В 2025 году проверка по ПДн уже не просит просто показать политику или дать согласие.
Роскомнадзор и прокуратура требуют полный комплект, а компании продолжают надеяться, что этого достаточно. Но именно отсутствие одного-двух внутренних документов сегодня чаще всего и становится причиной предписаний, штрафов и внеплановых визитов.
Чтобы не гадать и не спорить с проверяющими, держите короткий, но жесткий чек-лист.
1️⃣БАЗОВЫЕ ДОКУМЕНТЫ — то, без чего компания считается "неоформленной"
🔵 Политика в отношении ПДн
— должна быть опубликована и совпадать с реальной практикой
🔵 Уведомление в РКН
— включая обновление при изменении целей, состава данных, а также уведомление о ТГП
🔵 Согласия на обработку ПДн
— только конкретные и предметные. Универсальные формулировки в 2025 году = ничтожные
🔵 Договоры-поручения с подрядчиками
— если они имеют доступ к данным.
(Или соглашения «оператор–оператор», если вы не поручаете, а взаимодействуете)
2️⃣ ВНУТРЕННИЕ РЕГЛАМЕНТЫ — то, что проверяющие смотрят сразу после политики
🔹 Положение об обработке ПДн
— обязательный ЛНА для сотрудников
🔹 Перечень процессов обработки ПДн
— подробный: какие данные, где, кто, на основании чего, сроки хранения
🔵 Порядок доступа и распределение ролей
— кто имеет доступ, кто отвечает, кто администрирует
🔵 Акт оценки вреда (Приказ РКН № 178)
🔵 Регламент уничтожения данных
— с утвержденной формой акта об уничтожении
🔵 Журнал обращений субъектов и порядок их обработки
3️⃣ КАДРОВЫЙ КОМПЛЕКТ — то, что чаще всего забывают
🔵 Приказ о назначении ответственного за организацию обработки ПДн
— приказ об утверждении локальных актов
🔵 Инструкция ответственного
🔵 Согласия работников
— только для случаев, где нет других оснований (например, страховка)
🔵 Обязательства о неразглашении
4️⃣ ДОКУМЕНТЫ ПО ИТ-СИСТЕМАМ — то, что стало критически важным в 2025 году
🔵 Реестр ИСПДн
🔵 Акт определения уровня защищенности (на каждую систему!)
5️⃣ ПРИ ИНЦИДЕНТАХ — то, что вспоминают только после утечки
🔵 Регламент реагирования на инциденты и уведомления РКН
🔵 Акты об уничтожении ПДн + регламент процедуры
🔵 Отчеты о расследованиях и утечках
Именно этот список проверяющие запрашивают первым же запросом.
А уже потом идут по деталям:
⏺ сходится ли политика с реальностью,
⏺ совпадает ли уведомление с фактической обработкой,
⏺ корректны ли согласия,
⏺ выполняется ли уничтожение.
Если в чек-листе выше есть пробелы, проверка это обнаружит в первые 15 минут. Удивительно, но по этим документам эксперты часто сразу видят, в какую категорию риска попадает компания.
А еще напоминаем, что стартовало наше ежегодное исследование “Прайваси в российских компаниях - 2025”.
Ваши ответы помогут нарисовать реальную картину: бюджеты, риски, приоритеты процессов. Вместе мы получим инсайты, которые укрепят ПДн-комплаенс в России, помогут компаниям адаптироваться и минимизировать угрозы.
А для вас лично? После заполнения анкеты каждый участник получит в благодарность набор актуальных документов и шаблонов.
