AZEXO

Подготовка пакета документов по 152-ФЗ «О персональных данных»: практическое руководство для оператора

от автора

Андрей Солодухин
в

Обработка персональных данных (ПДн) в Российской Федерации регулируется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) и рядом подзаконных актов. Несоблюдение требований влечет административную, гражданскую и уголовную ответственность.

Данное руководство предназначено для операторов персональных данных (юридических и физических лиц, организующих обработку) и описывает пошаговый алгоритм приведения деятельности в соответствие с регуляторными требованиями по состоянию на 2026 год.

Шаг 1. Инвентаризация процессов обработки ПДн

Первым шагом является аудит существующих процессов. Оператор должен точно знать, какие данные, кого и с какой целью он обрабатывает.

Что необходимо сделать:

  1. Выявить все информационные системы (ИСПДн): Составьте реестр систем, где хранятся или обрабатываются ПДн (CRM, бухгалтерия, сайт, видеонаблюдение, бумажные журналы).
  2. Определить категории данных: Разделите данные на:
    • Общие (ФИО, телефон, email).
    • Специальные (раса, здоровье, убеждения — ст. 10 152-ФЗ).
    • Биометрические (физиологические особенности для установления личности — ст. 11 152-ФЗ).
    • Иные (судимость, данные сотрудников).
  3. Определить категории субъектов: Клиенты, сотрудники, кандидаты, посетители сайта.
  4. Выявить способы обработки: Автоматизированный (с использованием средств вычислительной техники) или неавтоматизированный (бумажные носители).

Шаг 2. Определение правовых оснований обработки

Согласно ст. 6 152-ФЗ, обработка допускается только при наличии законных оснований. Наиболее распространенные:

  1. Согласие субъекта (ст. 9 152-ФЗ): Требуется в большинстве случаев, особенно для маркетинга или передачи третьим лицам.
    • Согласие должно быть конкретным, информированным и сознательным.
    • Для специальных категорий данных и биометрии требуется письменное согласие (за исключением случаев, предусмотренных ч. 2 ст. 10 и ч. 2 ст. 11).
    • С 1 сентября 2025 года ужесточаются требования к содержанию согласия (изменения в ст. 9).
  2. Исполнение договора: Если субъект является стороной договора (например, договор купли-продажи, трудовой договор).
  3. Исполнение закона: Например, передача данных в налоговые органы, военкоматы.

Действие: Разработайте формы согласий на обработку ПДн. Если согласие получается в электронной форме, убедитесь, что можно подтвердить факт его получения (ст. 9 ч. 1).

Шаг 3. Уведомление Роскомнадзора

С 1 сентября 2022 года перечень исключений, когда оператор вправе не уведомлять уполномоченный орган (Роскомнадзор), был существенно сокращен (изменения в ст. 22 152-ФЗ).

Когда нужно уведомлять:
В большинстве случаев оператор обязан направить уведомление до начала обработки.

Исключения (когда уведомлять не нужно):

  • Обработка осуществляется исключительно без использования средств автоматизации (только бумага) при условии соблюдения требований ст. 6 152-ФЗ (п. 8 ч. 2 ст. 22).
  • Данные включены в государственные информационные системы безопасности (п. 7 ч. 2 ст. 22).
  • Обработка в целях транспортной безопасности (п. 9 ч. 2 ст. 22).

Важно: Если вы обрабатываете данные сотрудников только для исполнения трудовых договоров и не передаете их третьим лицам без согласия, ранее это было исключением. Сейчас рекомендуется внимательно проверить актуальность исключения для вашего случая, так как пункты 1–6 ч. 2 ст. 22 утратили силу.

Действие: Подайте уведомление в Роскомнадзор (в бумажном или электронном виде). В уведомлении укажите цели, категории данных, меры защиты (ст. 22 ч. 3). Проверить наличие организации в реестре операторов можно на официальном портале Роскомнадзора.

