Перейти к содержанию
инструкция 21 февраля 2027 По состоянию на 21 февраля 2027

Регламент допуска к ПДн новых сотрудников

Регламент допуска к персональным данным — это внутренний акт оператора, который устанавливает порядок предоставления, изменения и прекращения прав доступа к ИСПДн при найме нового сотрудника.
Без такого регламента оператор не выполняет требования ст. 18.1 ФЗ-152 об организационных мерах. Каждый неоформленный допуск — самостоятельный риск по ч. 1 ст. 13.11 КоАП (до 300 000 ₽) и потенциальный повод к проверке Роскомнадзора.
→ Если вы юрист и проверяете комплаенс оператора по 152-ФЗ — ниже пошаговый порядок составления регламента, перечень связанных ОРД и типовые ошибки, которые находит РКН.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: 18 частей вместо прежних семи. Отсутствие организационно-распорядительной документации — самостоятельный состав нарушения. Регламент допуска входит в обязательный ОРД-пакет наряду с политикой обработки ПДн, перечнем лиц, имеющих доступ, и приказом об ответственном по ст. 22.1 ФЗ-152. В этой инструкции — шесть шагов: от анализа ИСПДн до подписания листа ознакомления сотрудником.

Шаг 1. Проверьте уведомление в реестре РКН

Регламент допуска не существует в отрыве от реестра операторов ПДн. До его составления убедитесь, что компания включена в реестр и сведения о ней актуальны. Оператор обязан уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки — ст. 22 ФЗ-152 и Приказ РКН №180 от 28.10.2022. Проверка проводится через pd.rkn.gov.ru по ИНН или наименованию.

«Ст. 22 ФЗ-152 — оператор обязан направить уведомление в уполномоченный орган до начала обработки ПДн. Форма утверждена Приказом РКН №180 от 28.10.2022. Срок включения в реестр — до 30 дней.»

Если компания уже в реестре, проверьте актуальность сведений: цели обработки, категории ПДн, перечень систем, сроки хранения. Несоответствие реестра фактическим процессам — самостоятельный риск при проверке. Изменение сведений подаётся через ту же форму на pd.rkn.gov.ru. Неуведомление или несвоевременное уведомление влечёт штраф по ч. 10 ст. 13.11 КоАП — от 100 000 до 300 000 ₽ для юридического лица.

Шаг 2. Составьте перечень ИСПДн и категорий ПДн, к которым возможен доступ

Регламент допуска привязан к конкретным информационным системам. Составьте перечень ИСПДн, указав для каждой: наименование системы, категорию обрабатываемых ПДн (общие, специальные по ст. 10, биометрические по ст. 11), уровень защищённости по ПП РФ №1119 (УЗ-1…УЗ-4), технические средства доступа.

Уровень защищённости влияет на состав организационных мер. При УЗ-3 и УЗ-4 регламент допуска входит в базовый набор мер по Приказу ФСТЭК №21. При УЗ-1 и УЗ-2 он обязателен и должен предусматривать усиленные процедуры. Порог 100 000 субъектов в одной ИСПДн повышает УЗ на одну ступень относительно типа угроз.

Для каждой ИСПДн определите роли доступа: администратор, оператор ввода, только просмотр, без доступа к ПДн. Роли фиксируются в матрице доступа — приложении к регламенту.

Юрист проверяет ОРД оператора — где брать типовые формы?

Перечень ИСПДн, матрица ролей, шаблон регламента допуска — это три из 38 документов обязательного ОРД-пакета по 152-ФЗ. Собрать их самостоятельно под конкретную структуру оператора занимает от трёх недель. Если срок критичен или на носу проверка РКН — юристы DATUM готовят пакет под ключ.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Подготовьте политику обработки ПДн и назначьте ответственного

Регламент допуска является частью системы организационных мер, которую оператор обязан выстроить по ст. 18.1 ФЗ-152. Центральный документ системы — политика обработки ПДн. Она должна быть опубликована в открытом доступе: на сайте или на информационном стенде. Отсутствие политики — состав по ч. 3 ст. 13.11 КоАП, штраф от 30 000 до 60 000 ₽.

