инструкция 14 января 2027 По состоянию на 14 января 2027

Политика для скрытой страницы (внутренний портал)

Политика обработки персональных данных для внутреннего портала — это обязательный документ по ч. 2 ст. 18.1 ФЗ-152, который оператор обязан разработать и предоставить по запросу РКН.

Отсутствие политики или несоответствие её содержания требованиям закона влечёт штраф до 60 000 ₽ по ч. 3 ст. 13.11 КоАП в редакции с 30.05.2025. При повторении — до 500 000 ₽.

→ Если вы юрист и готовите ОРД для внутреннего портала — ниже пошаговый порядок разработки политики, обязательные разделы и типичные ошибки.

Внутренний портал компании обрабатывает персональные данные работников, подрядчиков и иных лиц, которым предоставлен доступ. С точки зрения ФЗ-152 это полноценная информационная система персональных данных. Требования к документированию обработки здесь те же, что и для любого другого ресурса оператора. Ключевое различие — политика для внутреннего портала не публикуется на сайте, а хранится у оператора и предоставляется по запросу регулятора или субъекта. В этой инструкции — порядок разработки, содержание и ввод в действие политики шаг за шагом.

Шаг 1. Определите правовую базу и цели обработки

Первый шаг — зафиксировать, зачем компания обрабатывает персональные данные через внутренний портал. Ст. 5 ФЗ-152 закрепляет принцип конкретности целей: цель должна быть определена до начала обработки, обработка без заявленной цели недопустима.

Типичные цели для корпоративного портала: организация доступа к корпоративным ресурсам, учёт рабочего времени, внутренний документооборот, обработка обращений сотрудников, аутентификация пользователей. Каждую цель нужно описать отдельно — одной формулировкой «обеспечение деятельности компании» недостаточно.

Параллельно определите правовое основание обработки по ст. 6 ФЗ-152 для каждой цели. Для портала работников это, как правило, исполнение трудового договора (п. 5 ч. 1 ст. 6) и исполнение требований законодательства (п. 2 ч. 1 ст. 6). Согласие работника — не единственное и зачастую не основное основание.

«Ст. 5 ФЗ-152 — обработка ПДн допустима только для заранее определённых, конкретных и законных целей. Объединение баз с несовместимыми целями запрещено.»

Шаг 2. Установите состав обрабатываемых данных и сроки хранения

Политика должна содержать перечень категорий персональных данных, которые обрабатываются через портал. Минимум — ФИО, должность, учётные данные (логин), IP-адреса сессий, журналы действий. Если портал интегрирован с КЭДО или системой расчёта зарплаты — добавляются паспортные данные, СНИЛС, банковские реквизиты.

Для каждой категории данных установите срок хранения. Срок определяется целью обработки и нормами отраслевого законодательства. Данные об аутентификации (логи) хранятся, как правило, не менее 3 лет — это требование ряда отраслевых регуляторов и практика ИБ-аудита. Данные о трудовой деятельности — 75 лет (типовой срок личного дела).

После истечения срока данные подлежат уничтожению или обезличиванию — это требование ст. 5 ФЗ-152. Зафиксируйте порядок уничтожения в политике или в отдельном регламенте, на который политика ссылается.

Составляете ОРД для внутреннего портала?

Политика обработки ПДн — один из 38 документов полного пакета ОРД. Если разрабатывать её отдельно, без увязки с остальными документами (согласиями, приказом о назначении ответственного, регламентом реагирования), возникают противоречия, которые РКН фиксирует при проверке. Срок включения в реестр операторов после подачи уведомления по ст. 22 ФЗ-152 — 30 дней: если документы не готовы к этому моменту, это нарушение.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Опишите субъектов, операторов и обработчиков

Политика должна чётко разграничивать роли. Субъекты — те, чьи данные обрабатываются: работники, подрядчики, стажёры, иные пользователи портала. Оператор — юридическое лицо, которое определяет цели и средства обработки (ст. 3 ФЗ-152). Обработчик по поручению (п. 3 ч. 1 ст. 6 ФЗ-152) — внешний поставщик платформы портала, если он имеет доступ к данным.

Если портал развёрнут у внешнего вендора (SaaS-решение), между оператором и вендором должен быть заключён договор поручения обработки. В политике нужно указать, что обработка осуществляется в том числе с привлечением лиц по поручению, и описать цели такого поручения.

Трансграничная передача данных — отдельный вопрос. Если серверы вендора расположены за рубежом, до передачи данных в страну без адекватной защиты потребуется уведомление РКН по ст. 12 ФЗ-152. Локализация первичных данных граждан РФ (запись, систематизация, хранение) обязана проводиться на серверах в России — это требование ч. 5 ст. 18 ФЗ-152, действует с 2015 года, штраф по ч. 8 ст. 13.11 КоАП — от 1 до 6 млн ₽.

