Закон о персональных данных — сегодня это одна из ключевых зон юридических рисков для бизнеса. Практически любая компания так или иначе обрабатывает персональные данные: сотрудников, клиентов, подрядчиков, посетителей сайта. При этом требования законодательства часто недооцениваются — ровно до момента первой проверки или жалобы.
В этой экспертной статье — подробный разбор юриста Экспертного центра МЕДИАТОР:
· что именно требует Федеральный закон №152-ФЗ;
· какие документы по персональным данным в обязательном порядке должны быть в организации;
· как выглядит полный и юридически безопасный пакет документов;
· какие ошибки чаще всего находят проверяющие;
· какова ответственность за нарушения;
· как выстроить реально работающую систему защиты данных;
· когда нужно заказать профессиональную разработку документов.
Ориентируемся на актуальные требования главного контролирующего органа — Роскомнадзора.
Что такое персональные данные по 152-ФЗ
Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных).
К ним относятся:
· ФИО;
· номер телефона;
· адрес электронной почты;
· паспортные данные;
· СНИЛС;
· ИНН;
· адрес проживания;
· фотографии и видеозаписи;
· IP-адрес;
· файлы cookies;
· данные сотрудников (кадровая документация);
· информация о клиентах;
· записи телефонных звонков;
· анкеты и формы, заполняемые на сайте.
Фактически любой бизнес сегодня является оператором персональных данных — просто потому что взаимодействует с людьми.
Кто обязан иметь пакет документов по персональным данным
Требования 152-ФЗ распространяются на:
· ООО и АО (любые юридические лица);
· индивидуальных предпринимателей (ИП);
· онлайн-школы и образовательные проекты;
· интернет-магазины;
· медицинские и образовательные организации;
· IT-компании и разработчиков;
· маркетинговые и рекламные агентства;
· сервисные компании;
· HR-агентства и кадровые службы;
· производственные предприятия.
Важный момент: даже если у вас всего один сотрудник или просто форма обратной связи на сайте — пакет документов обязателен.
Что проверяет Роскомнадзор
Юридическая практика показывает: инспекторы анализируют не только наличие документов «для галочки», но и реальное соблюдение установленных процедур.
При проверке оцениваются:
· локальные нормативные акты компании;
· политика обработки персональных данных;
· согласия субъектов (клиентов, сотрудников);
· порядок хранения данных;
· применяемые меры защиты информации;
· договоры с лицами, которым поручена обработка;
· уведомление об обработке ПДн, направленное в Роскомнадзор;
· обучение сотрудников работе с данными;
· фактические бизнес-процессы.
Отсутствие любого из этих элементов может стать основанием для предписания или штрафа.
Полный пакет документов по персональным данным по 152-ФЗ
С точки зрения юридической методологии, комплект документов должен закрывать все этапы обработки персональных данных — от сбора до уничтожения.
Основные организационно-распорядительные документы:
1. Политика обработки персональных данных (публичный документ).
2. Положение о защите персональных данных (внутренний документ).
3. Приказ о назначении лица, ответственного за организацию обработки ПДн.
4. Перечень обрабатываемых персональных данных.
5. Реестр (описание) процессов обработки.
6. Модель угроз безопасности персональных данных (для систем защиты).
7. Регламент доступа к персональным данным.
8. Инструкция для сотрудников, работающих с ПДн.
9. Журнал учета обращений субъектов персональных данных.
10. Порядок реагирования на инциденты (утечки, нарушения).
11. Положение об уничтожении персональных данных.
12. Порядок хранения материальных носителей.
13. Регламент передачи персональных данных третьим лицам.
Документы для кадрового блока:
· согласия работников на обработку персональных данных;
· уведомления работников о передаче данных (например, в Фонд пенсионного страхования);
· положение о защите персональных данных работников (часто выделяется отдельно).
Документы для клиентов и пользователей сайта:
· формы согласий на обработку (для разных целей);
· пользовательские соглашения;
· политика конфиденциальности сайта;
· cookie-политика (информация об использовании файлов cookies).
Документы для договорной работы:
· соглашения о поручении обработки персональных данных (если привлекаете сторонних лиц);
· соглашения о неразглашении конфиденциальной информации;
· условия передачи данных в договорах с контрагентами.
Обязательное уведомление в Роскомнадзор
В большинстве случаев оператор обязан направить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.
При подготовке уведомления юрист оценивает:
· категории обрабатываемых данных;
· цели обработки;
· используемые информационные системы;
· наличие трансграничной передачи;
· правовые основания обработки.
Неподача уведомления в РКН — одно из самых распространенных и легко выявляемых нарушений.
