Внутренние политики ПДн: что должно быть и где ошибаются
Политика, согласие, должностные инструкции, реестр обработки. Какие документы нужны и как избежать формального подхода при проверке.
Большинство компаний оформляют документы по персональным данным один раз - при запуске сайта или регистрации в реестре операторов - и больше к ним не возвращаются. Через пару лет реальные процессы расходятся с написанным, а при проверке выясняется, что политика описывает несуществующий бизнес.
Минимальный набор документов
Под "политикой ПДн" в обиходе понимают один файл. На самом деле это пакет документов разной природы.
- Политика обработки персональных данных. Внешний документ, размещаемый на сайте. Описывает цели обработки, категории субъектов, категории данных, права субъектов, контакты ответственного.
- Согласия. Формы согласий под каждый процесс, где требуется отдельное основание: маркетинговые рассылки, передача третьим лицам, использование биометрии, обработка детьми.
- Внутренние локальные акты. Положение об обработке ПДн, перечень мест хранения, перечень допущенных лиц, порядок реагирования на инциденты.
- Должностные инструкции и обязательства. Письменные обязательства сотрудников, имеющих доступ к данным, о соблюдении конфиденциальности и правил обработки.
- Реестр обработки. Подробно разобран в материале про 152-ФЗ и хранение данных.
Типовые ошибки в шаблонах
Шаблоны политик из открытых источников - удобно, но опасно. Самые частые проблемы:
- Цели обработки скопированы и не отражают реальный бизнес. Политика говорит о "продаже товаров и услуг", а компания собирает данные для лотереи и передаёт партнёрам.
- Указаны несуществующие меры защиты. Шаблон обещает "сертифицированные средства защиты", а в реальности данные лежат в облачной CRM без должной обвязки.
- Срок хранения не указан или указан "бессрочно". Это прямое нарушение принципа ограничения хранения.
- Нет связи с реестром обработки. Политика описывает один набор целей, реестр - другой, согласия - третий. При проверке несостыковки превращаются в основание для штрафа.
- Отсутствует процедура реализации прав субъекта. Закон требует механизма ответа на запросы об отзыве согласия, удалении, получении копии данных. В большинстве компаний этого механизма нет.
Защита от формального подхода
Проверка может быть документарной (запрос документов) и выездной. В обоих случаях проверяющий смотрит не только на наличие документов, но и на их связку с реальными процессами.
Способы избежать обвинения в формализме:
- Сделать политику и реестр живыми. Раз в год сверять с реальными процессами. Если запустили новый продукт - обновить.
- Провести обучение. Не для галочки, а с проверкой знаний. Записи об обучении - доказательство того, что компания управляет рисками.
- Завести журнал инцидентов. Даже мелких. Пустой журнал хуже заполненного: он означает либо что инцидентов не было, либо что их не фиксируют.
- Оформить отношения с подрядчиками. Договоры с обработчиками - часть документарного пакета. Без них политика повисает в воздухе.
- Защитить переписку с юристом. В случае инцидента важно сохранить конфиденциальность переписки, особенно при подготовке к проверке или ответу регулятору.
Документы и риск утечки
Политики и регламенты - это первая линия защиты при утечке. Если документы в порядке, у компании появляются аргументы для смягчения ответственности: были приняты меры, инцидент - результат внешней атаки или действий сотрудника, нарушившего регламент. Если документов нет или они формальны, презумпция вины оператора почти бесспорна.
В контексте усиленных штрафов и оборотных санкций, разобранных в штрафах за ПДн 2026, стоимость подготовки качественного пакета документов в десятки раз ниже стоимости одного крупного инцидента.
Хороший показатель готовности - смежная история с NDA. Если в компании NDA с сотрудниками подписаны корректно, обязательства о неразглашении встроены в трудовые отношения, а доступы к данным сегментированы, политика ПДн получает реальную опору. Без этого она остаётся текстом на сайте.
Что сделать в ближайшие недели
- Достать действующую политику и сравнить с реальными процессами.
- Собрать список SaaS-сервисов и подрядчиков с доступом к данным.
- Проверить, есть ли согласия на маркетинговые рассылки и передачу данных.
- Закрыть пробелы документами, не шаблонами, а адаптированными под бизнес.
Документы - не цель, а инструмент. Они работают только тогда, когда отражают реальность и сопровождаются практикой.