■ Документация · ФЗ-152

Структура основных документов
по обработке персональных данных

Состав обязательных разделов, реквизитов и правовые основания для каждого документа оператора ПДн

📋

На сайте = только то, что видит субъект ПДн  ·  Внутри компании = всё, что видит проверяющий РКН

🌐

Политика в отношении обработки персональных данных

Публичный документ для субъектов ПДн. Обязателен к размещению на сайте организации в свободном доступе

Ч. 2 ст. 18.1 ФЗ-152 Публикуется на сайте Обязателен
Обязательные разделы (6 блоков по рекомендациям РКН + ст. 18.1)
1
Общие положения обязателен Назначение документа, кто является оператором, на кого распространяется Политика, применяемые нормативно-правовые акты.
2
Цели обработки персональных данных обязателен Конкретные, заранее определённые цели (ст. 5 ФЗ-152): кадровый учёт, исполнение договоров, обработка обращений, маркетинг и т.д. Для каждой цели — своя строка.
3
Правовые основания обработки обязателен Ссылки на нормы права: ФЗ-152, ТК РФ, ГК РФ, согласие субъекта, договор, законный интерес. Отдельно — основания для специальных и биометрических ПДн.
4
Перечень обрабатываемых ПДн и категории субъектов обязателен Какие данные обрабатываются (ФИО, контакты, паспортные данные и т.д.) и кто является субъектами (сотрудники, клиенты, посетители сайта, контрагенты).
5
Порядок и условия обработки, сроки хранения обязателен Способы обработки (автоматизированная/неавтоматизированная), срок хранения для каждой категории, порядок уничтожения, условия передачи третьим лицам и трансграничной передачи.
6
Права субъектов ПДн и порядок их реализации обязателен Как субъект может получить доступ к своим данным, запросить исправление или удаление, отозвать согласие. Контактные данные ответственного лица и форма обращения.
+
Раздел об обезличивании (рекомендован РКН) рекомендован Общая информация о порядке обезличивания данных без раскрытия технических деталей.
+
Раздел о cookie и сторонних сервисах рекомендован Описание используемых cookie-файлов, аналитических сервисов, пикселей. Порядок отказа от cookie.
ℹ️
Синхронность обязательна: содержание Политики на сайте должно точно совпадать со сведениями, поданными в уведомлении в РКН (иначе — индикатор риска № 3 → внеплановая проверка).
⚠️
Нельзя включать в Политику: само согласие на обработку ПДн (с 01.09.2025 — только отдельный документ), перечень допущенных лиц, модель угроз и другие служебные документы.
📨

Уведомление об обработке персональных данных (в РКН)

Подаётся до начала обработки ПДн. Форма утверждена приказом РКН № 180 от 28.10.2022

Ст. 22 ФЗ-152 Приказ РКН № 180 Штраф за неподачу — до 300 тыс. руб.
Состав сведений уведомления (ч. 3 и 3.1 ст. 22 ФЗ-152)
1
Реквизиты оператора обязателен Полное наименование (ФИО для ИП/физлица), юридический и фактический адрес, ИНН, ОГРН/ОГРНИП.
2
Цели обработки ПДн обязателен Для каждой цели — отдельная строка. Можно выбрать из справочника РКН или указать «иные» с ручным вводом. Типичные цели: кадровый учёт, бухгалтерский учёт, оказание услуг клиентам.
3
Описание мер обеспечения безопасности обязателен Организационные и технические меры согласно ст. 18.1 и ст. 19 ФЗ-152. Сведения о наличии криптографических (шифровальных) средств и их наименование (если применяются).
4
Сведения об ответственном лице обязателен ФИО, должность и контактные данные лица, ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152).
5
Местонахождение баз данных обязателен Адрес сервера (ЦОД), где хранятся ПДн граждан РФ. Если арендуется ЦОД — адрес площадки арендодателя. Должен быть на территории РФ (ст. 18 ч. 5 ФЗ-152).
6
Трансграничная передача (если есть) при наличии Страны, куда передаются ПДн, и правовые основания передачи согласно ст. 12 ФЗ-152.

Способы подачи

  • Онлайн на pd.rkn.gov.ru (через Госуслуги или УКЭП)
  • На бумаге — заказным письмом в территориальный орган РКН
  • Изменения — до 15-го числа месяца, следующего за месяцем изменений

Кому уведомление НЕ нужно (ч. 2 ст. 22)

  • Обработка только вручную (без средств автоматизации)
  • В целях защиты безопасности государства и общественного порядка
  • В целях защиты транспортной безопасности
⚠️
С 30.05.2025 — новые штрафы (ФЗ-420): за неподачу уведомления — физлица: 5–10 тыс. руб., должностные лица: 30–50 тыс. руб., юрлица и ИП: 100–300 тыс. руб. Обработку начинать можно с даты подачи, не дожидаясь внесения в реестр (30 дней).
📁

Приказы и локальные нормативные акты оператора

Внутренние организационные документы. Не публикуются, но обязательно предъявляются при проверке РКН

