентируют внутренние процессы и демонстрируют готовность к проверкам со стороны контролирующих органов.

Документы для сайта или онлайн-платформы

Если ваша компания собирает персональные данные пользователей через сайт, форму обратной связи, регистрацию или онлайн-заказы, необходимо обеспечить юридически корректное оформление всех процессов обработки данных. Это особенно актуально для интернет-магазинов, образовательных платформ, сервисов онлайн-записи и любых проектов, где пользователь вводит свои персональные сведения.

Список документов ПДн для сайта:

• Пользовательское соглашение
• Политика конфиденциальности
• Правила обработки ПДн
• Согласие на обработку ПДн
• Согласие на обработку биометрических ПДн (в т.ч. для маркетинга)

Документы для организации

Для соблюдения закона о персональных данных компания должна не только получить согласие от сотрудников на обработку информации, но и формализовать все процедуры, связанные с доступом, хранением, защитой и уничтожением ПДн. Это достигается через утверждение внутренней документации, которая регламентирует каждый этап работы с данными внутри организации.

Список основных документов включает:

• Положение о работе с ПДн
• Приказ о назначении ответственного за ПДн
• Приказ об утверждении перечня лиц, допущенных к обработке ПДн
• Перечень лиц, допущенных к обработке ПДн
• Обязательство о неразглашении ПДн
• Приказ об утверждении мест хранения ПДн и ответственных
• Правила рассмотрения обращений субъектов ПДн
• Журнал обращений субъектов ПДн
• Приказ о комиссии по уничтожению ПДн
• Акт об уничтожении ПДн
• Приказ об определении уровня защищенности ПДн
• Акт определения уровня защищенности
• Модель угроз безопасности ИСПДн
• Дополнительные документы по информационной безопасности

Штрафы и ответственность за отсутствие документов по защите персональных данных

Несоблюдение требований законодательства в области обработки и защиты персональных данных может повлечь за собой серьёзные последствия для организации — от штрафов до уголовной ответственности. Особенно это актуально в свете изменений, вступивших в силу в 2025 году, которые существенно увеличили размеры санкций и расширили основания для проверок со стороны Роскомнадзора.

Возможные последствия для оператора ПДн:

• Отсутствие политики конфиденциальности, согласий или иных обязательных документов — штраф до 150 000 ₽ (ст. 13.11 КоАП РФ);
• Обработка персональных данных без согласия субъекта — штраф до 500 000 ₽;
• Нарушение порядка хранения или уничтожения ПДн — до 300 000 ₽;
• Повторные нарушения — до 1 000 000 ₽ и выше, включая дисквалификацию должностных лиц;
• Утечка персональных данных — до 3% годового оборота компании или 15–20 млн ₽ (в зависимости от категории данных);
• Нарушение конфиденциальности, повлёкшее ущерб — уголовная ответственность по ст. 137 УК РФ, вплоть до лишения свободы.

Важно понимать: даже если сбор данных ведётся в малом объёме (например, только через форму обратной связи на сайте), оператор обязан соблюдать все требования закона 152-ФЗ. Отсутствие оформленного пакета документов трактуется как нарушение в полном объёме.

Основные проблемы при разработке ОРД

Во многих организациях подготовкой локальных нормативных актов (ОРД) занимается кадровый специалист или офис-менеджер. При отсутствии юридического или технического опыта это может привести к формальным ошибкам, неполноте документов или использованию устаревших шаблонов из интернета. Такие материалы не соответствуют требованиям актуального законодательства и не выдерживают проверок со стороны Роскомнадзора.

На практике чаще всего возникают следующие сложности:

• Использование устаревших шаблонов и форм без учёта последних изменений в законодательстве;
• Отсутствие комплексного подхода — документы не согласованы между собой и не отражают реальные процессы в компании;
• Пропущенные обязательные документы (например, акты об уничтожении или модель угроз);
• Невыполнение требований по информационной безопасности;
• Отсутствие согласий от сотрудников на обработку ПДн;
• Неведение журналов, актов, приказов;
• Ошибки при определении уровня защищенности ПДн.