LPA: локальные акты оператора ПДн — какие документы должны быть в компании

Что такое локальные нормативные акты оператора и зачем они нужны

Локальные нормативные акты (ЛНА) оператора персональных данных — это внутренние документы организации, которые устанавливают правила, процедуры и ответственность в области обработки и защиты персональных данных. Обязанность разработать и утвердить такие документы вытекает из статьи 18.1 ФЗ-152: оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом. Одной публичной политики конфиденциальности для этого недостаточно.

Практическая ценность ЛНА двояка. Во-первых, они необходимы для прохождения проверок Роскомнадзора: при плановой проверке инспектор запрашивает весь пакет документов. Отсутствие любого из обязательных документов — основание для предписания и штрафа. Во-вторых, ЛНА помогают выстроить реально работающие процессы внутри компании: сотрудники знают свои обязанности, понимают, как действовать при инциденте, соблюдают сроки уничтожения данных. Документ без поддерживающего его процесса не имеет юридической ценности.

Обязательные локальные акты: полный перечень

1. Политика в отношении обработки персональных данных

Публичный документ, обязательный по части 2 статьи 18.1 ФЗ-152. Это единственный ЛНА, который должен быть доступен неограниченному кругу лиц (размещается на сайте). Он описывает общие принципы и подходы оператора к обработке данных. Отличается от других ЛНА тем, что адресован внешней аудитории — пользователям, клиентам, партнерам, Роскомнадзору.

2. Положение об обработке персональных данных

Внутренний документ, более детально описывающий процессы обработки данных. В отличие от публичной политики конфиденциальности, положение предназначено для внутреннего использования и может содержать сведения, которые не следует раскрывать публично (например, конкретные технические системы и их настройки). Положение должно охватывать: перечень обрабатываемых данных с привязкой к конкретным процессам и подразделениям, описание информационных систем персональных данных (ИСПДн), порядок взаимодействия с субъектами данных, процедуру рассмотрения запросов субъектов.

3. Приказ о назначении ответственного за организацию обработки ПДн

Статья 22.1 ФЗ-152 обязывает операторов назначить лицо, ответственное за организацию обработки персональных данных. Это требование действует с 2017 года и распространяется на всех операторов без исключений. Ответственный не обязан быть штатным юристом или специалистом по информационной безопасности — это может быть любой сотрудник, которому поручены соответствующие функции. Приказ должен содержать: ФИО и должность назначаемого лица, перечень его функций и полномочий, дату вступления в должность.

4. Перечень лиц, допущенных к обработке персональных данных

Оператор обязан ограничить доступ к персональным данным: только те сотрудники, которым данные нужны для выполнения служебных обязанностей, должны иметь к ним доступ. Этот принцип минимизации доступа закреплен в подпункте 6 части 1 статьи 18.1 ФЗ-152. Перечень должен обновляться при изменении штатного расписания или должностных функций сотрудников.

5. Инструкция по обработке персональных данных для сотрудников

Документ, который описывает практические правила работы с персональными данными для рядовых сотрудников. Написан простым языком и отвечает на практические вопросы: как принять запрос субъекта данных, что делать при утечке, как уничтожить документы с ПДн, кому передавать данные по внешним запросам. Сотрудники должны быть ознакомлены с инструкцией под подпись.

6. Политика (регламент) обеспечения безопасности персональных данных

Документ, описывающий технические и организационные меры по защите персональных данных. Требование принять меры по обеспечению безопасности ПДн установлено статьей 19 ФЗ-152. Документ должен охватывать: классификацию информационных систем по уровню защищенности (УЗ), применяемые технические средства защиты, правила работы с ключами шифрования, порядок антивирусной защиты, правила резервного копирования, требования к паролям и идентификации пользователей.

