Нельзя собрать один «универсальный комплект» для всех
Когда бизнес спрашивает, какие документы нужны оператору персональных данных, он почти всегда надеется на короткий список из пяти пунктов. Но в реальности состав зависит от того, что именно вы делаете с данными: собираете заявки на сайте, ведёте клиентскую базу, работаете с сотрудниками, отправляете рассылки, используете CRM, подключаете подрядчиков или храните чувствительные данные.
Поэтому правильный вопрос звучит так: какие документы нужны именно под мою схему обработки.
Из чего обычно состоит комплект документов
1. Публичные документы для сайта
Это тот слой, который пользователь видит напрямую. Обычно сюда входят политика обработки персональных данных, политика конфиденциальности для сайта, тексты согласий у форм, логика по cookies и порядок работы с запросами субъектов.
2. Внутренние организационные документы
Это уже не витрина для сайта, а документы, которые описывают внутреннюю работу компании: регламенты, положения, порядок доступа, меры защиты, уничтожение данных, работа с обращениями и реакция на инциденты.
3. Документы по сотрудникам и кадровому контуру
Если в компании есть сотрудники и соискатели, нужен отдельный слой документов под этот процесс. Именно здесь бизнес часто недооценивает объём задач и думает только о клиентских данных, забывая о кадровом риске.
4. Документы по подрядчикам и передаче данных
Если данные получают сторонние исполнители, сервисы, агенты, интеграторы или облачные решения, этот слой тоже нужно собирать. Иначе документы на сайте будут жить отдельно от реального пути данных.
Минимальный набор для малого и среднего бизнеса с сайтом
У малого и среднего бизнеса чаще всего в обязательный минимум входят:
- политика обработки персональных данных,
- политика конфиденциальности для сайта,
- согласия у форм, если они нужны по вашей модели,
- порядок работы с запросами субъектов персональных данных,
- базовые внутренние документы по организации обработки и защите данных,
- документы по сотрудникам, если они есть,
- понимание, нужно ли уведомление в Роскомнадзор.
Но это именно каркас. У кого-то его достаточно, а у кого-то уже на первом шаге всплывают CRM, рассылки, подрядчики, доступы, хранение, трансграничная передача и другие важные слои.
Какие документы часто заказывают в первую очередь
- политика обработки персональных данных,
- политика конфиденциальности для сайта,
- согласие на обработку персональных данных на сайте,
- приказ о назначении ответственного,
- журнал обращений субъектов,
- регламент на случай утечки,
- положение по работе с персональными данными работников,
- уведомление в Роскомнадзор, если оно требуется.
Главная ошибка при подборе комплекта
Самая частая ошибка, купить набор документов «как у всех» и считать вопрос закрытым. Но если документы не совпадают с тем, как у вас реально устроены сайт, формы, CRM, реклама, сотрудники и подрядчики, формальный комплект не снимает риск.
Как понять, что нужно именно вам
Сначала нужно описать свою схему обработки простыми словами:
- какие данные вы собираете,
- откуда они приходят,
- где хранятся,
- кто к ним имеет доступ,
- куда они передаются,
- есть ли сотрудники, подрядчики, рассылки, реклама, CRM и аналитика.
После этого уже становится понятно, нужен вам базовый комплект, пакет для сайта, расширенный пакет с внутренним контуром или отдельные документы по точечным рискам.
Когда достаточно пакета, а когда нужен разбор
Пакет документов подходит, если сценарий понятный и типовой. Например, обычный сайт с заявками, базовая клиентская работа, стандартные процессы внутри компании.
Разбор или аудит нужен, если у вас сложнее схема: CRM, подрядчики, реклама, рассылки, несколько форм, личный кабинет, сотрудники, нестандартные потоки данных или сомнения по уведомлению.
Что делать дальше
Если задача уже понятна, начните с подбора пакета документов. Если есть сомнения, какие документы действительно нужны и не хочется тратить деньги на лишнее, лучше сначала пройти консультацию или разобрать связку сайта и процессов через аудит сайта по 152-ФЗ.