menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

С чего действительно начинается работа с персональными данными: от запроса до системы

лонгриды
13.01.2023
30/09/25
Б-152
Лонгриды
События /
С чего действительно начинается работа с персональными данными
Статья объясняет, что эффективная работа с персональными данными начинается не с шаблонной политики, а с системного анализа реальных процессов, выявления рисков и построения целостной защиты, отражающей действительность, а не формальную «галочку».
Если вы хотите избежать штрафов, утечек и показного соответствия — читайте, как превратить хаос в управляемую систему с первого шага.
Почему работа с персональными данными — это системный процесс, а не формальный документ
Отказ от шаблонного формализма: почему не стоит начинать с политики
Содержание
Этап диагностики как фундамент построения системы защиты данных
Аналитические инструменты: анкеты, чек-листы и карта бизнес-процессов
Практические ловушки: когда документы не соответствуют реальности
Когда начинать формировать политику и документы
Назначение ответственного: приказ как инструмент управления, а не формальность
Чеклист готовности ответственного за ПДн:
Документы, которые формируют систему защиты персональных данных
Практические советы по старту работы с персональными данными
Заключение: путь от хаоса к системе начинается с понимания
Почему работа с персональными данными — это системный процесс, а не формальный документ
Отказ от шаблонного формализма: почему не стоит начинать с политики
Содержание
Этап диагностики как фундамент построения системы защиты данных
Аналитические инструменты: анкеты, чек-листы и карта бизнес-процессов
Практические ловушки: когда документы не соответствуют реальности
Когда начинать формировать политику и документы
Назначение ответственного: приказ как инструмент управления, а не формальность
Чеклист готовности ответственного за ПДн:
Документы, которые формируют систему защиты персональных данных
Практические советы по старту работы с персональными данными
Заключение: путь от хаоса к системе начинается с понимания

Почему работа с персональными данными — это системный процесс, а не формальный документ

Для многих компаний знакомство с законодательством о персональных данных начинается с поисков шаблона политики конфиденциальности, которую нужно срочно разместить на сайте. Это кажется самым простым и быстрым решением — «сделать политику», чтобы закрыть формальные требования и снизить риск штрафов.
Однако, такой подход зачастую оказывается поверхностным и даже опасным. Защита персональных данных — это не только документы, не просто бумажные или электронные файлы с записями, а сложная и многоуровневая система. Она охватывает все стадии взаимодействия с данными: от первого контакта с клиентом, сбора его сведений, последующего хранения, использования, передачи третьим лицам, до удаления и архивирования.
Работа с персональными данными — это процесс, который связан с множеством участников внутри компании и техническими и организационными средствами. Понимание и контроль этой системы начинается задолго до появления первого документа. И только при всестороннем и системном подходе возможна надежная защита, а не формальное соответствие.

Отказ от шаблонного формализма: почему не стоит начинать с политики

Одной из типичных ошибок новичков является попытка решить все вопросы сразу через «политику конфиденциальности». Часто компании, поддавшись формальным требованиям, скачивают стандартный шаблон, копируют его, вносят поверхностные правки и публикуют.
Проблема в том, что политика — это не набор общих фраз или юридический текст ради «галочки». Это отражение реальных процессов компании, и то, насколько они соответствуют практике. Если в документе указано, что персональные данные обрабатываются и хранятся в России, а на деле данные массово передаются зарубежным сервисам, это станет основанием для претензий и штрафов со стороны регулятора при потенциальной проверке.
И наоборот, если процессы работы с данными хорошо отлажены и описаны в документах, риск ошибок и нарушений значительно снижается. Поэтому грамотный подход начинается с анализа и понимания, а не с попытки сразу сформировать текст.

Этап диагностики как фундамент построения системы защиты данных

Вопреки расхожему мнению, начало работы над системой защиты данных — это не сразу разработка документов и внедрение мер. Первый и ключевой шаг — это обследование (аудит), направленное на сбор информации и понимание реального положения дел.
На этом этапе специалисты выясняют, как именно организация взаимодействует с персональными данными: какие бизнес-процессы задействованы, кто отвечает за обработку, какие используются информационные системы, какие документы уже разработаны, а каких нет, есть ли известные риски или инциденты.
Аудит позволяет выявить пробелы и противоречия в текущей работе с данными. Например, может обнаружиться, что на сайте компании собираются персональные данные через формы, но основания для обработки данных отсутствуют, а порядок хранения и передачи информации не контролируется, данные передаются в несколько облачных сервисов без надлежащих соглашений о поручении обработки данных.
Чем глубже и точнее будет проведено обследование, тем эффективнее и надежнее можно построить систему защиты. Аудит — это аналитическая работа, которая задает вектор развития и помогает минимизировать риски нарушения законодательства и утечки информации.
Итогом проведения аудита должно стать создание RoPA — так называемого Реестра процессов обработки персональных данных. Он не должен быть типовым, а должен отражать реальный перечень процессов обработки персональных данных в компании и подробное описание каждого из процессов.