7. Регламент реагирования на инциденты с персональными данными

С 1 сентября 2022 года (Федеральный закон N 266-ФЗ) оператор обязан в течение 24 часов уведомить Роскомнадзор об инциденте, повлекшем неправомерную или случайную передачу, предоставление, распространение, доступ к персональным данным. В течение 72 часов — направить дополнительное уведомление с результатами внутреннего расследования. Регламент должен определять: кто является ответственным за выявление инцидентов, как квалифицировать событие как инцидент, кто уведомляет Роскомнадзор, как проводится внутреннее расследование, как информируются пострадавшие субъекты данных.

8. Регламент уничтожения персональных данных

Данные должны уничтожаться по истечении срока хранения или по достижении цели обработки (статья 5 ФЗ-152). Уничтожение должно быть задокументировано: акт о уничтожении ПДн является доказательством выполнения требований закона. Регламент определяет: кто и с какой периодичностью проверяет сроки хранения данных, кто принимает решение об уничтожении, как оформляется акт уничтожения, какие технические методы уничтожения применяются (для электронных данных — перезапись или физическое уничтожение носителя, для бумажных — шредер с документированием).

9. Журнал учета обращений субъектов персональных данных

Документ для фиксации запросов субъектов данных о доступе к их данным, требований об уточнении, блокировании или уничтожении данных, заявлений об отзыве согласия. Ведение журнала позволяет контролировать соблюдение сроков ответа (30 дней по статье 22 ФЗ-152, 7 рабочих дней для ряда запросов по статье 21) и демонстрировать регулятору надлежащую работу с обращениями при проверке.

10. Соглашение о неразглашении с сотрудниками, имеющими доступ к ПДн

Сотрудники, работающие с персональными данными, обязаны соблюдать конфиденциальность. Эта обязанность может быть закреплена в трудовом договоре или дополнительном соглашении о неразглашении. Документ должен определять: перечень данных, признаваемых конфиденциальными, обязанности сотрудника по обеспечению конфиденциальности, ответственность за нарушение обязательства (в рамках трудового законодательства).

Таблица: приоритет документов по срочности разработки

Документ Правовое основание Приоритет Для кого обязателен
Политика конфиденциальности Ч. 2 ст. 18.1 ФЗ-152 Критический Все операторы с сайтом
Приказ об ответственном за ПДн Ст. 22.1 ФЗ-152 Критический Все операторы
Положение об обработке ПДн Ст. 18.1 ФЗ-152 Высокий Все операторы
Перечень лиц с доступом к ПДн П. 6 ч. 1 ст. 18.1 ФЗ-152 Высокий Все операторы
Регламент реагирования на инциденты Ч. 3.1 ст. 21 ФЗ-152 (ред. 266-ФЗ) Высокий Все операторы
Политика безопасности ПДн Ст. 19 ФЗ-152 Средний Операторы с ИСПДн
Регламент уничтожения ПДн Ст. 5, 21 ФЗ-152 Средний Все операторы
Инструкция для сотрудников Ст. 18.1 ФЗ-152 Средний Все операторы с персоналом
Журнал обращений субъектов Ст. 21, 22 ФЗ-152 Средний Все операторы
Соглашение о неразглашении Ст. 88 ТК РФ, ст. 7 ФЗ-152 Рекомендуется Все операторы с сотрудниками

Статья 18.1 ФЗ-152: Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей. К таким мерам могут в том числе относиться: издание оператором документов, определяющих политику оператора в отношении обработки персональных данных.

Типичные ошибки при работе с ЛНА

Документы есть, но не исполняются

Самая распространенная проблема: документы есть, но сотрудники о них не знают, процедуры не соблюдаются, журналы не ведутся, сроки хранения не отслеживаются. При проверке Роскомнадзора это выявляется через опрос сотрудников, анализ реальных процессов и запрос актов уничтожения данных. Формальные ЛНА не защищают от ответственности, если их содержание не соответствует тому, что происходит на практике. Наличие документов без их реального исполнения иногда расценивается регулятором как отягчающее обстоятельство.

