Курсы
Вебинары
Статьи
Шаблоны
Словарик
Курсы
Вебинары
Статьи
Шаблоны
Словарик
Содержание
В начало
Что такое персональные данные и что нужно для законной работы с ними
Базовые документы для обработки персональных данных
Ответственность за отсутствие необходимых документов
Какие законы устанавливают требования к документации о персональных данных
  • Статьи
  • Базовый набор документов ПДн

Без паники: базовый набор документов для работы с ПДн

Что точно должно быть под рукой, чтобы начать обработку персональных данных без нарушений
7 минут
Наташа Ралдугина
Редактор платформы Альфа-Курс, четыре года создаю образовательные материалы для бизнеса

Обработка персональных данных (ПДн) — это повседневная рутина многих предпринимателей, которая строго контролируется законом. Чтобы легально работать с ПДн, нужно решить несколько задач, и одна из них — подготовка документов. В этой статье мы поговорим об основных, самых распространённых документах, регламентирующих организацию обработки ПДн в соответствии с законодательством Российской Федерации.

Новые законы сентября 2025 года: что ждёт предпринимателей

Что такое персональные данные и что нужно для законной работы с ними

Персональные данные — это сведения, которые позволяют: 



  • Идентифицировать владельца, то есть отнести данные к конкретному человеку или отличить одного от другого. 
  • Воздействовать на него, например, настроить таргетированную рекламу на базе информации о предпочтениях пользователя.

К ПДн относятся имя, телефон, адрес, паспортные данные, сведения о здоровье и другая информация, даже IP-адрес и cookie-файлы.

Что такое файлы cookie?

Любой предприниматель, обрабатывающий ПДн, становится оператором. Например, когда вы собираете данные о сотрудниках или потенциальных клиентах, то являетесь оператором. Как оператор, вы обязаны обеспечить безопасность персональных данных и организовать их обработку.

Чтобы легально работать с персональными данными сотрудников, клиентов и партнёров, в первую очередь нужно:



  • Определить цели обработки ПДн, состав обрабатываемых ПДн, а также конкретные действия, совершаемые с ПДн.
  • Подать уведомление об обработке ПДн в Роскомнадзор.
  • Подготовить необходимые документы.
  • Ознакомить работников с законодательством РФ в области ПДн и обучить их.
  • Назначить сотрудника, ответственного за организацию обработки ПДн.

Базовые документы для обработки персональных данных

Конкретный закрытый перечень законом не установлен — каждый предприниматель должен определить его самостоятельно. Нужно учесть специфику деятельности, наличие сотрудников и сайта, особенности процессов с ПДн и другие нюансы бизнеса.

Утверждённые формы есть только к отдельным документам, например, существует форма уведомления Роскомнадзора, акта об уничтожении ПДн. Заниматься разработкой документов лучше с привлечением юристов, кадровиков и внешних консультантов. Если процессы меняются или положения документов устаревают, их необходимо оперативно обновлять.

Уведомление в Роскомнадзор: кому и как сообщать об обработке

Политика оператора в отношении обработки персональных данных

Это основной документ, который описывает организацию работы с ПДн, учитывая особенности конкретной компании. Он должен находиться в открытом доступе для посетителей вашего офиса и информационных ресурсов, например, сайта или группы в соцсетях.

Политика разрабатывается в соответствии с положениями ст. 18.1 152-ФЗ и с учётом рекомендаций Роскомнадзора. В таблице мы рассказали, что обычно включают в документ.

Как разместить Политику оператора в отношении обработки ПДн



К документу нужно обеспечить неограниченный доступ, например, хранить в офисе в распечатанном виде, опубликовать в футере («подвале») сайта. На онлайн-версию обязательно ссылаться везде, где вы собираете данные. Например, если Политика опубликована на главной странице, а cookie-файлы собирают на каждой, то разместить документ тоже нужно на каждой странице. Иначе это будет нарушением закона. То же самое требование касается других ресурсов: чат-ботов в Телеграме и так далее.

Сотрудники должны быть ознакомлены с документом под роспись.

Пример размещения Политики оператора в отношении обработки персональных данных в футере платформы Альфа-Курс
Пример размещения Политики оператора в отношении обработки персональных данных в футере платформы Альфа-Курс

Согласие на обработку персональных данных

Этот документ подтверждает, что физическое лицо (субъект) даёт согласие предоставить оператору свои ПДн. Согласие — одно из самых распространённых оснований для обработки. Оно оформляется отдельно от остальной информации.

Согласие должно быть конкретным, информативным, однозначным, предметным и сознательным, поэтому в него нужно включить:



  • Цель обработки, виды собираемых данных, перечень действий с ПДн.
  • Информацию об операторе.
  • Срок действия.
  • Порядок отзыва согласия.

Положение об обработке и защите персональных данных

Предприниматель должен установить внутренний порядок хранения и использования персональных данных. Для этого принимают локальный нормативный акт: вот что он обычно в себя включает.

