Многие слышали об административных штрафах — они предусмотрены законодательством в различных сферах. Однако особую актуальность в области информационной безопасности они приобрели в связи с регулированием обработки персональных данных.
С 30 мая 2025 года для всех организаций, индивидуальных предпринимателей и самозанятых граждан, являющихся операторами персональных данных, значительно увеличивается штраф за отсутствие поданного уведомления об обработке ПДн в Роскомнадзор.
Большинство компаний являются операторами ПДн, однако далеко не все осознают это. Согласно ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», уведомлять регулятора о начале обработки ПДн обязаны организации, собирающие как минимум следующие данные:
— сотрудников и кандидатов на работу;
— контрагентов;
— членов общественных объединений и религиозных организаций;
— посетителей для однократного пропуска на территорию компании;
— фамилию, имя и отчество любого гражданина, полученные организацией.
Для корректной организации работы с персональными данными оператор ПДн должен выстроить «правильные» процессы обработки и защиты ПДн. И одной из задач здесь является подготовка пакета документов, регламентирующих вышеуказанные процессы. Конечно, эту работу можно отнести к «бумажной безопасности», однако без этих документов компания не сможет привести обработку ПДн в порядок. И как следствие, рискует получить штрафы за нарушения порядка обработки ПДн в случае проверок регуляторов или инцидентов, повлекших утечку данных.
Важные документы
Обязательными документами, которыми должны руководствоваться операторы ПДн, являются:
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Трудовой кодекс РФ;
— Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (в действующей редакции);
— Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»» (в действующей редакции);
— Приказы Роскомнадзора в области обработки ПДн;
— Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах с использованием средств криптографической защиты информации».
Эти документы определяют основные правила работы с ПДн, а также требования безопасности ПДн. Соответственно, каждой организации необходимо разработать в том числе минимальный достаточный комплект документации, который покрывает требования законодательства РФ, а именно:
— Документы, регламентирующие процессы обработки ПДн;
— Документы, устанавливающие требования по безопасности ПДн.
Таким образом, минимальный достаточный комплект документов, может быть следующим:

Политика обработки ПДн
Положение об обработке ПДн
Положение об обеспечении безопасности ПДн в ИСПДн;
Перечень обрабатываемых ПДн;
Инструкция о порядке обращения с носителями ПДн;
Типовые формы документов, содержащих ПДн;
Документы, характер информации в которых предполагает обработку ПДн;
Соглашение о конфиденциальности ПДн со сторонними организациями;
Инструкция по организации парольной защиты в ИС;
Инструкция по организации антивирусной защиты;
Порядок оценки вреда субъектам ПДн;
Порядок уничтожения ПДн;
Порядок реагирования на инциденты ИБ;
Политика cookies;
Порядок работы с обращениями;
Акт о выполнении оценки вреда для субъектов ПДн;
Приказ о введении в действие документов по организации обработки ПДн;
Приказ о вводе СЗПДн в эксплуатацию;
Приказ об организации работ по обработке ПДн;
Уведомление РКН о трансграничной передаче ПДн;
Уведомление РКН об обработке ПДн;
Модель угроз безопасности ПДн;
Акт определения уровня защищенности ПДн;
Техническое задание на создание системы защиты ПДн.

Приведенный выше перечень документов — это минимум, который должен быть у оператора ПДн. Список может быть расширен в зависимости от отрасли, специфики обработки данных и других факторов. При этом наличие полного пакета документов, которые могут казаться лишь «бумажной формальностью», способно существенно снизить размер штрафов — как уже упоминалось в начале статьи.
Автор: Александр Хонин, директор Центра консалтинга Angara Security.