«Ст. 18.1 ФЗ-152 — оператор обязан принять меры для обеспечения выполнения обязанностей, предусмотренных законом: назначить ответственного, разработать политику, принять локальные акты, проводить внутренний контроль, оценивать вред субъектам, знакомить работников с требованиями по ПДн.»

Параллельно с политикой издаётся приказ о назначении лица, ответственного за организацию обработки ПДн, — ст. 22.1 ФЗ-152. Это лицо должно обладать квалификацией в области защиты информации или пройти обучение. Ответственный по ст. 22.1 — не просто номинальная должность: он координирует выполнение обязанностей оператора, включая процедуры допуска к ПДн при найме. Его данные указываются в уведомлении по Приказу РКН №180.

Допускается передача функции ответственного на аутсорсинг (DPO-аутсорсинг). В этом случае в уведомлении РКН указываются данные организации-аутсорсера. Договор поручения обработки ПДн заключается по ч. 3 ст. 6 ФЗ-152.

Шаг 4. Разработайте регламент допуска к ПДн — структура и обязательные разделы

Регламент допуска — внутренний нормативный акт оператора. Утверждается приказом руководителя. Типовая структура включает семь разделов.

  • Область применения — перечень ИСПДн, на которые распространяется регламент; категории сотрудников (штат, совместители, подрядчики по ГПХ).
  • Порядок оформления допуска — этапы: заявка руководителя подразделения, проверка наличия согласия субъекта, заключение с сотрудником соглашения о неразглашении, технический ввод учётной записи.
  • Матрица ролей и уровней доступа — приложение с таблицей «ИСПДн × роль → тип доступа».
  • Порядок изменения прав доступа — при переводе, изменении функций, дисциплинарных мерах.
  • Порядок прекращения допуска — при увольнении, окончании срока ГПХ, по инициативе оператора.
  • Журнал учёта допусков — кто, когда, к какой ИСПДн получил или утратил доступ.
  • Ответственность — ссылка на дисциплинарные меры, уголовную ответственность по ст. 272 и ст. 272.1 УК РФ.

Регламент утверждается с датой ввода в действие. Все сотрудники, которым предоставляется допуск, знакомятся с регламентом под роспись — факт ознакомления фиксируется в листе ознакомления или в журнале учёта.

Шаг 5. Оформите согласие на обработку ПДн нового сотрудника

Допуск к ИСПДн новый сотрудник получает только после оформления документов, подтверждающих законность обработки его персональных данных как субъекта. С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — в силу ФЗ-156 от 24.06.2025, изменившего ч. 1 ст. 9 ФЗ-152. Включить согласие в трудовой договор, оферту или политику конфиденциальности теперь нельзя.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025, вступившей в силу с 01.09.2025, — согласие субъекта оформляется отдельным документом, не совмещается с иными документами. Обязательные реквизиты: ФИО и контакты субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок и способ отзыва.»

Для сотрудника, как правило, требуются несколько согласий: базовое на обработку в целях трудовых отношений (ст. 86–88 ТК РФ), отдельное на публикацию данных (ст. 10.1 ФЗ-152 — если планируется), отдельное на биометрию (ст. 11 ФЗ-152 — если используется СКУД или ЕБС). Ранее выданные согласия до 01.09.2025 переоформлять не требуется — ФЗ-156 обратной силы не имеет. Новые согласия — только по новым требованиям.

Отсутствие согласия при обработке ПДн, требующей его наличия, — состав по ч. 2 ст. 13.11 КоАП, штраф от 300 000 до 700 000 ₽ для юридического лица. При повторном нарушении — ч. 2.1, от 1 000 000 до 1 500 000 ₽.

Если юрист выявил, что согласия сотрудников до сих пор вшиты в трудовой договор — это нарушение ч. 2 ст. 13.11 КоАП с 01.09.2025 (штраф до 700 000 ₽). До 30 дней от уведомления РКН до включения в план проверок — время ещё есть. Специалисты DATUM подготовят новые формы согласий и проверят весь ОРД-пакет HR-блока.

