Многие компании ограничиваются публикацией «Политики конфиденциальности» на сайте, считая, что этого достаточно. Это глубочайшее заблуждение. Политика — это лишь верхушка айсберга (документ 2-го уровня). Основной массив документации (более 40 документов) должен находиться внутри организации. При проверке Роскомнадзор запрашивает именно «внутрянку»: приказы, регламенты, журналы, акты оценки вреда. Услуга «Документы по защите персональных данных под ключ» решает проблему комплексного закрытия бюрократических рисков.
Отсутствие обязательных внутренних документов квалифицируется как нарушение ч. 1 ст. 18.1 Федерального закона № 152-ФЗ. Штрафы могут показаться небольшими, но предписания об устранении нарушений в сжатые сроки (когда нужно разработать 500 страниц текста за 3 дня) парализуют работу юристов и IT-отдела. Готовый пакет документов — это «подушка безопасности», которая предъявляется инспектору по первому требованию.
Что входит в «Папку Оператора»?
Мы разрабатываем индивидуальный комплект, адаптированный под бизнес-процессы клиента, а не шаблонную «рыбу».
В пакет входят четыре блока документов:
1. Организационно-распорядительная документация (ОРД)
Фундамент системы защиты.
- Приказ о назначении ответственного за организацию обработки ПДн.
- Перечень персональных данных и информационных систем (ИС).
- Правила доступа сотрудников в помещения с серверами.
- Приказы об утверждении мест хранения носителей.
2. Локальные нормативные акты (ЛНА)
Правила игры для сотрудников.
- Политика обработки ПДн (внутренняя и внешняя версии).
- Положение о защите персональных данных работников.
- Регламент реагирования на запросы субъектов.
- Инструкция администратора безопасности ИСПДн.
3. Формы и шаблоны
Документы для ежедневной работы.
- Формы согласий (клиентов, работников, соискателей).
- Обязательство о неразглашении (для сотрудников с доступом).
- Форма разъяснения юридических последствий отказа предоставить данные.
- Журналы учета (обращений граждан, выдачи носителей, проверок).
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов
4. Документы по оценке рисков
Самый сложный блок, требующий аналитики.
- Акт определения уровня защищенности (УЗ) информационных систем.
- Акт оценки вреда, который может быть причинен субъектам.
- Модель угроз безопасности (согласованная с IT-отделом).
Почему нельзя использовать скачанные шаблоны?
Каждый бизнес уникален. Интернет-магазин и медицинская клиника обрабатывают разные категории данных (общие vs специальные) и имеют разные угрозы.
Использование чужого шаблона приводит к тому, что:
- Вы декларируете процессы, которых у вас нет (например, «хранение в сейфе», когда у вас облако).
- Вы пропускаете специфические требования (например, по трансграничной передаче).
- Проверяющий видит несоответствие документов реальной IT-архитектуре, что трактуется как предоставление недостоверных сведений.
Внедрение и поддержка
Получить папку документов мало — их нужно внедрить. Мы проводим инструктаж для Ответственного сотрудника: объясняем, где подписать, как вести журналы и обновлять приказы при увольнении сотрудников. Наша задача — сделать так, чтобы система защиты данных работала в фоновом режиме, не тормозя бизнес, но обеспечивая полную готовность к визиту Роскомнадзора.