Top.Mail.Ru
Какой перечень документов по обработке персональных данных должен быть в организации?
Официальный сайт ООО «КАДИС»

Мы в социальных сетях:

Забыли пароль?
Войдите через соцсеть
X

Какой перечень документов по обработке персональных данных должен быть в организации?

Вопрос
1

Какие локальные акты и документы должны быть в организации в части обработки и использования персональных данных?

Ответ

Конкретный перечень документов, регламентирующих порядок обработки персональных данных, который должен быть в организации, законом не установлен.

Организация как оператор персональных данных обязана выполнять требования законодательстве по обработке и защите персональных данных.

Как правило, организации издают положение о персональных данных или иной локальный нормативный акт по вопросам их обработки. В таком документе описывают все связанные с ней действия (хранение, использование данных и т.д.). Для каждой цели обработки документ должен определять в том числе категории и перечень персональных данных, способы, сроки их обработки и хранения и др. (ст. 87 ТК РФ, п. 2 ч. 1 ст. 18.1 Закона о персональных данных).

Также создайте документ, определяющий политику в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Его структуру и содержание вы можете установить самостоятельно (Письмо Роскомнадзора от 19.10.2021 N 08-71063). При этом целесообразно руководствоваться Рекомендациями, изданными Роскомнадзором.

Такой документ должен включать в себя, в частности, сведения о цели сбора персональных данных, правовых основаниях их обработки, объеме и категориях обрабатываемых данных, порядке и условиях их обработки.

Если у вас нет документа, определяющего политику в отношении обработки персональных данных, разработайте и утвердите его (п. 2 ч. 1 ст. 18.1 Закона о персональных данных).

Оператор при обработке персональных данных обязан принимать или обеспечивать принятие необходимых мер для защиты персональных данных. В том числе безопасность персональных данных достигается путем применения соответствующих организационных и технических мер при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных (ч. 1, п. 2 ч. 2 ст. 19 Закона о персональных данных).

Четкий перечень документов, которых нужно создать для защиты персональных данных при их обработке также законом не установлен. Рекомендуем подробно отразить в документах весь процесс обработки персональных данных. Это позволит вам, в частности, избежать претензий со стороны контролирующих органов в случае проверки.

Рекомендуется создать следующий комплект основных документов:

  1. политика в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Политика - это главный документ, который устанавливает категории, цели, способы обработки персональных данных, порядок их хранения и использования. Желательно, чтобы данный документ учитывал Рекомендации Роскомнадзора по его составлению. При этом по разъяснениям ведомства вы вправе самостоятельно определять структуру и содержание политики в отношении обработки персональных данных (Письмо от 19.10.2021 N 08-71063).

Независимо от способа сбора персональных данных вы обязаны обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных. Если у вас есть сайт, через страницы которого вы получаете персональные данные, разместите в том числе на них политику (иной аналогичный акт) так, чтобы посетители сайта имели доступ к ней (ч. 2 ст. 18.1 Закона о персональных данных, Письмо Роскомнадзора от 19.10.2021 N 08-71063);

  1. локальные акты (п. 2 ч. 1 ст. 18.1 Закона о персональных данных):

- по вопросам обработки персональных данных. Они должны, в частности, определять категории и перечень персональных данных для каждой цели их обработки, способы, сроки обработки и хранения;

- об установлении процедур, направленных на предотвращение и выявление нарушений законодательства РФ и устранение их последствий;

  1. приказ о назначении лица, ответственного за организацию обработки персональных данных. Вы обязаны назначить такое лицо (ч. 1 ст. 22.1 Закона о персональных данных). Им может стать любой ваш работник. Если у вас уже назначен ответственный за персональные данные работников, вы можете назначить его же ответственным за данные прочих физлиц. Это удобно, поскольку обязанности ответственного лица не зависят от того, чьи данные вы обрабатываете - работников или, например, клиентов;
  2. приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц. Такой приказ может служить доказательством того, что конкретное лицо имело доступ к персональным данным. Это важно, в случае если произошло разглашение данных и нужно установить виновных;
  3. соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их.

Вы можете включить в этот комплект и другие необходимые для вас документы. Например, это могут быть журналы учета и движения персональных данных или подробные регламенты по работе с персональными данными.

