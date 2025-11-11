Как подготовить документы по ФЗ-152: пошаговая инструкция

Разработка полного комплекта документов по персональным данным может показаться сложной задачей. Ниже приводим порядок подготовки документов для Роскомнадзора — пошагово, с учетом требований закона и практики проверок:

1. Проанализируйте, какие персональные данные вы обрабатываете. На первом этапе составьте перечень всех процессов в вашем бизнесе, где фигурируют персональные данные. Учтите данные сотрудников (кадровый учет), клиентов (заказы, заявки, подписки), пользователей сайта (регистрация, cookies), контрагентов-физлиц и пр. Определите категории персональных данных (ФИО, контакты, паспортные, финансовые и т.д.) и цели их обработки (выполнение договора, рассылка, безопасность и т.п.). Такой анализ необходим, чтобы понять, какие документы нужны и какое содержание в них прописать. Например, если вы не собираете биометрические данные, то и отдельные согласия на биометрию вам не требуются. А если используете облачные сервисы — нужно будет предусмотреть меры для трансграничной передачи. Также на этом этапе выясняется, нужно ли уведомлять Роскомнадзор: большинство организаций — да, нужно (если только у вас не исключительно бумажные базы или один-два случая из ст.22, см. выше).

2. Назначьте ответственного и определите меры защиты. Формально назначить ответственного за ПДн можно сразу приказом, но сначала стоит выбрать подходящего сотрудника (обычно руководитель ИТ-службы, главный юрист или другой квалифицированный специалист). Определите, какие технические и организационные меры защиты данных у вас уже реализованы и чего не хватает: шифрование, антивирусы, резервное копирование, ограничение доступа к папкам с данными, обучение персонала и т.д. Заложите эти моменты в будущее положение о защите ПДн. Если у вас нет экспертизы в информационной безопасности, имеет смысл провести предварительно аудит сайта и ИТ-систем на соответствие 152-ФЗ или привлечь профильных специалистов. Например, можно заказать юридический и технический аудит сайта — эксперты проверят, соблюдаются ли требования к безопасности, и подскажут, какие документы/настройки нужно добавить.

3. Разработайте Политику конфиденциальности и формы согласия. Начните с этих документов, так как они необходимые и относительно понятные. Политика обработки персональных данных должна отражать все ключевые моменты: перечень ПДн, цели, способы обработки, меры защиты, права субъектов и контакты ответственного лица. Роскомнадзор в 2017 году даже выпустил рекомендации по содержанию политики, так что можно опираться на них. Шаблонов политики множество, но старайтесь не просто копировать — адаптируйте текст под вашу ситуацию (например, укажите реальные формы на вашем сайте, реальные сервисы, которые вы используете для хранения данных). Согласие на обработку ПДн обычно делается в виде отдельного текста, который пользователь принимает, ставя галочку. Подготовьте несколько вариантов согласий: для сайта (для пользователей/клиентов) — универсальное или отдельные на разные цели (на обработку cookies, на рассылку и т.п.), а также для сотрудников — согласие работника на обработку его данных, согласие на фото/видео (если нужно) и т.д. Учтите требования ст.9 ФЗ-152: согласие должно быть конкретным, информированным и сознательно данным. Не забудьте про особые формы, если нужны: например, согласие родителя на обработку данных ребенка, согласие на биометрию (в письменной форме). Все шаблоны согласий стоит утвердить приказом или приложением к положению.

4. Подготовьте внутренние локальные акты. Самый трудоемкий шаг — разработка внутренних документов, ведь их много. Рекомендуется начинать с базовых положений:

Общий порядок обработки персональных данных — документ, описывающий весь цикл работы с ПДн в организации: от момента сбора до уничтожения. Он включает разделы о порядке сбора данных, хранения, передачи третьим лицам, меры защиты, ответственность и т.п.

Положение об обеспечении безопасности персональных данных — фокусируется на мерах защиты: какие организационные меры приняты (назначены ответственные, ограничения доступа, режим помещения и пр.) и технические меры (антивирусы, шифрование, резервирование, журналирование действий и т.д.). Здесь же может содержаться перечень угроз и уязвимостей и ссылки на техническую документацию.

Перечень персональных данных и субъектов — список всех категорий ПДн, которые компания обрабатывает, и каких субъектов они касаются (клиенты, сотрудники, контрагенты).

Перечень лиц, допущенных к обработке ПДн — кто в компании имеет право работать с данными, их должности. Часто оформляется в виде приказа или приложения.

Должностные инструкции сотрудников , в чьи обязанности входит обработка ПДн — в них добавляются пункты о соблюдении законодательства о ПДн.

Приказы и журналы : приказ о назначении ответственного (если не сделали отдельно ранее), приказы об утверждении всех перечисленных положений, журнал ознакомления работников с этими документами (под роспись). Также нужен журнал обращений субъектов — для регистрации запросов от граждан (например, запрос предоставить информацию о их данных или удалить их).

План мероприятий по обеспечению защиты ПДн — часто требуемый документ, где перечисляются все шаги, которые компания предпринимает для защиты данных (обучение, технические меры, аудиты).