Заказать аудит 152-ФЗ

Шаг 6. Зафиксируйте допуск и проведите ознакомление под роспись

Последний шаг — документарное закрепление допуска. В журнале учёта допусков делается запись: дата, ФИО сотрудника, должность, ИСПДн, роль доступа, подпись сотрудника и ответственного по ст. 22.1. Одновременно сотрудник подписывает лист ознакомления с регламентом и политикой обработки ПДн.

При увольнении процедура зеркальная: дата прекращения допуска, отметка об отзыве прав в системе, подпись ответственного. Журнал хранится у ответственного за обработку ПДн. Срок хранения — не менее трёх лет или до прекращения деятельности оператора (если ранее).

Ознакомление под роспись — не формальность. При проверке РКН инспектор запрашивает журнал допусков как доказательство выполнения ч. 1 ст. 18.1 ФЗ-152 (принятие мер для обеспечения обязанностей оператора). Отсутствие журнала или пробелы в нём — основание для предписания и протокола.

Типовые ситуации: что находит РКН при проверке регламента допуска

Ситуация 1. Регламент есть, но матрица ролей не актуализировалась после реструктуризации. Сотрудники бухгалтерии сохраняют доступ к ИСПДн кадрового учёта после перехода на аутсорсинг кадровых функций. Инспектор РКН запрашивает журнал допусков и выявляет записи с незакрытыми правами уволенных сотрудников. Возможный состав — ч. 1 ст. 13.11 КоАП (обработка ПДн в случаях, не предусмотренных законом), штраф до 300 000 ₽. Стратегия: актуализировать матрицу не реже одного раза в год и при каждом организационном изменении; предусмотреть в регламенте триггеры обязательного пересмотра.

Ситуация 2. Подрядчик по ГПХ получил доступ к ИСПДн без поручения по ч. 3 ст. 6 ФЗ-152. IT-интегратор подключён к CRM с ПДн клиентов для технической поддержки. Договор поручения обработки ПДн не заключён, согласования с РКН нет. При обнаружении инцидента оператор несёт полную ответственность — подрядчик не снимает её с оператора. Возможный состав — ч. 1 ст. 13.11. Стратегия: в регламент допуска включить отдельный раздел «Допуск лиц, не состоящих в штате» с обязательным требованием договора поручения до предоставления прав.

Ситуация 3. Согласие сотрудника оформлено, но не по реквизитам ст. 9 ФЗ-152 в редакции с 01.09.2025. Согласие дано в виде отдельного листа, но в нём отсутствует перечень конкретных действий с ПДн и срок обработки. РКН при плановой проверке указывает на несоответствие — форма не удовлетворяет требованиям ФЗ-156. Возможный состав — ч. 2 ст. 13.11 КоАП, штраф от 300 000 до 700 000 ₽. Стратегия: использовать типовую форму, прошедшую юридическую проверку, с обязательными восемью реквизитами ст. 9 ФЗ-152.

Что подготовить для готовности регламента допуска к проверке

Что подготовить

  • Выписку из реестра операторов ПДн с pd.rkn.gov.ru с актуальными сведениями об ИСПДн и целях обработки.
  • Политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованную на сайте или стенде.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с указанием квалификации или документа об обучении.
  • Сам регламент допуска, утверждённый приказом руководителя, с актуальной матрицей ролей и журналом учёта допусков.
  • Отдельные согласия сотрудников по форме ст. 9 ФЗ-152 в редакции ФЗ-156 (для найма после 01.09.2025).

Как это выглядит на практике

Кейс 1. Торговая компания (Сибирский ФО, начало 2026). Юрист, проверяя ОРД перед плановой проверкой РКН, обнаружил: регламент допуска утверждён в 2021 году и не актуализирован после внедрения новой CRM. В матрице ролей числились три уволенных менеджера с активными учётными записями. Юрист инициировал пересмотр регламента, закрытие устаревших прав и переоформление согласий сотрудников под требования ФЗ-156. Проверка РКН прошла без предписаний — инспектор признал меры достаточными.