Примерный перечень документов, которые должен иметь оператор персональных данных во исполнение требований законодательства в области персональных данных:

  1. Политика обработки персональных данных организации (см. Форма: Политика оператора в отношении обработки персональных данных (образец заполнения) (КонсультантПлюс, 2025) {КонсультантПлюс}).
  2. Положение о работе с персональными данными (Форма: Положение об обработке и защите персональных данных работников (иных лиц) (образец заполнения) (КонсультантПлюс, 2025) {КонсультантПлюс}).
  3. Уведомление об обработке персональных данных. С образцом заполнения можно ознакомиться по ссылке Форма: Уведомление о намерении осуществлять обработку персональных данных работников (образец заполнения) (КонсультантПлюс, 2025) {КонсультантПлюс}; Форма: Уведомление о намерении обрабатывать персональные данные (образец заполнения) (КонсультантПлюс, 2025) {КонсультантПлюс}.

На официальном сайте https://pd.rkn.gov.ru/operators-registry/operators-registry-documents/ можно ознакомиться с примером заполнения уведомления об обработке (о намерении осуществлять обработку) персональных данных (доступен в формате pdf).

  1. Согласие на обработку персональных данных субъектов персональных данных (Форма: Согласие на обработку персональных данных (Подготовлен специалистами КонсультантПлюс, 2025) {КонсультантПлюс}).
  2. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от других его согласий на обработку персональных данных. Форма согласия нормативно не утверждена. Требования к его содержанию утверждены Приказом Роскомнадзора от 24.02.2021 N 18) (Форма: Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (Подготовлен для системы КонсультантПлюс, 2025) {КонсультантПлюс}).
  3. Разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.
  4. Приказ о назначении ответственного за обработку персональных данных (Форма: Приказ оператора, являющегося юридическим лицом, о назначении ответственного за организацию обработки персональных данных (Подготовлен для системы КонсультантПлюс, 2025) {КонсультантПлюс}).
  5. Приказ об установлении списка лиц, имеющих право доступа к персональным данным (Форма: Приказ об установлении перечня лиц, имеющих право доступа к персональным данным работников (образец заполнения) ("Кадровая служба и управление персоналом предприятия", 2015, N 2) {КонсультантПлюс}).
  6. Обязательство о неразглашении персональных данных, позволяющее ввести личную ответственность уполномоченных работников за сохранность и конфиденциальность персональных данных (Форма: Обязательство о неразглашении персональных данных работников (образец заполнения) (КонсультантПлюс, 2025) {КонсультантПлюс}).
  7. Локальные акты, устанавливающие порядок и условия уничтожения персональных данных (Форма: Положение о порядке уничтожения персональных данных (Подготовлен для системы КонсультантПлюс, 2025) {КонсультантПлюс}).
  8. Пользовательское соглашение в приложении и на сайте (политика конфиденциальности) (Форма: Политика конфиденциальности интернет-сайта (Подготовлен для системы КонсультантПлюс, 2025) {КонсультантПлюс}).

Рекомендуем ознакомиться с материалами: Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2025) {КонсультантПлюс};

Готовое решение: Какие существуют требования к обработке персональных данных работников организации (КонсультантПлюс, 2025) {КонсультантПлюс}.

Настоящая консультация имеет информационно-разъяснительный характер по вопросам применения законодательства Российской Федерации и не препятствует руководствоваться нормами законодательства в понимании, отличающемся от трактовки, изложенной в настоящей консультации.

Услуга оказывается в соответствии с Регламентом Линии консультаций КАДИС.

ЛИНИЯ КОНСУЛЬТАЦИЙ
Ответы экспертов по основным
правовым вопросам

Подробнее

Доступ к КонсультантПлюс бесплатно

Получить
Теги:
Поделиться:

Похожие вопросы

Нужно ли отдельно показывать районный коэффициент с компенсации отпуска в 6-НДФЛ?
Подробнее
Нужно ли при закупке текущего ремонта устанавливать в извещении требование о наличии лицензии на осуществление деятельности по монтажу средств обеспечения пожарной безопасности с учетом того, что в смету контракта отдельной строкой этот вид работ не предусмотрен?
Подробнее
Нужно ли устанавливать преимущества по части 12 статьи 93 44-ФЗ при условии, что код ОКПД 2 -17.22.11 попадает в оба перечня Распоряжения Правительства РФ от 8 декабря 2021 г. N 3500-р
Подробнее
Обратный звонок

Подробный ответ читайте в КонсультантПлюс

Самая полная база правовой информации. 6452 готовых решений для сложных вопросов.

Получить доступ