К списку статей
Превентивная защита 3 мин чтения

Внутренние политики ПДн: что должно быть и где ошибаются

Политика, согласие, должностные инструкции, реестр обработки. Какие документы нужны и как избежать формального подхода при проверке.

Большинство компаний оформляют документы по персональным данным один раз - при запуске сайта или регистрации в реестре операторов - и больше к ним не возвращаются. Через пару лет реальные процессы расходятся с написанным, а при проверке выясняется, что политика описывает несуществующий бизнес.

Минимальный набор документов

Под "политикой ПДн" в обиходе понимают один файл. На самом деле это пакет документов разной природы.

  • Политика обработки персональных данных. Внешний документ, размещаемый на сайте. Описывает цели обработки, категории субъектов, категории данных, права субъектов, контакты ответственного.
  • Согласия. Формы согласий под каждый процесс, где требуется отдельное основание: маркетинговые рассылки, передача третьим лицам, использование биометрии, обработка детьми.
  • Внутренние локальные акты. Положение об обработке ПДн, перечень мест хранения, перечень допущенных лиц, порядок реагирования на инциденты.
  • Должностные инструкции и обязательства. Письменные обязательства сотрудников, имеющих доступ к данным, о соблюдении конфиденциальности и правил обработки.
  • Реестр обработки. Подробно разобран в материале про 152-ФЗ и хранение данных.

Типовые ошибки в шаблонах

Шаблоны политик из открытых источников - удобно, но опасно. Самые частые проблемы:

  1. Цели обработки скопированы и не отражают реальный бизнес. Политика говорит о "продаже товаров и услуг", а компания собирает данные для лотереи и передаёт партнёрам.
  2. Указаны несуществующие меры защиты. Шаблон обещает "сертифицированные средства защиты", а в реальности данные лежат в облачной CRM без должной обвязки.
  3. Срок хранения не указан или указан "бессрочно". Это прямое нарушение принципа ограничения хранения.
  4. Нет связи с реестром обработки. Политика описывает один набор целей, реестр - другой, согласия - третий. При проверке несостыковки превращаются в основание для штрафа.
  5. Отсутствует процедура реализации прав субъекта. Закон требует механизма ответа на запросы об отзыве согласия, удалении, получении копии данных. В большинстве компаний этого механизма нет.

Защита от формального подхода

Проверка может быть документарной (запрос документов) и выездной. В обоих случаях проверяющий смотрит не только на наличие документов, но и на их связку с реальными процессами.

Способы избежать обвинения в формализме:

  • Сделать политику и реестр живыми. Раз в год сверять с реальными процессами. Если запустили новый продукт - обновить.
  • Провести обучение. Не для галочки, а с проверкой знаний. Записи об обучении - доказательство того, что компания управляет рисками.
  • Завести журнал инцидентов. Даже мелких. Пустой журнал хуже заполненного: он означает либо что инцидентов не было, либо что их не фиксируют.
  • Оформить отношения с подрядчиками. Договоры с обработчиками - часть документарного пакета. Без них политика повисает в воздухе.
  • Защитить переписку с юристом. В случае инцидента важно сохранить конфиденциальность переписки, особенно при подготовке к проверке или ответу регулятору.

Документы и риск утечки

Политики и регламенты - это первая линия защиты при утечке. Если документы в порядке, у компании появляются аргументы для смягчения ответственности: были приняты меры, инцидент - результат внешней атаки или действий сотрудника, нарушившего регламент. Если документов нет или они формальны, презумпция вины оператора почти бесспорна.

В контексте усиленных штрафов и оборотных санкций, разобранных в штрафах за ПДн 2026, стоимость подготовки качественного пакета документов в десятки раз ниже стоимости одного крупного инцидента.

Хороший показатель готовности - смежная история с NDA. Если в компании NDA с сотрудниками подписаны корректно, обязательства о неразглашении встроены в трудовые отношения, а доступы к данным сегментированы, политика ПДн получает реальную опору. Без этого она остаётся текстом на сайте.

Что сделать в ближайшие недели

  1. Достать действующую политику и сравнить с реальными процессами.
  2. Собрать список SaaS-сервисов и подрядчиков с доступом к данным.
  3. Проверить, есть ли согласия на маркетинговые рассылки и передачу данных.
  4. Закрыть пробелы документами, не шаблонами, а адаптированными под бизнес.

Документы - не цель, а инструмент. Они работают только тогда, когда отражают реальность и сопровождаются практикой.

К списку статей
Контакт

Нужна помощь по похожей ситуации? Напишите нам.