Скачанные шаблоны без адаптации

Готовые шаблоны документов из интернета могут существенно отличаться от реальных процессов конкретной организации. Перечень обрабатываемых данных, цели, сроки хранения, перечень информационных систем, имена ответственных лиц — всё это должно соответствовать реальности конкретной компании. Несоответствие документов фактическим процессам — нарушение не меньшее, чем полное отсутствие документов. При проверке инспектор задает конкретные вопросы и сопоставляет ответы с содержанием документов.

Отсутствие ознакомления сотрудников

Работники должны быть ознакомлены с локальными актами под личную роспись. Без листов ознакомления сложно доказать, что сотрудники знали о требованиях, правилах и своих обязательствах. При проверке РКН отсутствие ознакомления является нарушением требований статьи 18.1 ФЗ-152 и может повлечь предписание об устранении нарушения. Ознакомление проводится при приеме на работу и при внесении изменений в документы.

Устаревшие версии документов

Если политика конфиденциальности датирована 2019-2020 годом, а поправки 2022-2024 годов существенно расширили требования к операторам — это серьезное нарушение. Установите регулярный (не реже раза в год) плановый пересмотр всего пакета ЛНА. При изменении законодательства или внутренних процессов — внеплановое обновление. Каждая версия документа должна иметь дату утверждения и номер версии для удобства управления изменениями.

С чего начать разработку пакета документов

Правильная последовательность разработки ЛНА: сначала аудит реальных процессов обработки данных (какие данные, от кого, для чего, как хранятся, кому передаются), затем разработка документов на основе результатов аудита, затем ознакомление сотрудников и внедрение процессов. Без предварительного аудита документы будут описывать гипотетические процессы, а не реальные — и не выдержат проверки.

Нужна помощь с разработкой пакета документов?

Специалисты 152fzpro.ru разработают полный пакет локальных актов оператора персональных данных, соответствующих актуальным требованиям ФЗ-152 на 2026 год. Работа начинается с аудита текущего состояния: анализируются реальные процессы обработки данных, применяемые технологии, существующие документы. На основе аудита разрабатывается комплект документов, адаптированных под вашу конкретную деятельность — не шаблоны, а рабочие инструменты. Мы также проводим обучение ответственного сотрудника и помогаем выстроить процессы, которые реально работают и защищают компанию при проверке. Оставьте заявку или запишитесь на предварительную консультацию — первая консультация бесплатна.

Как проверить комплектность документов: практический чек-лист

Для самостоятельной проверки готовности пакета ЛНА воспользуйтесь следующим чек-листом:

  1. Политика конфиденциальности опубликована на сайте и доступна без авторизации
  2. Приказ о назначении ответственного за обработку ПДн подписан и содержит актуальные данные
  3. Положение об обработке персональных данных утверждено и актуализировано
  4. Перечень лиц, допущенных к ПДн, составлен и актуален
  5. Инструкция для сотрудников разработана, сотрудники ознакомлены под подпись
  6. Политика информационной безопасности утверждена и охватывает все ИСПДн
  7. Регламент реагирования на инциденты разработан с учетом 24-часового срока уведомления РКН
  8. Регламент уничтожения ПДн описывает процедуру и форму актов уничтожения
  9. Журнал обращений субъектов ведется и соблюдаются установленные сроки ответа
  10. Соглашения о неразглашении заключены со всеми сотрудниками, имеющими доступ к ПДн
  11. Уведомление в РКН подано, содержание реестра соответствует актуальным процессам
  12. Договоры с поручителями (обработчиками ПДн) заключены и содержат обязательные условия

Договор с поручителем как обязательный документ

Если оператор привлекает для обработки ПДн стороннего исполнителя (например, хостинг-провайдера, разработчика CRM, сервис email-рассылок), такое лицо является обработчиком (поручителем). Обработка по поручению допустима только при наличии договора или государственного (муниципального) контракта, предусматривающего конкретные обязательные условия (часть 3 статьи 6 ФЗ-152). Договор с поручителем должен содержать: перечень действий с ПДн, разрешенных поручителю, цели обработки, обязанность поручителя соблюдать конфиденциальность, требования к безопасности, ответственность поручителя за нарушения. Отсутствие такого договора при фактической передаче данных третьему лицу является нарушением закона.