Кейс 2. IT-компания на аутсорсинге (Центральный ФО, осень 2025). Подрядчик по ГПХ выполнял функции системного администратора и имел полный доступ к кадровой ИСПДн. Договор поручения обработки по ч. 3 ст. 6 ФЗ-152 отсутствовал. После анонимной жалобы в РКН компания получила запрос о предоставлении документов. Юрист оперативно подготовил договор поручения, скорректировал регламент допуска и уведомление в реестре. Дело было прекращено без составления протокола на стадии рассмотрения жалобы. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

  • Комплект ОРД под ключ — 38 документов включая регламент допуска, матрицу ролей и формы согласий под ст. 9 ФЗ-152.
  • Аудит соответствия 152-ФЗ — проверка текущего ОРД-пакета по чек-листу, отчёт с приоритизацией нарушений.
  • DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании, включая контроль за соблюдением регламента допуска.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный ОРД-пакет включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки ПДн (ст. 18.1), приказ об ответственном (ст. 22.1), перечень лиц, допущенных к ПДн, регламент допуска с матрицей ролей, формы согласий субъектов по ст. 9 ФЗ-152, журнал учёта обращений субъектов, соглашения о неразглашении с сотрудниками и договоры поручения с подрядчиками по ч. 3 ст. 6 ФЗ-152. Всего — порядка 38 документов при полном комплекте.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152: наименование и контакты оператора, цели и правовые основания обработки, перечень обрабатываемых категорий ПДн, права субъектов и порядок их реализации, сведения о трансграничной передаче (если применимо), порядок уничтожения ПДн. Политика публикуется в открытом доступе на сайте оператора. Использовать шаблон из интернета без адаптации под конкретную деятельность — риск: инспектор РКН проверяет соответствие политики фактическим процессам обработки.

3. Кого назначить ответственным по ст. 22.1?

Ответственным за организацию обработки ПДн назначается работник, обладающий квалификацией в области защиты информации или прошедший соответствующее обучение, — требование ч. 4 ст. 22.1 ФЗ-152. Это может быть штатный юрист, специалист по ИБ или иное лицо с подтверждённой подготовкой. Допускается передача функции на аутсорсинг по договору поручения. Данные ответственного указываются в уведомлении РКН по Приказу №180.

4. Можно ли использовать шаблон политики из интернета?

Шаблон допустим как отправная точка, но не как финальный документ. РКН при проверке сопоставляет политику с фактическими системами и процессами: если в политике указаны цели и категории ПДн, которые не соответствуют реальной обработке, или отсутствуют сведения о фактически используемых ИСПДн — это нарушение ст. 18.1 ФЗ-152. Неперсонализированные шаблоны также не учитывают отраслевую специфику (медицина, финтех, HR) и новые требования ФЗ-156 с 01.09.2025.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн оформляется только отдельным документом — это требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Нельзя включать согласие в трудовой договор, политику или оферту. Для нового сотрудника, как правило, нужны: согласие на обработку в целях трудовых отношений, отдельное согласие на распространение (ст. 10.1 ФЗ-152) если планируется размещение данных на сайте, отдельное согласие на биометрию (ст. 11 ФЗ-152) если используется СКУД. Согласия, выданные до 01.09.2025, обратной силе не подлежат и переоформления не требуют.

6. Что происходит с доступом при увольнении сотрудника?

Прекращение трудовых отношений влечёт обязательное прекращение допуска к ПДн в день увольнения или ранее — это требование принципа минимизации обработки по ст. 5 ФЗ-152 и организационных мер по ст. 18.1. Регламент допуска должен содержать чёткую процедуру: уведомление ответственного по ст. 22.1, отзыв прав в системе, запись в журнале учёта допусков. Сохранение активной учётной записи уволенного сотрудника — прямой риск по ч. 1 ст. 13.11 КоАП.

Итог

Регламент допуска к ПДн новых сотрудников — не самостоятельный документ, а элемент системы ОРД, которую оператор обязан выстроить по ст. 18.1 ФЗ-152. Без уведомления в реестре, актуальной политики и приказа об ответственном регламент не работает. После 01.09.2025 к этому добавилось требование отдельного согласия по ст. 9 ФЗ-152 в редакции ФЗ-156.

DATUM сопровождает операторов ПДн в части ОРД с 2014 года — от составления полного пакета документов до представления интересов при проверке Роскомнадзора и обжалования протоколов по ст. 13.11 КоАП.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025.