Что должно входить в Положение об обработке и защите персональных данных
Что должно входить в Положение об обработке и защите персональных данных

С документом нужно под роспись ознакомить сотрудников, которые непосредственно участвуют в обработке. В каждом бизнесе перечень сотрудников может отличаться, но основные категории мы перечислим, когда будем рассматривать следующий вид документа — приказы.  

Приказы

Это внутренние распорядительные документы руководителя компании, которые обязательны для исполнения.

Вот основные приказы в сфере ПДн, которые должны быть у оператора:


  • О назначении ответственного лица за организацию обработки ПДн. Закон не предъявляет требований к тому, кем должен быть ответственный. Как правило, им становится сам руководитель, юрист, сотрудник службы безопасности или другая организация. Приказ закрепляет обязанности ответственного: информировать сотрудников о положениях 152-ФЗ о персональных данных и внутренних документах; контролировать, чтобы оператор и его сотрудники соблюдали законодательство; организовать приём и обработку обращений от владельцев ПДн или их представителей.
  • Приказ об утверждении перечня лиц, допущенных к обработке ПДн. В него чаще всего входят бухгалтеры, кадровики, менеджеры по продажам, администратор сайта, IT-специалисты и другие сотрудники, тесно связанные с персональными данными.
  • Приказ об утверждении мест хранения материальных носителей ПДн.
  • Приказ об утверждении состава комиссии по уничтожению документов, содержащих персональные данные.
  • Приказы, позволяющие утвердить типовые формы документов, в которые предполагается внесение ПДн (согласие на обработку персональных данных, анкеты).
  • Приказы, которые утверждают формы акта об уничтожении ПДн.
  • Приказы о порядке проведения периодических аудитов.

Документы для обеспечения безопасности персональных данных

Закон также обязывает предпринимателя принимать меры по защите данных.

С защитой, например, связаны документы:


  • О моделировании угроз.
  • Об оценке соответствия средств защиты.
  • О регламентации учёта машинных носителей.
  • Об актах определения уровня защищённости информационной системы ПДн.
  • О порядке восстановления доступа.

Ответственность за отсутствие необходимых документов

Если документов нет или они неправильно оформлены, предприниматели могут не пройти проверку Роскомнадзора или нарушить требования закона (например, по получению согласия на обработку ПДн).

За различные нарушения в сфере обработки и защиты ПДн могут грозить серьёзные штрафы: от сотен тысяч до миллионов рублей.

Какие законы устанавливают требования к документации о персональных данных

Этот список неисчерпывающий, но мы перечислим основные законы и нормативные документы.

Теория и практика
Курсы
Вебинары
Статьи
Игры
О проекте
Подписка
Редполитика
Телеграм-каналы
Альфа: в курсе
Немалый бизнес
Сервисы Альфа-Банка
Может пригодиться
Техподдержка
Шаблоны документов
Словарик
Калькулятор НДФЛ
Калькулятор НДC
Сумма прописью онлайн
Калькулятор процентов
НаградаОбразовательный проект года Digital Leaders Awards 2024НаградаЛучшее решение в бизнес-образовании «Комплаенс 2024», НИУ ВШЭНаградаОбразовательная экосистема Digital Learning 2024НаградаОбразовательная платформа года «Эффективное образование» 2024НаградаПлатформа года «Выбор потребителей» 2024
© 2023-2025 ООО «Альфа Диджитал». ИНН 5074075200, КПП 507401001, ОГРН 1225000053508. 142001, Московская область, г. Подольск, ул. Рабочая, д. 4, этаж 2, помещение 114, кабинет 14/2-006. Телефон +7 (495) 974-25-15 (доб. 2450), (далее – «Альфа-Курс»).
«Альфа-Курс» является оператором по обработке персональных данных, информация об обработке персональных данных и сведения о реализуемых требованиях к защите персональных данных отражены в Политике в отношении обработки персональных данных.
«Альфа-Курс» использует файлы cookie с целью персонализации сервисов и повышения удобства пользования веб-сайтом. Если вы не хотите, чтобы ваши пользовательские данные обрабатывались, пожалуйста, ограничьте их использование в своём браузере.
«Альфа-Курс» является владельцем сайта (Платформа). «Альфа-Курс» не несёт ответственности за содержание авторских материалов, интервью и иных аналогичных материалов, размещённых на Платформе. Точка зрения «Альфа-Курс» может не совпадать с точкой зрения автора. «Альфа-Курс» не предоставляет никаких гарантий в связи с фактами, данными, результатами и другой информацией, указанной в материалах, размещённых на Платформе. Материалы, размещённые на Платформе, носят исключительно информационно-ознакомительный характер.
Изучить публичную оферту можно здесь, а условия покупки подарочных сертификатов — здесь.
Источник иллюстраций: storyset. Источники фотографий: unsplash, freepik.