Документация для обработки данных сотрудников

Работодатель как оператор персональных данных своих работников должен иметь дополнительный блок документов:

  • Положение о защите персональных данных работников (обязательно по статье 87 Трудового кодекса РФ)
  • Обязательство сотрудника о соблюдении режима конфиденциальности ПДн — обычно включается в трудовой договор или оформляется как приложение к нему
  • Согласие сотрудника на обработку данных, если обработка выходит за рамки трудовых отношений (например, для размещения фото на сайте компании или в СМИ)
  • Перечень должностей с доступом к персональным данным работников

Положение о защите ПДн работников является требованием трудового законодательства и контролируется не только Роскомнадзором, но и государственной инспекцией труда. Его отсутствие может повлечь штрафы по статье 5.27 КоАП РФ в дополнение к санкциям по статье 13.11 КоАП РФ.

Периодичность пересмотра документов

Разработать пакет ЛНА один раз и забыть — недостаточно. Законодательство в сфере персональных данных активно развивается: только за 2022-2024 годы в ФЗ-152 были внесены существенные изменения, в 2025 году выросли штрафы, в 2026 году возможны новые поправки. Рекомендуется установить следующую периодичность пересмотра документов:

  • Ежегодно: общий пересмотр всего пакета ЛНА с учетом изменений законодательства и изменений в процессах компании
  • При изменении законодательства: немедленное обновление документов, затронутых новыми требованиями
  • При изменении процессов: при подключении новых сервисов, изменении целей обработки, смене ответственного — обновление соответствующих документов и уведомления в РКН
  • После инцидента: анализ причин инцидента и корректировка регламентов, если инцидент выявил пробелы в документации или процессах

Аутсорсинг разработки ЛНА: когда это целесообразно

Разработка полного пакета ЛНА требует знания как законодательства о персональных данных, так и специфики конкретной отрасли и конкретной компании. Для большинства малых и средних компаний привлечение внешнего специалиста или компании будет эффективнее, чем попытка разработать документы самостоятельно по шаблонам из интернета. Профессиональная разработка ЛНА дает: соответствие актуальным требованиям закона, адаптацию под реальные процессы компании (не шаблон), методологическую последовательность и отсутствие внутренних противоречий между документами, подготовку к прохождению проверок.

При выборе исполнителя обратите внимание: специалист должен знать не только текст ФЗ-152, но и актуальную правоприменительную практику, позиции Роскомнадзора и решения судов по спорам в сфере персональных данных. Документы, разработанные формально, без учета правоприменительного контекста, могут формально соответствовать закону, но не выдержать проверки на практике.

Ответственность за отсутствие локальных актов

Отсутствие или ненадлежащее содержание локальных актов является нарушением статьи 18.1 ФЗ-152 и может повлечь ответственность по статье 13.11 КоАП РФ. С 30 мая 2025 года штраф для юридических лиц по части 1 статьи 13.11 составляет от 60 000 до 100 000 рублей. Отсутствие приказа о назначении ответственного за ПДн (требование статьи 22.1 ФЗ-152) является отдельным нарушением. При повторных нарушениях размер штрафа возрастает до 300 000 рублей. Кроме того, при проверке Роскомнадзор вправе выдать предписание об устранении нарушений — его неисполнение в установленный срок влечет отдельную ответственность. Своевременная разработка и поддержание в актуальном состоянии полного пакета ЛНА — наиболее надежный способ защиты от административных рисков в сфере персональных данных.