Шаг 4. Включите обязательные разделы по ч. 2 ст. 18.1 ФЗ-152

Ч. 2 ст. 18.1 ФЗ-152 устанавливает, что оператор обязан принять документ, определяющий политику в отношении обработки персональных данных. Требования к содержанию следуют из всей системы ФЗ-152. Типичный минимальный состав политики для внутреннего портала:

Наименование и реквизиты оператора, контакты ответственного по ст. 22.1 ФЗ-152
Цели обработки и правовые основания по ст. 6 ФЗ-152 для каждой цели
Категории субъектов и перечень обрабатываемых категорий ПДн
Сроки обработки и условия прекращения (уничтожения / обезличивания)
Перечень действий с ПДн: сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение
Описание технических и организационных мер защиты (со ссылкой на ст. 19 ФЗ-152 и уровень защищённости по ПП РФ №1119)
Порядок реализации прав субъектов (запросы, уточнение, блокирование, уничтожение) — с указанием срока ответа 10 рабочих дней по ст. 20 ФЗ-152
Сведения об обработчиках по поручению (если есть)
Порядок уведомления об изменениях политики и дата её принятия

Для внутреннего портала политика не публикуется в открытом доступе — в отличие от политики для сайта. Но она должна быть доступна работникам: ознакомление под роспись или доступ через тот же портал с фиксацией факта ознакомления.

«Ст. 18.1 ч. 2 ФЗ-152 — оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки ПДн.»

Если в политике отсутствует хотя бы один обязательный раздел — РКН вправе выдать предписание и возбудить дело по ч. 3 ст. 13.11 КоАП (штраф до 60 000 ₽). При повторном нарушении — до 500 000 ₽. Юристы DATUM проведут аудит действующих документов и укажут на пробелы до проверки.

Заказать аудит 152-ФЗ

Шаг 5. Назначьте ответственного по ст. 22.1 ФЗ-152

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных (ст. 22.1 ФЗ-152). Назначение оформляется приказом руководителя. Ответственный — не обязательно отдельная штатная единица: это может быть юрист, специалист по ИБ или иной сотрудник с соответствующей квалификацией.

Требования к квалификации ответственного установлены в ч. 4 ст. 22.1 ФЗ-152. Контактные данные ответственного (ФИО, должность, email или телефон) должны быть отражены в политике и в уведомлении РКН по форме Приказа РКН №180 от 28.10.2022. Если ответственный меняется, в реестр операторов нужно внести изменения.

В политике для внутреннего портала укажите: ФИО или должность ответственного, способ связи, перечень его функций — в частности, рассмотрение обращений субъектов, взаимодействие с РКН, организация уничтожения данных по истечении сроков.

Шаг 6. Учтите изменения согласий с 01.09.2025

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом. Включение согласия в трудовой договор, соглашение о конфиденциальности или иной составной документ — нарушение. Это напрямую касается корпоративных порталов: если регистрация или расширенный функционал требует согласия, оно должно быть выражено отдельно.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование и реквизиты оператора, цель обработки, перечень ПДн, перечень действий, срок действия согласия, способ отзыва. Если в согласии отсутствует хотя бы один реквизит, оно считается ненадлежащим — штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽.

Ранее полученные согласия (до 01.09.2025) переоформлять не требуется — обратной силы поправки не имеют. Но любые новые согласия, собираемые через портал после этой даты, должны соответствовать новым требованиям. Отразите актуальный порядок в политике.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом, не объединяется с иными документами.»

Как это применяется на практике

Кейс 1. Юрист торговой компании (Приволжский ФО, осень 2025) готовил ОРД к плановой проверке РКН. Политика обработки ПДн для корпоративного портала содержала цели, но не содержала описания технических мер защиты и порядка реализации прав субъектов. РКН выдал предписание об устранении нарушений и составил протокол по ч. 3 ст. 13.11 КоАП. Штраф — в нижней части диапазона. После устранения нарушений и предоставления исправленной политики дело прекратили на стадии постановления.

Кейс 2. IT-компания (Центральный ФО, начало 2026) использовала SaaS-портал от зарубежного вендора. Сервер располагался в ЕС, данные работников хранились там же. Уведомление о трансграничной передаче и оценка локализации отсутствовали. По результатам внеплановой проверки возбуждено дело по ч. 8 ст. 13.11 КоАП — нарушение требований локализации, штраф от 1 до 6 млн ₽. Политика компании не содержала раздела о трансграничной передаче, что усугубило позицию при обжаловании.

Типичные ошибки при составлении политики для внутреннего портала

Анализ распространённых нарушений позволяет выделить несколько устойчивых паттернов.