Аналитические инструменты: анкеты, чек-листы и карта бизнес-процессов

На этапе обследования собранной информации помогают анкеты, чек-листы и опросники — они позволяют структурировать данные, выявить взаимосвязи между процессами и точнее определить зоны риска. Такие инструменты становятся основой для последующего анализа и проектирования архитектуры обработки данных.
Анкета по бизнес-процессам раскрывает: 
  • кто какие данные собирает,
  • с какой целью, 
  • где и как эти данные хранятся, 
  • кто имеет к ним доступ, 
  • как и когда происходит передача третьим лицам, 
  • как организован процесс уничтожения и архивирования,
  • в каких информационных системах происходит обработка данных,
  • правовые основания для обработки данных, 
  • срок обработки данных.
Особое внимание уделяется сопоставлению целей обработки и фактических действий. Например, данные о клиентах могут собираться с целью заключения договора, но использоваться для маркетинга без дополнительного согласия — это уже нарушение. Или храниться дольше установленного законом срока.
Анкета по информационным системам позволяет выявить технические аспекты: где именно находятся базы данных, используется ли облачное хранение, передаются ли данные за границу, насколько защищена инфраструктура.
Не менее важен чек-лист по чувствительной обработке, который выявляет наличие особо охраняемых видов данных или процессов, требующих повышенного внимания: биометрические и специальные данные, сведения о детях, использование систем принятия автоматизированных решений, трансграничная передача. Это повышает уровень ответственности.

Практические ловушки: когда документы не соответствуют реальности

Одна из самых частых проблем в работе с персональными данными — наличие формальных документов, которые не отражают реальное положение дел и не подкреплены практическим исполнением. На бумаге все выглядит безупречно: есть приказы, положения, регламенты, политики. Но в жизни они либо не работают, либо противоречат тому, что происходит в компании.
Например, ответственное лицо за работу с персональными данными назначено приказом, но фактически не знает своих обязанностей, не имеет доступа к системам, не участвует в управлении процессами и не контролирует исполнение. В такой ситуации документы не только не помогают, но и усугубляют положение: они прямо демонстрируют надзорным органам отсутствие реального контроля.
Еще одна типичная ловушка — расхождение между публичной политикой и реальными процессами. На сайте компании может быть опубликована политика, где подробно описаны цели обработки, но при этом в ней не отражен сбор аналитических данных о поведении пользователей. Если на сайте фактически используются инструменты веб-аналитики, а в политике этот процесс не указан, для Роскомнадзора это становится очевидным сигналом несоответствия. 
Важно подчеркнуть, что процессы обработки ПДн, которые есть на сайте, должны быть отражены не только в Политике, но и в Уведомлении в Реестр Операторов персональных данных РКН.
Отдельно стоит упомянуть риск информационного хаоса. Если в компании не уделяют внимания актуализации документов, велика вероятность, что сведения в разных ЛНА и в уведомлении в РКН будут расходиться. При этом, как отмечает регулятор, обнаружение на сайте трех и более несоответствий между фактическими процессами и сведениями в уведомлении является идентификатором риска нарушения обязательных требований и может спровоцировать внеплановую проверку.
Поэтому ключ к реальной защите данных — это живые документы, которые отражают актуальные процессы и регулярно сверяются с практикой. Их исполнение должно находиться под постоянным контролем, чтобы своевременно выявлять отклонения, обновлять меры защиты и адаптироваться к новым рискам.

Когда начинать формировать политику и документы

Политика по персональным данным и сопутствующие документы становятся возможными и эффективными лишь после всестороннего понимания:
  • Все процессы обработки данных внутри компании тщательно изучены.
  • Правовые основания обработки — договоры, согласия и другие — четко определены.
  • Перечень всех информационных систем, задействованных в обработке данных, выявлен и документирован.
  • Проведена оценка рисков.
  • Назначено ответственное лицо с реальными полномочиями, оформлен приказ.
  • Собрана информация о подрядчиках и контрагентах, участвующих в обработке.
Без этих компонентов любые документы будут либо излишне общими, либо не соответствующими действительности, что создаст только видимость защиты.