Политика хранения и уничтожения персональных данных — регламентирует сроки хранения разных категорий ПДн и порядок их удаления по истечении сроков или по запросу субъекта.

Это лишь часть документов. Всего их может быть несколько десятков (как мы упоминали, около 30 внутренних актов). Чтобы упростить задачу, вы можете воспользоваться типовыми шаблонами — в открытом доступе есть шаблоны документов для Роскомнадзора от консультантов и даже примерный перечень на сайте самого Роскомнадзора.

Но помните: шаблон надо тщательно привести в соответствие с деятельностью вашей компании. Если в типовом положении указано, что у вас есть, к примеру, система видеонаблюдения (а у вас нет) или используются шифровальные средства (а вы о них впервые слышите) — нужно убрать или исправить эти пункты. РКН на проверке легко заметит несоответствие «бумаги» реальности.

5. Отправьте уведомление в Роскомнадзор. Когда основные документы готовы (или параллельно с их разработкой), подайте уведомление о начале обработки ПДн через портал Роскомнадзора или Госуслуги. В уведомлении вы указываете свои данные, перечень ПДн, цели, меры защиты и ответственного. По сути, вы декларируете все то, что уже прописали во внутренних документах. Без этих документов нельзя корректно заполнить уведомление — например, там нужно перечислить меры защиты и нормативные акты, которыми вы руководствуетесь. Если отправить пустую форму «для галочки», при первой же проверке это вскроется, и штрафы неизбежны. Поэтому отправлять уведомление имеет смысл только тогда, когда минимальный пакет (политика, согласия, положение, приказ) у вас подготовлен. В 2025 году уведомление подается один раз, повторно его подавать не нужно, если у вас уже есть регистрационный номер в реестре операторов ПДн. Однако при изменении данных (например, вы начали собирать новые категории данных или расширили цели обработки) нужно обновить документы внутри компании и при существенных изменениях направить в Роскомнадзор новое уведомление с корректировками. Сама процедура регистрации сейчас достаточно проста, но если вы боитесь допустить ошибку, можно поручить эту задачу профессионалам — например, заказать услугу «Уведомление в РКН», где специалисты заполнят и отправят уведомление за вас.

6. Ознакомьте и обучите сотрудников. После того, как все документы по персональным данным утверждены приказами, важно довести их до сведения работников. Проведите небольшой инструктаж или рассылку: ответственный объясняет коллегам ключевые положения политики, инструкции по безопасности, что можно и нельзя делать с ПДн. Обязательно возьмите расписку с сотрудников об ознакомлении с политикой и локальными актами — это требование закона. Для новых сотрудников включите такую ознакомительную процедуру в список обязательных при приеме. Также стоит организовать обучение персонала, особенно тех, кто непосредственно работает с данными (HR, отдел продаж, маркетинг, айтишники): например, как отвечать на запросы субъекта ПДн, что делать при получении требования от Роскомнадзора, как реагировать на возможную утечку данных. Факт проведения обучения можно оформить протоколом или приказом. Все эти меры покажут проверяющим, что компания осознанно соблюдает требования.

7. Поддерживайте документы в актуальном состоянии. Законодательство о персональных данных регулярно обновляется — за последние годы введено много поправок (например, новые составы правонарушений в КоАП с конца мая 2025, требования о локализации данных, правила трансграничной передачи и др.). Поэтому хотя бы раз в год пересматривайте свою документацию. Нужно ли обновлять документы при проверке Роскомнадзора? Идеально, если вы не будете дожидаться проверки: актуальные документы должны быть всегда. Но если вы узнали о плановой проверке или получили предварительное уведомление о профилактическом визите, то обязательно проведите ревизию: сравните текущие процессы с тем, что написано в ваших положениях и политике, при необходимости издайте приказы о внесении изменений. РКН нередко перед выездной проверкой запрашивает копии локальных актов по ПДн — им важно, чтобы документы были не только на месте, но и соответствовали последней редакции закона. То же касается ситуаций, когда в вашей деятельности происходят изменения (запустили новый сервис, начали собирать паспортные данные там, где раньше не собирали, и т.п.) — сразу отражайте это в документах и уведомляйте регулятора, если требуется.

8. Готовьтесь к проверкам и предписаниям заранее. Если все вышеперечисленное выполнено, вам не страшны плановые проверки Роскомнадзора — документы в порядке, сотрудники предупреждены. Но все же рекомендуется иметь внутренний чек-лист проверки РКН: сопоставьте свои документы со «списком 34 документов», которые Роскомнадзор обычно проверяет (этот список есть в нашем чек-листе, упомянутом ниже). Также подготовьте план действий на случай, если случится утечка персональных данных или поступит жалоба от субъекта — алгоритм внутренних разбирательств, уведомления пострадавших и Роскомнадзора и т.д. Если же регулятор уже нашел нарушения и выдал вам предписание, важно грамотно подготовить ответное письмо: описать, какие меры приняты, приложить обновленные документы, возможно, ходатайствовать о снижении штрафа. В таких ситуациях лучше консультироваться с юристами. Помните, что цель Роскомнадзора — не наказать любой ценой, а чтобы вы устранили нарушения. Если показать серьезный подход и быстрое исправление, есть шанс отделаться предупреждением.