Суббота, 14 февраля, 2026
Последние:

ECOMHUB — о E-Commerce, омниканальном ритейле, логистике, технологиях, соцсетях

Портал об онлайн-торговле, сервисах для e-Commerce, ритейле, логистике, технологиях, соцсетях. Нам важно, как знать как Сеть меняет жизнь людей и обсудить эти изменения с читателем.

заставка
Новости 

Какие документы должны быть у компании по обработке персональных данных

Задорожный Сергей 0 Comments , , , , , , , , ,

Работа с персональными данными: какие документы защитят компанию от миллионных штрафов

Многие слышали об административных штрафах — они предусмотрены законодательством в различных сферах. Однако особую актуальность в области информационной безопасности они приобрели в связи с регулированием обработки персональных данных.

 

Александр Хонин, директор Центра консалтинга Angara Security

С 30 мая 2025 года для всех организаций, индивидуальных предпринимателей и самозанятых граждан, являющихся операторами персональных данных, значительно увеличивается штраф за отсутствие поданного уведомления об обработке ПДн в Роскомнадзор.

Большинство компаний являются операторами ПДн, однако далеко не все осознают это. Согласно ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», уведомлять регулятора о начале обработки ПДн обязаны организации, собирающие как минимум следующие данные:

— сотрудников и кандидатов на работу;

— контрагентов;

— членов общественных объединений и религиозных организаций;

— посетителей для однократного пропуска на территорию компании;

— фамилию, имя и отчество любого гражданина, полученные организацией.

Для корректной организации работы с персональными данными оператор ПДн должен выстроить «правильные» процессы обработки и защиты ПДн. И одной из задач здесь является подготовка пакета документов, регламентирующих вышеуказанные процессы. Конечно, эту работу можно отнести к «бумажной безопасности», однако без этих документов компания не сможет привести обработку ПДн в порядок. И как следствие, рискует получить штрафы за нарушения порядка обработки ПДн в случае проверок регуляторов или инцидентов, повлекших утечку данных.

 

Важные документы

Обязательными документами, которыми должны руководствоваться операторы ПДн, являются:

— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

— Трудовой кодекс РФ;

— Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (в действующей редакции);

— Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»» (в действующей редакции);

— Приказы Роскомнадзора в области обработки ПДн;

— Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

— Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах с использованием средств криптографической защиты информации».

 

Эти документы определяют основные правила работы с ПДн, а также требования безопасности ПДн. Соответственно, каждой организации необходимо разработать в том числе минимальный достаточный комплект документации, который покрывает требования законодательства РФ, а именно:

— Документы, регламентирующие процессы обработки ПДн;

— Документы, устанавливающие требования по безопасности ПДн.

Таким образом, минимальный достаточный комплект документов, может быть следующим:

  • Политика обработки ПДн
  • Положение об обработке ПДн
  • Положение об обеспечении безопасности ПДн в ИСПДн;
  • Перечень обрабатываемых ПДн;
  • Инструкция о порядке обращения с носителями ПДн;
  • Типовые формы документов, содержащих ПДн;
  • Документы, характер информации в которых предполагает обработку ПДн;
  • Соглашение о конфиденциальности ПДн со сторонними организациями;
  • Инструкция по организации парольной защиты в ИС;
  • Инструкция по организации антивирусной защиты;
  • Порядок оценки вреда субъектам ПДн;
  • Порядок уничтожения ПДн;
  • Порядок реагирования на инциденты ИБ;
  • Политика cookies;
  • Порядок работы с обращениями;
  • Акт о выполнении оценки вреда для субъектов ПДн;
  • Приказ о введении в действие документов по организации обработки ПДн;
  • Приказ о вводе СЗПДн в эксплуатацию;
  • Приказ об организации работ по обработке ПДн;
  • Уведомление РКН о трансграничной передаче ПДн;
  • Уведомление РКН об обработке ПДн;
  • Модель угроз безопасности ПДн;
  • Акт определения уровня защищенности ПДн;
  • Техническое задание на создание системы защиты ПДн.

 

Приведенный выше перечень документов — это минимум, который должен быть у оператора ПДн. Список может быть расширен в зависимости от отрасли, специфики обработки данных и других факторов. При этом наличие полного пакета документов, которые могут казаться лишь «бумажной формальностью», способно существенно снизить размер штрафов — как уже упоминалось в начале статьи.

Вам также понравится

СДЭК утечка_

СДЭК допустил ещё одну массовую утечку данных

Задорожный Сергей 0
IKEA second hand

Ikea запускает С2С классифайд подержанного. Только икеевского, но с AI

Задорожный Сергей 0
russian Ecommerce 2022_

Российский e-commerce в первом квартале 2022 по мнению Data Insight. Темпы роста поражают воображение

Задорожный Сергей 0

Добавить комментарий