Ошибка 1 — единая политика для сайта и портала. Сайт и внутренний портал обрабатывают данные разных субъектов для разных целей. Объединение в один документ нарушает принцип конкретности целей по ст. 5 ФЗ-152 и создаёт путаницу при проверке.

Ошибка 2 — шаблон без адаптации. Шаблоны из открытых источников не учитывают специфику конкретного портала, состав его данных и вендора. РКН при проверке сверяет содержание политики с фактической обработкой — несоответствие фиксируется как самостоятельное нарушение.

Ошибка 3 — отсутствие раздела об уничтожении данных. Политика должна описывать не только сбор и хранение, но и прекращение обработки. Без этого раздела оператор не может корректно ответить на запрос субъекта об уничтожении его данных в установленный срок.

Ошибка 4 — устаревшие контакты ответственного. Если ответственный по ст. 22.1 сменился, а в политике и реестре РКН остались старые данные — это нарушение требований к актуальности уведомления по ст. 22 ФЗ-152.

Что подготовить юристу при разработке политики для внутреннего портала

Актуальное уведомление в реестре операторов РКН (pd.rkn.gov.ru) — проверить, что данные портала и его целей отражены
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с актуальными контактными данными
Договор с вендором портала — убедиться, что он содержит условия поручения обработки по п. 3 ч. 1 ст. 6 ФЗ-152
Отдельные формы согласий в соответствии с ч. 1 ст. 9 ФЗ-152 в редакции с 01.09.2025 (если портал собирает согласия)
Подтверждение локализации: документы о расположении серверов на территории РФ или уведомление РКН о трансграничной передаче

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов: политика, согласия, приказы, регламенты
Аудит соответствия 152-ФЗ — проверка фактической обработки по чек-листу с отчётом
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентской основе

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: политику обработки ПДн (ст. 18.1 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), уведомление РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152), формы согласий субъектов (ст. 9 ФЗ-152), перечень информационных систем ПДн с указанием уровня защищённости по ПП РФ №1119, регламент реагирования на инциденты с описанием порядка уведомления РКН за 24 и 72 часа по Приказу РКН №187, журнал учёта обращений субъектов. Полный пакет ОРД — 38 документов.

2. Как составить политику обработки ПДн для портала?

Политика разрабатывается под конкретную систему: сначала определяются цели и правовые основания по ст. 6 ФЗ-152, затем состав данных и сроки хранения, затем описываются меры защиты по ст. 19 ФЗ-152. Структура документа должна соответствовать требованиям ч. 2 ст. 18.1 ФЗ-152. Использование типового шаблона без адаптации к реальной обработке — распространённая ошибка, которую РКН фиксирует при проверке. Для внутреннего портала политика не публикуется публично, но хранится у оператора и предоставляется по запросу регулятора.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным может быть любой сотрудник организации с подходящей квалификацией — юрист, специалист по ИБ, руководитель IT-подразделения. Закон не требует отдельной штатной единицы. Назначение оформляется приказом. Контакты ответственного отражаются в политике обработки ПДн и в уведомлении РКН по форме Приказа РКН №180. Альтернатива — передать функцию на аутсорсинг по договору с внешним DPO-провайдером.

4. Можно ли использовать шаблон политики из интернета?

Шаблон из открытых источников — отправная точка, но не готовый документ. Политика должна отражать реальную обработку конкретного оператора: цели, категории данных, вендоров, меры защиты. Несоответствие политики фактической обработке — самостоятельное основание для предписания РКН. Кроме того, большинство шаблонов в интернете не учитывают изменения 2025 года (ФЗ-156 о согласиях с 01.09.2025, новую редакцию ст. 13.11 КоАП).

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку персональных данных оформляется только отдельным документом (ФЗ-156 от 24.06.2025, ч. 1 ст. 9 ФЗ-152). Включение согласия в трудовой договор, оферту, пользовательское соглашение или политику конфиденциальности недопустимо. Обязательные реквизиты согласия: ФИО субъекта, контакты, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Несоответствие влечёт штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽.

Итог

Политика обработки персональных данных для внутреннего портала — это не формальность, а рабочий документ, который описывает реальную обработку. Её содержание проверяет РКН, на неё ссылается ответственный при ответах субъектам, по ней оценивается уровень защищённости системы. Документ, скопированный из интернета и не адаптированный под конкретный портал, создаёт риски штрафов по ч. 3 ст. 13.11 КоАП и предписаний при проверке.

Юристы DATUM сопровождают разработку политик обработки ПДн в составе полного пакета ОРД — с учётом специфики портала, вендора, локализации данных и актуальных требований ФЗ-156 от 24.06.2025.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам. Специализация — политики конфиденциальности, согласия в SaaS и порталах, cookies, трансграничные сервисы, программы лояльности.

14 января 2027 года