Шаг 4. Построение системы защиты персональных данных (СЗПДн)

Требования к безопасности установлены ст. 19 152-ФЗ и Постановлением Правительства РФ от 01.11.2012 № 1119.

4.1. Определение уровня защищенности

Согласно Постановлению № 1119, существует 4 уровня защищенности (УЗ). Уровень зависит от:

  1. Типа угроз:
    • 1 тип: Угрозы актуальны для систем с подключением к интернету и наличием уязвимостей в системном ПО.
    • 2 тип: Угрозы актуальны для систем с подключением к интернету, но без уязвимостей в системном ПО (или изолированных систем со специальными данными).
    • 3 тип: Угрозы не связаны с уязвимостями ПО (изолированные системы).
  2. Категории данных: Специальные, биометрические, общедоступные, иные.
  3. Количества субъектов: Более или менее 100 000 субъектов.
  4. Типа субъектов: Сотрудники или иные лица.

Пример: Если вы обрабатываете данные клиентов (иные категории) в системе с выходом в интернет (угрозы 2 типа) и количество клиентов менее 100 000, вам может быть присвоен 3-й уровень защищенности (п. 11 Постановления № 1119).

4.2. Модель угроз

Для выбора мер защиты необходимо определить актуальные угрозы. Используйте «Методику определения актуальных угроз безопасности персональных данных» (ФСТЭК России).

  • Проведите оценку уровня исходной защищенности ИСПДн.
  • Определите вероятность реализации угроз.
  • Составьте перечень актуальных угроз.

Альтернатива: Для типовых систем можно использовать «Базовую модель угроз безопасности персональных данных» (ФСТЭК России), выбирая типовую модель в зависимости от типа системы (локальная, распределенная, наличие выхода в интернет).

4.3. Выбор мер защиты

Состав мер определяется Приказом ФСТЭК России от 18.02.2013 № 21.

  • Выберите базовый набор мер для вашего уровня защищенности (всего 15 групп мер, включая управление доступом, антивирусную защиту, регистрацию событий и др.).
  • Адаптируйте набор под вашу инфраструктуру (исключите неприменимые меры, например, защиту виртуализации, если виртуализация не используется).
  • Обоснуйте неприменение отдельных мер или замену их компенсирующими.

Криптографическая защита:
Если для нейтрализации угроз требуется шифрование (например, передача данных по открытым каналам связи), используйте средства криптографической защиты информации (СКЗИ), сертифицированные ФСБ России. Требования к ним установлены Приказом ФСБ России от 10.07.2014 № 378 (классы СКЗИ КС1–КА в зависимости от уровня защищенности и типа угроз).

4.4. Обработка без автоматизации

Если вы ведете бумажные журналы (например, журнал учета посетителей), руководствуйтесь Постановлением Правительства РФ от 15.09.2008 № 687.

  • Данные должны быть обособлены от иной информации.
  • Доступ к носителям должен быть ограничен.
  • Не допускается фиксация на одном носителе данных с несовместимыми целями обработки.

Шаг 5. Разработка локальных нормативных актов (ЛНА)

Согласно ст. 18.1 152-ФЗ, оператор обязан принять меры, необходимые для выполнения обязанностей. Это фиксируется в документах.

Минимальный пакет документов:

  1. Политика обработки персональных данных: Публикуется на сайте (если есть) и должна быть доступна неограниченному кругу лиц (ст. 18.1 ч. 2).
  2. Приказ о назначении ответственного: Лицо, ответственное за организацию обработки ПДн (ст. 22.1 152-ФЗ).
  3. Приказ об утверждении перечня лиц, имеющих доступ: Или должностная инструкция с соответствующими обязанностями.
  4. Положение об обработке ПДн: Внутренний документ, регламентирующий процессы.
  5. Инструкции для пользователей: По работе с ИСПДн, по обеспечению безопасности.
  6. Журналы учета:
    • Учета носителей информации (при необходимости).
    • Учета обращений субъектов ПДн.
    • Контроля мероприятий по защите (ст. 19).
  7. Формы согласий: На обработку, на передачу, на распространение (ст. 10.1).
  8. Модель угроз и Техническое задание на защиту информации: Для технических специалистов.
  9. План мероприятий по устранению нарушений: На случай инцидентов.

