РОСКОМ СЕРВИС – ПОРТАЛ ПО РЕГИСТРАЦИИ ЮРИДИЧЕСКИХ ЛИЦ И ИП В РОСКОМНАДЗОРЕ И ПОДГОТОВКЕ ДОКУМЕНТОВ ПО 152 ФЗ.
Обеспечиваем выполнение 152 ФЗ “О персональных данных”
8 (800) 301-76-89
info@roskom-service.ru
Наши эксперты вас проконсультируют

Шаблоны документов по персональным данным: почему нельзя скачивать из интернета

Дарья Кокорикова
Основатель сервиса
Дарья Кокорикова
Document

Если вы работаете с персональными данными (ПДн) сотрудников, клиентов или других физических лиц, вам нужны Политика обработки ПДн, Положение о защите данных, инструкции для сотрудников и иные документы. Первое, что приходит в голову, — скачать шаблон из интернета. Мы расскажем, почему так делать нельзя и что грозит оператору, который использует “универсальные” шаблоны документов по персональным данным, не соответствующие действительности.

Шаблонный подход — главная ошибка

ФЗ от 27.07.2006 №152-ФЗ требует, чтобы документы по защите ПДн отражали реальную деятельность оператора. В зависимости от типа документа в нем прописывается:

  • категории обрабатываемых данных (паспорта, телефоны, биометрия и т. д.),
  • цели обработки (маркетинг, договорные отношения, кадровый учет),
  • способы хранения и защиты (электронные базы, бумажные носители),
  • перечень субъектов ПДн (клиенты, сотрудники, контрагенты);
  • другая информация по работе с ПДн.

Универсальных шаблонов документов по защите персональных данных не существует — у интернет-магазина, медицинской клиники и строительной компании разные процессы. Если скопировать документы, при проверке Роскомнадзор выявит несоответствия, а это грозит предписаниями и штрафами.

Как понять, какие документы нужны именно вам

Минимальный набор включает:

  1. Политика обработки ПДн (публикуется на сайте).
  2. Положения: о защите ПДн, об обработке без средств автоматизации, об обезличивании данных, об обработке в информационных системах (ИС), и т.д.
  3. Инструкции для сотрудников (как собирать, хранить и уничтожать данные).
  4. Согласия на обработку (если требуется по ст. 6 ФЗ №152-ФЗ).
  5. Приказы: о назначении ответственного, о правилах рассмотрения запросов субъектов ПДн, об утверждении мест хранения, и пр.
  6. Документы о доступах: перечень сотрудников, допущенных к работе с ПДн, соглашения о неразглашении, перечень обрабатываемых данных.
  7. Документы по безопасности и защите ПДн: акт классификации ИС, приказ о вводе ИС в эксплуатацию, перечень используемых ИС, модель угроз безопасности ПДн, положение о комиссии по защите данных и приказ о ее создании, план мероприятий по безопасности; инструкции по антивирусному контролю, парольной защите, учету и хранению материальных носителей, порядку их уничтожения, восстановлению и резервированию ПДн.
  8. Журналы: учета мероприятий по контролю защиты данных, обращений субъекта, съемных и машинных носителей; инструктажа сотрудников по информационной безопасности, тестирования средств защиты, ознакомления персонала с Политикой обработки и законодательством о ПДн, пропуска лиц на территорию.

Но точный перечень зависит количества сотрудников, вида деятельности и ряда других факторов. Например, если вы передаете ПДн третьим лицам, нужно правильно оформленное согласие на передачу от каждого работника.

Реестр операторов — зеркало ваших документов

По закону операторы (кроме исключений, предусмотренных ст. 22 ФЗ №152-ФЗ) вносятся в реестр Роскомнадзора. Там указываются:

  • регистрационный номер;
  • дата регистрации оператора в реестре;
  • наименование, ИНН, адрес оператора;
  • цели обработки ПДн;
  • правовое основание обработки;
  • описание мер защиты ПДн;
  • ФИО, номер телефона, электронная почта ответственного за обработку;
  • дата начала обработки ПДн;
  • условие прекращения работы с данными;
  • категории обрабатываемых данных;
  • категории субъектов ПДн: работники, клиенты и пр.;
  • перечень действий с ПДн: сбор, систематизация, хранение и т.д.;
  • сведения о местонахождении баз данных (только на территории РФ).

При проверке ведомство сравнит данные из реестра с вашими внутренними документами. Если Политика на сайте говорит одно, а в реестре — другое, как минимум выдадут предписание об устранении нарушений, как максимум — оштрафуют.

Пример, почему использовать шаблоны документов по персональным данным — плохая идея:

Компания рассматривает соискателей на вакантные должности. HR-специалист решил просто скачать шаблон согласия на обработку из интернета. Там указано, что организация собирает ПДн для кадрового документооборота, но HR не учел, что это неподходящая цель и нужно указать “Подбор персонала на вакантные должности”. В итоге оператор вводит клиента в заблуждение, что недопустимо: трудовой договор еще не заключен, кадровый документооборот в отношении соискателей вестись не может, а ПДн нужны организации только для рассмотрения анкет. Это нарушение попадает под действие ч.1 ст. 13.11 КоАП РФ — обработка данных, несовместимая с целями сбора. Организацию оштрафовали на 300 000 рублей.

Документы должны работать, а не пылиться в папке

Даже идеально составленные документы бесполезны, если их не внедрить в работу.

Например:

  1. Сотрудники должны знать, как обращаться с данными клиентов.
  2. Журналы учета (доступов, утечек) — регулярно заполняться.
  3. Политика и другие документы — обновляться при изменении процессов.

За работу с ПДн назначается ответственный. Им может быть только один человек: например, директор, юрист, специалист отдела кадров. Если объем работы большой и есть вероятность, что сотрудник не справится, закажите комплексное сопровождение в “Консалтинг Онлайн”. Наши юристы возьмут оформление всех документов на себя и вы будете уверены, что не получите претензии со стороны Роскомнадзора.

Если в документах будут ошибки, компания рискует получить штраф. Например, отсутствие согласия на обработку в случаях, когда оно требуется, чревато штрафом уже в 700 000 рублей. Если нет каких-либо документов, регламентирующих защиту ПДн, или они составлены неправильно и в компании произошла утечка, оштрафуют уже на сумму до 15 млн рублей в зависимости от количества идентификаторов, а при повторном нарушении — до 500 млн рублей или 3% совокупного дохода организации за год.

Важно! Штрафы и предписания от Роскомнадзора — не редкость. Компании-нарушители регулярно привлекают к ответственности за несоответствие документов, отсутствие согласий и утечки из-за плохой защиты.

Заключение

Не берите шаблоны документов по персональным данным из интернета — они не учитывают специфику вашей деятельности. Если хотите работать спокойно, не боясь штрафов, проведите аудит, а разработку документов поручите юристам, которые разбираются в ФЗ №152-ФЗ. Также мы рекомендуем обучить всех сотрудников, допущенных к ПДн, и следить за всеми обновлениями законодательства, своевременно реагировать на них.

Самостоятельно организовать все правильно довольно сложно — слишком много нюансов, лучше обратитесь к специалистам. Они подготовят документы, помогут с регистрацией в реестре и минимизируют риски штрафов.

Задайте вопрос

В ближайшее время свяжется специалист для уточнения всех деталей

Обязательно отметьте поля ниже *