Как выбрать нужный комплект документов по 152-ФЗ

Тип организации

Краткое описание

Обязательные документы

Рекомендуемые документы

Избыточные / Необязательные

Комментарий / Обоснование

1. ИП без работников

Самозанятый ИП, обрабатывает только контакты клиентов, без передачи чувствительных данных. Нет наёмного персонала.

1) Политика в отношении обработки ПДн (ст. 18.1 ФЗ-152);

2) Согласие от клиентов (если основание — согласие), либо ссылка на договор/оферту;

3) Уведомление в Роскомнадзор (если не попадает под исключения ст. 22 ФЗ-152).

– Журнал учёта согласий (упрощённый формуляр);

– Шаблоны ответов на запросы субъектов (ст. 14–16 ФЗ-152).

– Модель угроз и акт оценки вреда (как правило, при обычных «общих» ПДн не требуется);

– Детализированные регламенты доступа (нет сотрудников)

У ИП без сотрудников минимум обязанностей. Основные риски: сбор клиентских ПДн на сайте / в договорах. “Лишние” документы (например, модель угроз, приказ о доступе к ИСПДн и т.п.) нецелесообразны.

2. ИП с работниками

Небольшой штат (1–5 чел.), обрабатывает ПДн сотрудников и клиентов, часто с использованием компьютера и облачных сервисов.

1) Политика по ПДн (ст. 18.1);

2) Положение/инструкция для обработки ПДн сотрудников (ПП № 687);

3) Согласия сотрудников и клиентов (при необходимости);

4) Приказ о назначении ответственного за ПДн;

5) Уведомление в Роскомнадзор (если не подпадают под исключения).

– Журнал инструктажа сотрудников по ПДн;

– Журнал регистрации запросов субъектов;

– Приказ об утверждении мест хранения ПДн (если есть бумажный архив).

– Сложные модели угроз (в большинстве случаев, если нет спецкатегорий);

– Многочисленные регламенты (достаточно сжатого Положения).

Поскольку есть персонал, уже нужно формализовать рабочие отношения (п. 1 ст. 6 ТК + 152-ФЗ). Но в силу малого масштаба можно “сливать” часть локальных актов в одно положение, чтобы не перегружать.

3. ООО/АО (до 5 чел.) – «Микро»

Юрлицо с минимальным штатом. Есть как HR-процессы, так и отношения с клиентами. Часто применяют CRM, сбор данных на сайте.

1) Политика по ПДн (обязательна к размещению, ст. 18.1);

2) Положение об обработке ПДн работников;

3) Приказ о назначении ответственного;

4) Согласия на обработку (сотрудники/клиенты), если правовое основание — согласие;

5) Уведомление в Роскомнадзор (чаще всего актуально).

– Приказы о местах хранения, списке лиц с доступом к ПДн (ПП № 1119, ФСТЭК № 21);

– Журналы учёта согласий, инструктажей, инцидентов;

– Регламент резервного копирования, если реально ведут базу данных.

– Детальное Положение о внутреннем контроле (для микробизнеса достаточно одного пункта о проверках);

– Отдельная модель угроз (для низкорисковых общих ПДн).

Микропредприятия обычно имеют как минимум компьютерную обработку ПДн: требуется соблюдение ПП № 1119. Но документы можно объединять в одну-две локальные инструкции.

4. Малый бизнес (15–100 чел.)

У компании уже заметный оборот, есть отделы (HR, продажи, бухгалтерия), активная автоматизация (CRM, облако, видеонаблюдение и т.п.).

1) Политика по ПДн;

2) Положение об обработке ПДн для сотрудников;

3) Приказ о назначении ответственного, его инструкция;

4) Положение о защите ПДн клиентов/контрагентов (отдельно или в одном документе);

5) Приказы о хранении, о списке лиц с доступом, регламент допусков;

6) Уведомление в Роскомнадзор (за редким исключением).

– Планы реагирования на инциденты (ПП № 1119, ст. 19 ФЗ-152);

– Журналы/регистры (согласий, обращений, инструктажа, проверок, инцидентов);

– Положение о внутреннем контроле, особенно при больших объёмах ПДн.

– Излишнее “бумажное дублирование”: например, делать по десять журналов при едином канале сбора ПДн;

– Полная модель угроз (если нет спецкатегорий или 1–2 уровня защищённости).

Малому бизнесу важно уже разделять ПДн сотрудников и клиентов, иметь прописанные правила доступа. Но без фанатизма: часть документов можно объединять или ввести журналы в электронном виде.

5. Средний бизнес

100+ сотрудников, несколько подразделений, могут обрабатывать различные категории ПДн, в том числе спецданные (больничные, инвалидность и т.п.). Активно используют ИТ-системы, сайты, мобильные приложения.

1) Политика по ПДн;

2) Отдельные положения об обработке ПДн (персонал, клиенты, видеонаблюдение и др.);

3) Приказы и регламенты по доступу, хранению, уничтожению, резервному копированию;

4) Акт оценки вреда (при спецкатегориях);

5) Документы по ИСПДн (ПП № 1119 + Приказ ФСТЭК № 21);

6) Обязательный внутренний контроль (ст. 18.1 ч.4 ФЗ-152).

– Модель угроз, если требуется более высокий уровень защищённости (1–2 уровень ИСПДн);

– Политика управления инцидентами (рекомендуется в любой компании со значимым объёмом ПДн);

– Журналы и акты внутренних аудитов, проверок;

– Подробный регламент взаимодействия с субъектами (запросы).

– Документы “для галочки”, но без внедрения (например, формальные журналы без реального ведения). Они будут бесполезны при проверке;

– Избыточные согласия там, где есть иные законные основания (дублирование).

Для среднего бизнеса уже обязательно соблюдать комплекс ФЗ-152 + ПП № 1119. По факту потребуется более серьёзная система защиты, в т.ч. раздельные положения и регламенты для разных категорий ПДн, формализованный внутренний контроль, журналы и т.д.

6. Организации с критическими / чувствительными ПДн

Сюда относятся клиники, медцентры, финучреждения, госкомпании, вузлы, операторы связи, иные, обрабатывающие спецПДн и/или большие объёмы. Часто есть трансграничная передача.

1) Всё перечисленное выше (политика, положения, приказы, регламенты, уведомления и т.д.);

2) Акт оценки вреда (обязательно, ст. 10 ФЗ-152 + Приказ Роскомнадзора № 198);

3) Модель угроз (ФСТЭК), система защиты с сертифицированными СЗИ (если уровень 1–2);

4) Специальные договоры / согласия (например, для медданных).

– Подробные журналы инцидентов, запросов субъектов, обращения в РКН;

– Детальные положения о порядке уничтожения и архивирования;

– Планы периодических аудитов с составлением актов;

– Регламент трансграничной передачи.

– Объединять всё в один «гигантский» документ нецелесообразно (лучше разделить).

– Избыток формальных подписей без фактического соблюдения только усложняет работу.

В силу высокой важности / рисков оператор обязан строго соблюдать все требования: и ФЗ-152, и ПП № 1119, и Приказ ФСТЭК № 21, и, возможно, Приказ ФСБ № ... (СКЗИ). Потребуется регулярный внутренний аудит, формирование подробных регламентов.