Ст. 18.1 ФЗ-152 Только внутри компании Для проверяющего РКН
Обязательный комплект внутренних актов
1
Приказ о назначении ответственного за организацию обработки ПДн обязателен Содержит: ФИО и должность назначаемого лица, перечень его обязанностей и полномочий (ст. 22.1 ФЗ-152). Сведения об ответственном дублируются в уведомлении в РКН.
2
Положение (инструкция) о порядке обработки ПДн обязателен Детальный внутренний регламент: правила сбора, хранения, использования, передачи, уничтожения ПДн. Порядок реагирования на обращения субъектов. Ответственность сотрудников.
3
Приказ (регламент) о допуске к ПДн и перечень допущенных лиц обязателен Список должностей и конкретных сотрудников, имеющих право доступа к ПДн, с указанием объёма допуска. Основание — принцип минимизации и ограничения доступа.
4
Приказ о порядке хранения и уничтожения носителей ПДн обязателен Регламентирует сроки хранения, правила физического уничтожения бумажных носителей и удаления электронных данных. Акты об уничтожении с подписями комиссии.
5
Приказ о реагировании на инциденты / утечки ПДн обязателен Порядок уведомления РКН (24 ч — первичное, 72 ч — итоговый отчёт). Внутреннее расследование, журнал инцидентов, ответственные лица и алгоритм действий.
6
Акт классификации ИСПДн и перечень информационных систем ПДн обязателен Классификация информационных систем по уровням защищённости (ПП РФ № 1119). Перечень всех систем, в которых обрабатываются ПДн (1С, CRM, Excel-таблицы, сайт, почтовый сервер).
7
Модель угроз безопасности ПДн обязателен Документ технической защиты: актуальные угрозы для каждой ИСПДн, нарушитель, возможные каналы утечки, меры нейтрализации (ст. 19 ФЗ-152, методика ФСТЭК).
ℹ️
Важно: все эти документы обязательно предъявляются при проверке РКН, но на сайте публиковаться не должны. Публикация перечня допущенных лиц или модели угроз создаёт риск утечки и является нарушением.
🔒

Соглашение о конфиденциальности (NDA / Обязательство о неразглашении)

Подписывается каждым сотрудником и обработчиком, имеющим доступ к персональным данным

Ст. 7 ФЗ-152 Ст. 88 ТК РФ Внутренний документ
Типовая структура NDA / обязательства о неразглашении
1
Стороны и предмет обязателен ФИО и должность сотрудника / наименование контрагента. Определение «конфиденциальной информации» и ПДн применительно к деятельности оператора.
2
Объём предоставляемого доступа обязателен Конкретный перечень ПДн и систем, к которым сотрудник допускается. Недопустимость избыточного доступа (принцип минимизации).
3
Обязательства стороны, получающей доступ обязателен Не разглашать ПДн третьим лицам. Не копировать, не передавать без разрешения. Сообщать об инцидентах ответственному лицу. Уничтожать данные по завершении работы.
4
Ответственность за нарушение обязателен Дисциплинарная, материальная, гражданско-правовая и уголовная ответственность (ст. 137, 272.1 УК РФ). Ссылка на ст. 13.11 КоАП для организации.
5
Срок действия обязательства обязателен Обязательство действует в том числе после увольнения / расторжения договора. Рекомендуемый срок — не менее 3–5 лет после прекращения доступа к ПДн.
6
Подтверждение ознакомления обязателен Подпись сотрудника с датой. Для обработчиков — подпись уполномоченного представителя организации. Документ хранится у оператора.
Лучшая практика: NDA подписывается при приёме на работу одновременно с трудовым договором, а также перезаключается при изменении должности или расширении доступа к ПДн. Для подрядчиков — включается в договор поручения обработки.
🗄️

Внутренние служебные документы и журналы учёта

Оперативная документация, которая ведётся постоянно и предъявляется при любой проверке РКН

Ст. 18.1, 21, 22 ФЗ-152 Строго внутри компании Хранятся у оператора
Обязательные журналы и учётные документы
Документ Что фиксируется Статус
Журнал учёта обращений субъектов ПДн Дата обращения, ФИО субъекта, суть запроса (доступ, исправление, удаление, отзыв согласия), дата ответа и принятое решение Обязателен
Журнал (реестр) согласий на обработку ПДн Реквизиты полученных согласий: кто, когда, на что дал согласие, не отозвано ли. Обязанность доказать факт согласия лежит на операторе (ч. 3 ст. 9) Обязателен
Журнал инцидентов и утечек ПДн Дата, описание инцидента, затронутые данные, объём, принятые меры, результаты расследования, уведомления в РКН Обязателен
Акты об уничтожении ПДн Дата уничтожения, перечень уничтоженных данных/носителей, метод уничтожения, подписи членов комиссии Обязателен
Журнал учёта проверок (внутренний аудит) Периодические внутренние проверки соответствия обработки ПДн требованиям Политики и закона. Рекомендуется — раз в год Рекомендован
Листы ознакомления сотрудников с документами по ПДн Подтверждение того, что каждый сотрудник ознакомлен с Политикой, инструкцией и NDA (подпись + дата). Доказательство выполнения ст. 18.1 ФЗ-152 Обязателен
Договор поручения обработки (с обработчиком) Перечень ПДн, действия обработчика, обязанность по конфиденциальности, требования к безопасности, обязанность уведомить оператора об инцидентах (ч. 3 ст. 6 ФЗ-152) При наличии обработчика
🚫
Запрещено публиковать на сайте: журналы обращений и инцидентов, перечень допущенных лиц, акты уничтожения, модель угроз. Это чувствительная служебная информация, публикация которой создаёт риск утечки.
ℹ️
Проверяющий РКН сопоставляет содержание этих журналов с реальными процессами. Отсутствие записей об ответах на обращения субъектов трактуется как нарушение порядка обработки ПДн.