Назначение ответственного: приказ как инструмент управления, а не формальность

Закон обязывает компании назначать ответственного за обработку персональных данных. Но это не механическая формальность, а ключевой управленческий шаг, влияющий на всю систему защиты данных.
Ответственный должен обладать достаточной компетенцией и полномочиями, чтобы реально управлять процессами обработки. Это означает наличие доступа к регистрам и базам данных, понимание порядка их хранения, вовлеченность в работу с подрядчиками, а также право инициировать или блокировать действия, влияющие на безопасность данных.
Отдельное внимание стоит уделить должностной инструкции. Она должна быть понятной, конкретной и привязанной к реальным процессам, а не переписанной из шаблона. В ней важно четко зафиксировать:
— какие именно процессы контролирует ответственный;
— какие решения он может принимать самостоятельно;
— в каких случаях и как он взаимодействует с другими подразделениями;
— порядок действий в инцидентных ситуациях.
Кроме того, для обеспечения непрерывности контроля необходимо заранее назначить заместителя, который сможет оперативно заменить ответственного в случае его отсутствия. Такой подход помогает избежать ситуаций, когда ответственность «повисла в воздухе», а нарушения остаются незамеченными.

Чеклист готовности ответственного за ПДн:

1. Компетенции и обучение
— Прошел обучение или аттестацию по вопросам обработки и защиты персональных данных.
— Знает применимые нормы 152-ФЗ, подзаконных актов и отраслевых требований.
2. Доступ и ресурсы
— Имеет доступ к регистрам и системам, где обрабатываются ПДн.
— Обеспечен инструментами для контроля (журналы учета, доступ к аналитике, отчетность).
3. Полномочия
— Может самостоятельно инициировать проверки и аудит обработки ПДн.
— Имеет право требовать от подразделений исправления нарушений.
4. Взаимодействие с подрядчиками
— Вовлечен в согласование договоров, касающихся обработки ПДн.
— Контролирует соблюдение подрядчиками требований по защите данных.
5. Должностная инструкция
— Инструкция отражает реальные процессы, а не шаблонные формулировки.
— Четко определены зоны ответственности, права и обязанности.
6. Назначен заместитель
— Заместитель имеет те же доступы и полномочия на время отсутствия основного ответственного. В качестве ответственного может выступать и компания на аутсорсе, в частности, специалисты Б-152 предоставляют такие услуги.

Документы, которые формируют систему защиты персональных данных

После назначения ответственного формируются основные документы:
  • Политика обработки персональных данных — описывает структуру, принципы и подходы к защите информации.
  • Положение по организации обработки ПДн — определяет правила работы с данными.
  • Должностная инструкция ответственного — фиксирует его полномочия и обязанности.
  • Перечень информационных систем, в которых обрабатываются ПДн.
  • Перечень бизнес-процессов обработки ПДн — помогает отслеживать изменения и реагировать на них.
  • Договоры с подрядчиками, включая соглашения о поручении обработки.
  • Акт оценки вреда.
  • Акты уровня защищенности информационных систем ПДн.
  • Согласия на обработку ПДн под каждый выявленный факт обработки, где это требуется.
  • Перечень мест хранения материальных носителей с ПДн (может быть включен в Перечень бизнес-процессов обработки ПДн).
  • Форма Акта об уничтожении ПДн.
  • Реестр регистрации запросов субъектов ПДн.
  • План мероприятий по контролю соответствия требованиям закона.
  • Журнал ознакомления сотрудников с ЛНА по ПДн.
  • Перечень сотрудников, имеющих доступ к ПДн (может быть включен в Перечень бизнес-процессов обработки ПДн).

Практические советы по старту работы с персональными данными

  • Не начинайте с документов. Начните с глубокого анализа реальных процессов в компании.
  • Уделяйте внимание этапу диагностики. Это важнейший шаг, который позволяет выявить пробелы и риски ещё до начала разработки документов и внедрения мер защиты.
  • Проявляйте интерес к деталям. Использование облаков, передача данных подрядчикам, формы сбора данных на веб-ресурсах — все это должно быть учтено.
  • Используйте подробные анкеты и чек-листы. Они структурируют информацию и помогают увидеть полную картину.
  • Отдельно анализируйте чувствительные данные. Они требуют усиленных мер и особого контроля.
  • Назначайте ответственного с полномочиями и замещающим лицом. Обеспечьте непрерывность контроля.
  • Проводите регулярные проверки и обновления. Документы должны отражать текущую реальность.

Заключение: путь от хаоса к системе начинается с понимания

Настоящая работа с персональными данными — это выстроенная и управляемая система, а не набор шаблонных документов. Для построения такой системы критически важно сначала понять бизнес-процессы, выявить риски, назначить ответственных и только потом оформлять политику и другие документы.
Если начать с диагностики, можно избежать типичных ошибок, снизить риски штрафов и повысить доверие клиентов.
Только системный, продуманный подход позволит компании не просто формально соответствовать требованиям закона, а выстроить надежную модель защиты персональных данных.
Проверьте свою модель «Оператор — Обработчик»
Мы знаем все подводные камни 152-ФЗ и поможем их обойти.
ОСТАВИТЬ ЗАЯВКУ
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме