Автор: Олеся Седова — предприниматель, независимый финансовый советник, основатель Финансового клуба
Если Ваша компания собирает, хранит или использует персональные данные клиентов, сотрудников, подрядчиков или пользователей сайта — Вы уже оператор персональных данных.
А значит, по ФЗ-152 «О персональных данных» недостаточно просто «повесить политику на сайт».
Нужна понятная система обработки ПДн, которая подтверждается документами. И именно документы чаще всего спрашивают при проверках Роскомнадзора.
Ниже — понятный разбор: что должно быть на сайте, что внутри компании и где чаще всего бизнес ошибается.
Ключевые слова: ФЗ-152, персональные данные, оператор персональных данных, Роскомнадзор, политика обработки персональных данных, согласие на обработку, уведомление в Роскомнадзор, cookie, трансграничная передача, CRM, защита персональных данных.
Почему документы по ФЗ-152 реально важны
Главная ошибка предпринимателей — думать, что документы нужны «для галочки».
На практике документы — это доказательство, что оператор:
- законно собирает персональные данные;
- понимает цели и основания обработки;
- соблюдает минимизацию (не собирает лишнего);
- обеспечивает защиту ПДн;
- контролирует доступы и подрядчиков;
- готов к запросам пользователей и проверкам.
Роскомнадзор смотрит не только «что написано», но и как Вы реально работаете: сайт, формы, CRM, кадровые документы, мессенджеры, облака, подрядчики.
Полный перечень обязательных документов по ФЗ-152: 3 уровня
Чтобы было понятно и удобно, делю документы на 3 слоя:
- Публичные (на сайте)
- Организационные (по компании)
- Внутренние регламенты и контроль (внутри процессов)
1) Публичные документы на сайте
Это то, что видят клиент, пользователь и проверяющий. И чаще всего именно здесь «ловят» бизнес.
1. Политика обработки персональных данных
В политике должно быть отражено:
- кто оператор (реквизиты/контакты);
- какие персональные данные собираете;
- цель обработки (заявка, консультация, договор, рассылка и т.д.);
- основания обработки;
- кому передаёте данные;
- сроки хранения;
- меры защиты.
⚠️ Важно: политика должна соответствовать Вашим реальным формам на сайте, а не быть универсальным шаблоном.
2. Согласие на обработку персональных данных
Согласие должно быть:
- привязано к конкретной цели;
- доступно до отправки формы;
- подтверждаемым (чекбокс + фиксация факта согласия).
Если собираете «чувствительные» данные (например, здоровье) — может потребоваться особый формат согласия.
3. Уведомление о cookie и трекинге
Если подключены:
- аналитика,
- пиксели,
- коллтрекинг,
- виджеты,
нужно корректно информировать пользователя, что идёт сбор данных через cookie/трекеры.
2) Организационные документы внутри компании
Эти документы показывают, что у Вас есть управление и ответственность, а не «каждый делает как хочет».
4. Приказ о назначении ответственного за обработку ПДн
Назначается человек, который отвечает за соблюдение ФЗ-152 и организацию процессов (внутри команды и с подрядчиками).
5. Уведомление в Роскомнадзор об обработке персональных данных
Перед началом обработки персональных данных оператор подаёт уведомление и попадает в реестр.
⚠️ Если меняются цели обработки, категории данных, контактные сведения, адреса хранения — это надо актуализировать.
6. Уведомление о трансграничной передаче (если применимо)
Если используете зарубежные сервисы или происходит передача данных за пределы РФ — может потребоваться отдельный блок по трансграничной передаче (здесь важны детали: какие сервисы, что за данные, куда уходят).
3) Внутренние регламенты и контроль (то, что чаще всего отсутствует)
У малого и среднего бизнеса именно этот слой часто «пустой», хотя при проверках он критически важен.
7. Положение об обработке и защите персональных данных
Внутренний базовый документ: кто, как и по каким правилам работает с ПДн.
8. Модель угроз и меры защиты (в зависимости от масштаба)
ФЗ-152 требует принимать организационные и технические меры защиты. Это должно быть зафиксировано документально: что именно сделано, кто отвечает, как контролируется.
9. Регламенты доступа и разграничение прав
Нужно закрепить:
- кто имеет доступ к данным;
- на каком основании;
- как выдаются и отзываются права;
- как ведётся контроль.
10. Журналы и учётные формы
Например:
- журнал обращений субъектов персональных данных;
- журнал инцидентов;
- учёт выдачи доступов;
- учёт носителей/документов (если есть бумага).
11. Договоры и поручения на обработку ПДн с подрядчиками
Если данные обрабатывают:
CRM, коллтрекинг, облачные сервисы, аутсорс-бухгалтерия, маркетинговое агентство — должны быть юридические основания и корректные условия обработки.
12. Порядок реагирования на запросы субъектов ПДн
Человек имеет право узнать, какие данные Вы храните и что с ними делаете.
У Вас должен быть прописан порядок: как отвечаете и в какие сроки.
Кому это точно нужно
Если у Вас есть хотя бы один пункт — Вы почти точно оператор ПДн:
- сайт с формами (заявка, подписка, регистрация);
- сотрудники (кадровые анкеты, личные дела);
- клиентская база (CRM, таблицы, рассылки);
- мессенджеры и облака в работе;
- подрядчики, которым Вы передаёте персональные данные.
Частые ошибки, из-за которых приходят претензии
Проверьте себя:
- политика не соответствует сайту и формам;
- согласие «общее», без цели;
- нет приказа о назначении ответственного;
- уведомление в Роскомнадзор не подано или устарело;
- нет документов с подрядчиками (поручение обработки);
- «не замечены» облака и мессенджеры;
- нет регламентов доступа и журналов.
Мини-чек-лист: что сделать прямо сейчас
- Проверьте, где Вы собираете персональные данные (сайт, CRM, сотрудники).
- Приведите в порядок сайт: политика + согласия + cookie-уведомление.
- Проверьте уведомление в Роскомнадзор: подано ли и актуально ли.
- Соберите внутренние регламенты и документы по доступам/подрядчикам.
- Сверьте «как написано» и «как реально работает» — это ключевой риск.
💙 Почему я вообще об этом пишу
Потому что ФЗ-152 — это не «страшилка», а реальная зона риска, где штрафы и предписания чаще прилетают не за злой умысел, а за отсутствие системы.
Такие темы — про финансы, безопасность бизнеса и спокойствие собственника — мы регулярно разбираем в Финансовом клубе: простым языком, с примерами, чек-листами и понятными шагами.
👉 Присоединиться: https://olesyasedova.ru/finclub2024?utm_source=yandexOC