10 пунктов о работе с персональными данными
16.06.2025 15:35
10 пунктов О, Внедряем IT, Зарплата и кадры, Управление бизнесом
1. Определяем, обрабатываем ли мы персональные данные
Персональные данные — это любая информация, позволяющая идентифицировать человека: ФИО, телефон, паспорт, ИНН, email, IP-адрес и пр. Даже если вы получаете контакты клиентов, храните резюме соискателей или выдаёте зарплату сотрудникам — вы уже являетесь оператором персональных данных. Согласно ст. 3 и 22 Федерального закона №152-ФЗ, такие организации обязаны соблюдать требования по защите ПДн.
Анализируем, где и какие данные собираем: в CRM, на сайте, в договорах, анкете. Учитываем не только сотрудников, но и клиентов, поставщиков, партнёров. Фиксируем категории персональных данных.
Ошибка — думать, что ПДн — это только паспортные данные. Даже простая форма подписки на рассылку попадает под закон. Игнорирование этого приводит к штрафам до 75 000 рублей (ст. 13.11 КоАП РФ).
2. Смотрим, нужно ли подавать уведомление в Роскомнадзор
Согласно ст. 22 закона №152-ФЗ, уведомление об обработке ПДн подаётся в Роскомнадзор до начала обработки. ИП и организации обязаны это сделать, если данные обрабатываются без согласия субъекта, если используются специальные категории данных (о здоровье, судимости и др.), если есть трансграничная передача. С 2023 года действует единый реестр операторов, где можно проверить себя и других.
Проверяем условия — нужна ли подача уведомления. Если обрабатываем резюме, собираем анкеты, ведём базу клиентов — уведомляем Роскомнадзор. Используем форму уведомления на официальном сайте.
Ошибка — не уведомлять Роскомнадзор, считая, что это “лишняя бюрократия”. Особенно часто это игнорируют интернет-магазины, салоны и ИП. При проверке это быстро выявляется, и штраф доходит до 50 тыс. руб.
3. Готовим политику конфиденциальности
Политика обработки персональных данных — это основной документ, который обязателен для всех операторов. Согласно ст. 18.1 закона №152-ФЗ, она должна быть размещена на сайте, если вы собираете данные через интернет. Документ должен содержать цели, перечень данных, способы обработки, порядок защиты, контактные данные ответственного лица.
Пишем документ по шаблону Роскомнадзора или привлекаем юриста. Публикуем на сайте в разделе “Политика конфиденциальности”. Обновляем при изменении условий обработки.
Ошибка — копировать чужую политику без правок. Она может не соответствовать вашей деятельности. Наличие формального документа без размещения — тоже нарушение.
4. Получаем согласие на обработку данных
Согласие — это ключевой правовой инструмент, на основании которого допускается обработка. Оно должно быть оформлено в письменной или электронной форме, с указанием целей, сроков и перечня обрабатываемых данных. Обязательно — отдельное согласие для каждого вида обработки, особенно при передаче данных третьим лицам.
Составляем шаблон согласия. Просим клиента, сотрудника или пользователя сайта подписать или проставить галочку в форме. Храним согласия в архиве (бумажном или электронном) не менее 5 лет.
Часто используют общее согласие “на всё сразу” — это незаконно. Также ошибка — не хранить подтверждение согласия. В случае жалобы доказать правомерность будет невозможно.
5. Назначаем ответственного за ПДн и ведем документацию
Вы обязаны назначить лицо, ответственное за организацию обработки и защиты ПДн (п. 2 ч. 1 ст. 18.1 152-ФЗ). Также нужно утвердить внутренние регламенты: приказ о назначении, журнал учета ПДн, план проверок, инструкции по доступу к базам данных.
Оформляем приказ о назначении. Создаём папку с документами по защите ПДн. Утверждаем регламенты обработки и доступа.
Ошибка — думать, что для малого бизнеса всё это не нужно. При проверке Роскомнадзор требует именно внутреннюю документацию, независимо от масштаба бизнеса.