Шаг 6. Работа с правами субъектов и инцидентами

Права субъектов (Глава 3 152-ФЗ)

Оператор обязан по запросу субъекта (ст. 14):

  • Подтвердить факт обработки.
  • Предоставить данные (в течение 10 рабочих дней).
  • Уточнить, заблокировать или уничтожить данные при выявлении неточностей или незаконной обработки.

Действие: Настройте канал связи для приема запросов (email, форма на сайте, почтовый адрес) и регламент обработки таких запросов.

Инциденты безопасности

С 1 сентября 2022 года введена обязанность уведомлять Роскомнадзор об инцидентах (ст. 21 ч. 3.1 152-ФЗ).

  • В течение 24 часов: Сообщить о факте инцидента, предполагаемых причинах и вреде.
  • В течение 72 часов: Предоставить результаты внутреннего расследования.
  • Также необходимо взаимодействовать с государственной системой обнаружения компьютерных атак (ГосСОПКА) согласно ст. 19 ч. 12.

Шаг 7. Контроль и актуализация

Защита ПДн — непрерывный процесс.

  1. Оценка эффективности мер: Проводится не реже одного раза в 3 года (Приказ ФСТЭК № 21, п. 6; Постановление № 1119, п. 17).
  2. Актуализация документов: При изменении законодательства, структуры компании или информационных систем.
  3. Обучение сотрудников: работники, допускаемые к ПДн, должны быть ознакомлены с требованиями (ст. 18.1 ч. 1 п. 6).

Чек-лист соответствия

  • [ ] Проведена инвентаризация всех процессов обработки ПДн.
  • [ ] Определены правовые основания для каждого процесса.
  • [ ] Разработаны и утверждены формы согласий.
  • [ ] Подано уведомление в Роскомнадзор (если требуется).
  • [ ] Назначен ответственный за организацию обработки ПДн.
  • [ ] Разработана и опубликована Политика обработки ПДн.
  • [ ] Определен уровень защищенности ИСПДн (Постановление № 1119).
  • [ ] Составлена модель угроз безопасности.
  • [ ] Внедрены меры защиты согласно Приказу ФСТЭК № 21ФСБ № 378 при необходимости).
  • [ ] Разработан пакет локальных нормативных актов.
  • [ ] Сотрудники ознакомлены с документами под роспись.
  • [ ] Настроен процесс обработки запросов от субъектов ПДн.
  • [ ] Настроен процесс реагирования на инциденты (уведомление регулятора).

Дополнительные ресурсы

ДокументСсылка
Федеральный закон № 152-ФЗ «О персональных данных»КонсультантПлюс
Постановление Правительства № 1119 (Требования к защите ПДн)КонсультантПлюс
Постановление Правительства № 687 (Обработка без автоматизации)Гарант
Приказ ФСТЭК № 21 (Меры защиты в ИСПДн)ФСТЭК
Приказ ФСБ № 378 (Применение СКЗИ)Гарант
Методика определения актуальных угрозФСТЭК
Базовая модель угрозФСТЭК
Реестр операторов РоскомнадзораРоскомнадзор
Официальный сайт РоскомнадзораРоскомнадзор

Заключение

Подготовка пакета документов по 152-ФЗ требует системного подхода. Начинать следует не с написания бумаг, а с аудита реальных процессов обработки данных. Документация должна отражать фактическое положение дел в организации. Регулярный пересмотр мер защиты и актуализация документов в соответствии с изменениями законодательства (например, учетом нововведений 2025–2026 годов) позволят оператору минимизировать риски штрафов и утечек информации.

Важно: Данная статья носит информационный характер и не является юридической консультацией. При подготовке документации рекомендуется обращаться к официальным источникам правовых актов и при необходимости привлекать квалифицированных специалистов в области защиты персональных данных.