Главная страница категории

Регистрация оператора персональных данных в Роскомнадзоре по 152-ФЗ: документы, сроки и наши услуги.

Перейти на страницу

Папка со скачанными шаблонами политики и согласия — это ещё не соответствие закону. Самая частая ситуация, которую мы видим: документы есть, но они описывают какую-то абстрактную компанию, а не реальные процессы оператора. На проверке именно это расхождение между бумагами и тем, что происходит на самом деле, становится проблемой. Разберём, какие документы по персональным данным действительно обязательны, что в каждом должно быть и чем обязательный комплект отличается от внутренних регламентов «для порядка».

Если коротко, главное понять три вещи. Первая: единого утверждённого «списка документов» в законе нет, обязательный минимум складывается из статей 18.1, 22 и 22.1. Вторая: документы делятся на обязательные, которые прямо требует закон, и внутренние, которые помогают, но не предписаны напрямую. Третья: ценность документа не в его наличии, а в том, что он отражает вашу реальную обработку.

Обязательные документы

Это тот минимум, отсутствие которого само по себе является нарушением. Он вытекает напрямую из закона:

ДокументОснованиеЧто важно
Политика обработки ПДнст. 18.1 ч. 2должна быть опубликована или общедоступна; на сайте — в подвале и у форм
Уведомление в Роскомнадзорст. 22подаётся до начала обработки, кроме оговорённых исключений
Приказ о назначении ответственногост. 22.1назначается конкретное лицо за организацию обработки
Локальные акты по обработке и защитест. 18.1 ч. 1описывают реальные процедуры, а не общие фразы
Согласия субъектовст. 9там, где согласие — основание; с 01.09.2025 отдельным документом
Оценка вреда субъектамст. 18.1основа для модели угроз; часто забывают
Порядок и акт уничтоженияприказ РКН №179уничтожение подтверждается актом и выгрузкой из журнала

Готовые корректные образцы этих документов, которые можно адаптировать под себя, мы собрали в отдельном материале с образцами документов по ПДн. Здесь же важнее понять логику комплекта, а не просто скачать формы.

Политика обработки: главный публичный документ

Политика обработки персональных данных стоит особняком, потому что это единственный из обязательных документов, который должен быть публичным. Закон требует обеспечить к нему неограниченный доступ, и для сайта это означает рабочую ссылку в подвале и рядом с каждой формой сбора данных. Проверка часто начинается именно с этого: открыли сайт, поискали политику, проверили, что она реально открывается и описывает то, что сайт делает с данными.

Распространённая ошибка — взять чужую политику и поменять название компании. Если в ней указаны цели обработки, которых у вас нет, или не указаны те, что есть, документ формально присутствует, но фактически недостоверен. Политика должна перечислять ваши реальные цели, категории данных и субъектов.

Внутренние документы

Эти документы закон напрямую как отдельные формы не требует, но они либо вытекают из обязанности обеспечить безопасность, либо нужны на практике, чтобы политика и приказы работали:

Грань между обязательным и внутренним подвижна: например, модель угроз формально относится к мерам защиты, но без неё невозможно корректно выполнить статью 19. Поэтому внутренние документы — это не «бюрократия для вида», а то, что превращает декларации политики в реальные процессы.

На практике именно стык политики и внутренних документов чаще всего и проседает. Политика красиво заявляет «доступ к данным предоставляется только уполномоченным лицам», а перечня этих лиц и обязательств о неразглашении нет, журнал доступа не ведётся. Получается, что обязательный публичный документ обещает то, что внутренними документами не подкреплено. Проверяющий читает политику и просит показать, как заявленное реализовано, и вот тут расхождение и вскрывается.

Документы должны отражать реальную обработку

Главный принцип, который отличает рабочий комплект от бесполезного: документы описывают то, что происходит на самом деле. Если политика говорит про один набор целей, согласие — про другой, а уведомление в Роскомнадзор — про третий, это сигнал, что комплект собирали из разных шаблонов, не сверяя между собой. Все три документа должны быть согласованы: одни и те же цели обработки, категории данных и субъектов.

Мы советуем проверять комплект не по принципу «есть ли документ», а по принципу «соответствует ли он трём другим». Возьмите уведомление в Роскомнадзор, политику и типовое согласие и сверьте: совпадают ли цели обработки, перечислены ли одни и те же категории данных, не противоречат ли сроки хранения. В девяти случаях из десяти всплывают нестыковки, которые на проверке выглядят как недостоверные сведения. Это упражнение полезнее, чем добавить в папку ещё один скачанный шаблон.

С чего начать

Порядок сборки комплекта обратный привычному. Не «скачать все шаблоны», а сначала описать реальную обработку: какие данные, чьи, для каких целей и сколько хранятся. На основе этого подаётся уведомление оператора в Роскомнадзор, пишется политика, оформляются согласия и приказ об ответственном. Тогда документы получаются согласованными между собой и с реальностью, а не превращаются в набор противоречащих друг другу бумаг.

Вопросы и ответы

Короткие ответы на вопросы, которые чаще всего возникают при подготовке документов и подаче заявки.

Какие документы по персональным данным обязательны?

Политика обработки, уведомление в Роскомнадзор, приказ о назначении ответственного, локальные акты по обработке и защите, согласия субъектов там, где они нужны, оценка вреда и порядок уничтожения. Это минимум, вытекающий из статей 18.1, 22 и 22.1.

Какой документ обязательно публиковать?

Политику обработки персональных данных. К ней должен быть обеспечен неограниченный доступ; на сайте это ссылка в подвале и рядом с формами сбора данных.

Можно ли использовать готовые шаблоны?

Как основу — да, но их обязательно нужно адаптировать под реальные процессы: ваши цели обработки, категории данных и субъектов. Документ, не отражающий реальную обработку, на проверке не защищает.

Нужно ли положение об обработке персональных данных?

Прямо как отдельная форма закон его не требует, но это удобный внутренний документ, детализирующий процедуры. На практике он помогает связать политику, приказы и инструкции в работающую систему.

Что такое оценка вреда и зачем она нужна?

Это оценка возможного вреда субъектам при нарушении, требуемая статьёй 18.1. Она служит основой для модели угроз и определения уровня защищённости, и её отсутствие выявляют одним из первых.

Что проверяют в документах в первую очередь?

Наличие и доступность политики, назначение ответственного, согласованность целей в политике, согласии и уведомлении. Расхождения между этими документами трактуются как недостоверные сведения.

Источники