Какие штрафы предусмотрены за нарушения
Ответственность за нарушения в сфере персональных данных может быть весьма серьезной:
· штрафы за отсутствие политики обработки;
· штрафы за незаконную обработку ПДн;
· оборотные штрафы за утечки персональных данных;
· ответственность за отсутствие согласий субъектов;
· штрафы за непредоставление субъекту информации о его данных;
· предписания об устранении нарушений с последующими проверками.
Кроме того, в последнее время активно растет практика внеплановых проверок по жалобам самих пользователей и клиентов.
Типичные ошибки бизнеса
На практике юристы регулярно сталкиваются с одними и теми же проблемами у компаний:
· политика конфиденциальности скачана из интернета и не соответствует реальной деятельности;
· формальные документы есть, но они не внедрены в реальные процессы;
· отсутствуют внутренние регламенты работы с данными;
· на сайте нет форм согласий или они оформлены неправильно;
· не назначен ответственный за обработку ПДн;
· не ведется журнал учета обращений;
· персональные данные хранятся бессистемно и бесконтрольно;
· сотрудники не обучены правилам работы с данными.
Такие ошибки легко выявляются при любой проверке Роскомнадзора.
Особые риски для сайтов и онлайн-сервисов
Если у компании есть сайт (а он есть почти у всех), почти всегда требуется:
· размещение политики конфиденциальности в открытом доступе;
· наличие баннера или всплывающего окна о сборе cookies;
· получение явного согласия на обработку данных (активное действие пользователя);
· отдельное согласие на получение рекламных и информационных рассылок;
· защита форм обратной связи и сбора заявок;
· внутренний регламент обработки заявок с сайта.
Отсутствие этих элементов — частая причина жалоб и последующих проверок.
Как юристы выстраивают систему защиты персональных данных
Комплексный профессиональный подход к защите ПДн включает несколько этапов:
1. Аудит текущих процессов обработки данных в компании.
2. Картирование потоков персональных данных (откуда берутся, где хранятся, кому передаются).
3. Анализ рисков и оценка соответствия требованиям 152-ФЗ.
4. Разработка полного пакета документов под конкретную компанию.
5. Внедрение процедур и регламентов в реальную деятельность.
6. Настройка форм согласий на сайте и в документах.
7. Подготовка и направление уведомления в Роскомнадзор.
8. Обучение сотрудников правилам работы с ПДн.
9. Подготовка компании к прохождению проверок РКН.
Такой подход формирует полноценную доказательственную базу соблюдения закона.
Почему шаблоны из интернета не работают
Очень популярный запрос — «документы по персональным данным скачать бесплатно». Но типовые шаблоны имеют серьезные недостатки:
· они не учитывают специфику ваших реальных бизнес-процессов;
· не соответствуют актуальным требованиям по защите информации;
· не покрывают специфические риски вашей компании;
· не выдерживают реальных проверок Роскомнадзора;
· не учитывают особенности вашей IT-инфраструктуры.
Документы должны быть адаптированы под конкретную компанию — универсальных решений здесь не существует.
Когда нужно срочно оформлять пакет документов
Сигналы, указывающие на необходимость срочного оформления документов по ПДн:
· запуск нового сайта или онлайн-сервиса;
· активный рост клиентской базы;
· внедрение CRM-системы или нового ПО;
· проверки со стороны контрагентов (например, для тендеров);
· подготовка к привлечению инвестиций;
· участие в госзакупках или тендерах;
· активная обработка данных сотрудников (найм, увольнение);
· выход на международные рынки;
· поступление жалоб от пользователей.
Заказать пакет документов по персональным данным по 152-ФЗ
Профессиональная разработка документов позволяет не просто «иметь бумаги», а создать реально работающую систему соблюдения законодательства о персональных данных.
На сайте Экспертного центра МЕДИАТОР можно заказать:
· полный пакет документов по 152-ФЗ под ключ;
· аудит текущей системы обработки персональных данных;
· разработку политики конфиденциальности и пользовательских соглашений;
· документы для сайта и онлайн-сервисов;
· кадровые документы по защите ПДн;
· юридическое сопровождение проверок Роскомнадзора;
· адаптацию документации под конкретную отрасль;
· настройку процессов обработки данных.
👉 Подробнее — https://mediator-pravo.ru/
Вывод юриста
Закон о персональных данных — это не формальность, а обязательная система управления информацией в компании. Основной риск заключается не в самой проверке, а в отсутствии системного подхода и использовании формальных шаблонов.
Грамотно разработанный пакет документов, реальное внедрение процедур и регулярный контроль позволяют свести к минимуму риски штрафов и надежно защитить бизнес от претензий.
Если вы хотите быть уверены в полном соответствии требованиям законодательства и спать спокойно — оформляйте пакет документов по персональным данным профессионально и заранее.