6. Рассчитываем риски и проводим оценку угроз
Необходимо провести оценку угроз безопасности ПДн, особенно если вы храните данные в информационных системах (1С, CRM, сайты). На основании оценки определяется уровень защищённости и требования к программным и организационным мерам.
Составляем акт оценки рисков. Привлекаем ИТ-специалиста, если нет собственных знаний. Храним результаты оценки в архиве.
Ошибка — не учитывать, что защита ПДн касается и цифровых, и бумажных носителей. Многие предприниматели вообще не проводят оценку угроз — это риск при проверке или утечке.
7. Идем в Роскомнадзор при утечке или нарушении
С 2023 года действует обязанность уведомлять Роскомнадзор об инцидентах с ПДн в течение 24 часов после выявления утечки. Это регулируется Постановлением Правительства РФ от 30.12.2022 №2475. Также в течение 72 часов нужно предоставить подробный отчёт о произошедшем.
При утечке готовим уведомление на сайте Роскомнадзора. Описываем суть инцидента, масштаб, принятые меры. Сохраняем копии всех документов.
Ошибка — замалчивать инциденты. Это утяжеляет ответственность и может привести к штрафу до 500 000 рублей. Часто забывают и про второе уведомление с результатами расследования.
8. Обучаем сотрудников правилам работы с ПДн
По ст. 19 закона №152-ФЗ, предприниматель обязан проводить обучение и инструктаж работников, которые имеют доступ к персональным данным. Это касается кадровиков, бухгалтеров, маркетологов, менеджеров. Обучение нужно фиксировать актами, журналами, подписями.
Проводим вводный инструктаж для новых сотрудников. Повторяем обучение ежегодно. Ведём журнал инструктажей.
Часто владельцы малого бизнеса не обучают сотрудников вовсе, считая это “для крупных компаний”. Но при жалобе сотрудника это приведёт к штрафу до 50 тыс. руб.
9. Выбираем защищённое ПО и храним данные безопасно
Вы обязаны защищать ПДн от несанкционированного доступа. Это значит: наличие антивирусов, настройка прав доступа, защита серверов и облаков, шифрование, двухфакторная авторизация. Особенно это важно, если данные хранятся в CRM, 1С, Google-документах.
Используем лицензированное ПО. Ограничиваем доступ к данным — только по необходимости. Обеспечиваем резервное копирование.
Ошибка — хранить данные в открытом Excel без пароля, пересылать по email без шифрования. Также опасно давать доступ ко всей базе всем сотрудникам.
10. Контролируем соблюдение правил и готовимся к проверке
Роскомнадзор вправе проводить плановые и внеплановые проверки. Вам нужно быть готовым: предоставить договоры, согласия, политику, приказы, журналы, акты. Также важно вести журнал обращений субъектов ПДн (ст. 14 закона №152-ФЗ).
Проводим внутренние аудиты. Заводим список проверочных документов. Поддерживаем актуальность всего комплекта.
Ошибка — заниматься документами только при проверке. В условиях форс-мажора времени будет недостаточно, и возникнут штрафы. Часто также забывают фиксировать обращения граждан.
Скопировать ссылку
ВКонтакте
Одноклассники
Telegram
Viber
WhatsApp
Статья о работе с персональными данными поднимает весьма актуальную и важную тему в условиях современного бизнеса. Важно понимать, что обработка любых данных — это не просто юридическая формальность, а серьёзная ответственность. Как упомянуто, персональные данные могут включать не только паспортные данные, но и такие, казалось бы, безобидные вещи, как адрес электронной почты или номер телефона. Игнорирование этого вопроса может привести к немалым штрафам, что для большинства компаний будет неприятным сюрпризом. Еще одним важным моментом является необходимость уведомления Роскомнадзора. Многие предприниматели могут не осознавать, что такое уведомление обязательно, особенно если речь идет о специальных категориях данных, таких как информация о здоровье.… Подробнее »