Внутренний контроль и обучение персонала по 152‑ФЗ

Внутренний контроль и обучение персонала по 152‑ФЗ: как выстроить систему, которая работает

Внутренний контроль и системное обучение сотрудников — обязательные элементы выполнения обязанностей, предусмотренных 152‑ФЗ. Без них невозможно ни ежедневное соблюдение принципов обработки персональных данных, ни успешная подготовка к проверкам Роскомнадзора, ни устойчивое снижение рисков утечек.

Нормативная основа и требования закона

Ст. 18.1 152‑ФЗ прямо обязывает операторов назначать ответственных, утверждать локальные акты и организовывать внутренний контроль. Подробнее: Статья 18.1.
Ст. 19 152‑ФЗ устанавливает меры по обеспечению безопасности ПДн, включая обучение персонала и проведение оценки эффективности мер защиты. Подробнее: Статья 19, Меры безопасности ПДн.
Базовые понятия, принципы и обязанности — в разделах: О законе, Структура и статьи, Обязанности оператора, Принципы и цели обработки.

Итог: внутренний контроль, локальные акты 152‑ФЗ и обучение — не «желательно», а обязательно для любой организации, обрабатывающей ПДн.

Роли и ответственность в системе внутреннего контроля

Собственник/руководитель: утверждает политику, назначает ответственных, выделяет ресурсы.
Ответственный за обработку ПДн: организует контроль, ведет журналы 152‑ФЗ, инициирует обучение, координирует проверки. Подробнее: Ответственный за обработку ПДн.
ИТ/ИБ: реализуют технические меры, ведут учет доступов, резервное копирование, криптографию (Криптография, Требования ФСТЭК и ФСБ).
HR/Кадры: обучают сотрудников, оформляют обязательства о конфиденциальности, управляют увольнениями и доступами.
Бизнес‑подразделения и подрядчики: соблюдают процедуры, работают с запросами субъектов.

Схема распределения ролей по внутреннему контролю ПДн (пример)

Локальные акты 152‑ФЗ: что должно быть в организации

Минимальный набор локальных документов, подтверждающих выполнение обязанностей, предусмотренных 152‑ФЗ:

Получить CloudPayments бесплатно

Политика обработки ПДн (публичный документ): Политика обработки ПДн.
Положение о защите ПДн и ИСПДн (внутренний документ): ИСПДн: определение и требования.
Модель угроз, уровни защищенности и меры: Модель угроз ИСПДн, Уровни защищенности ИСПДн.
Реестр операций обработки (цели, категории ПДн, правовые основания, сроки хранения): Принципы и цели обработки.
Порядок реагирования на инциденты и уведомления: Инциденты и утечки ПДн, Уведомление Роскомнадзор.
Регламент работы с правами субъектов: Права субъектов, Заявления и отзыв согласия, Согласие на обработку ПДн, Согласие на распространение ПДн.
Порядки передачи третьим лицам и трансграничной передачи: Передача третьим лицам.
Регламенты по сайту и cookies: Требования к сайту, Cookie и баннеры, Формы на сайте и согласие, Yandex.Metrika и 152‑ФЗ.
План‑график внутреннего контроля и обучение.

Готовые комплекты: Пакет документов 152‑ФЗ, Шаблоны и формы.

Журналы 152‑ФЗ: учет, фиксация и доказательства

Журналы — ключевые доказательства при проверках Роскомнадзора. Их можно вести в электронном виде (с разграничением доступа и резервным копированием) или на бумаге.

Журнал (152‑ФЗ)	Назначение	Кто ведет	Периодичность	Форма
Инструктажей и обучения	Фиксация обучения по 152‑ФЗ	HR/ответственный	По факту	Бумага/электронно
Учет обращений субъектов	Отслеживание запросов и ответов	Ответственный/юрист	По факту	Электронный реестр
Инцидентов ПДн	Регистрация нарушений, сроки уведомлений	ИБ/ответственный	По факту	Система тикетов
Выдачи/отзыва доступов	Контроль жизненного цикла доступа	ИТ/HR	Постоянно	IAM/таблица
Резервного копирования	Контроль бэкапов и восстановлений	ИТ	Ежедневно/еженедельно	Система бэкапов
Носителей/бумаг	Учет физ. носителей, печати, уничтожения	Канцелярия/ИБ	По факту	Акт/журнал
Передачи третьим лицам	Кому и какие ПДн переданы	Ответственный	По факту	Реестр передач
Уничтожения/блокировки	Подтверждение сроков хранения	Архив/ответственный	По факту	Акт уничтожения

Сопутствующие процедуры: Уничтожение и блокировка ПДн, Инциденты и утечки, Уведомление Роскомнадзор.

Процессы контроля: цикл PDCA и риск‑ориентированный подход

Plan: инвентаризация данных и процессов, классификация, выбор мер защиты по ст. 19; учет требований ИБ (Требования ФСТЭК и ФСБ).
Do: внедрение мер (IAM, шифрование, DLP), оформление локальных актов 152‑ФЗ, запуск журналов и обучения.
Check: регулярные внутренние проверки, тесты знаний, аудит доступа, контроль сроков хранения. Внешний аудит: Аудит соответствия 152‑ФЗ.
Act: корректирующие меры, обновление политики, дообучение, изменения по итогам инцидентов или изменений в бизнесе. Следите за обновлениями: Изменения 2025.

Полезно использовать KPI/KRI: процент обученных сотрудников, SLA ответов субъектам, доля просроченных бэкапов, инциденты за период, успешность тестов.

Обучение по 152‑ФЗ: программа, форматы, периодичность

Цель обучения — обеспечить осознанное выполнение обязанностей, предусмотренных 152‑ФЗ, каждым сотрудником.

Форматы:

Вводный инструктаж (при приеме на работу)
Первичный инструктаж на рабочем месте (роль‑специфичный)
Ежегодное обучение/аттестация
Внеплановое (после инцидентов/изменений)
E‑learning (LMS), вебинары, очные тренинги

Пример программы модулей:

Модуль	Ключевые темы	ЦА	Длительность
Правовые основы 152‑ФЗ	Понятия ПДн, принципы, основания обработки	Все	45–60 мин
Права субъектов и согласия	Сроки ответов, формы заявлений, правила согласий	Бэк‑офис/юристы	45 мин
Практика в ИСПДн	Доступы, журналы, резервное копирование	ИТ/ИБ	60–90 мин
Сайт и маркетинг	Формы, cookies, счетчики, рассылки	Маркетинг	45 мин
Подрядчики и передачи	Договоры, DPIA, трансграничная передача	Закупки/юристы	45 мин
Инциденты и уведомления	Эскалация, сроки, доказательства	Все/ИБ	45 мин

Как часто обучать:

Все сотрудники: при приеме + ежегодно (минимум). 20–60 минут с тестом.
ИТ/ИБ: при приеме + ежегодно + при изменениях систем/угроз.
Руководители: акцент на ответственность, риски и проверочные действия — ежегодно.
Подрядчики: включать в договоры обязательство пройти инструктаж и соблюдать процедуры.

Фиксация: протокол/сертификат + запись в журнале обучения, хранение материалов и результатов тестов.

Готовые курсы и тренинги: Обучение и курсы по 152‑ФЗ.

Проверки и подтверждение выполнения обязанностей

Чтобы уверенно пройти проверки Роскомнадзора и снизить риск санкций (КоАП 13.11, Ответственность и штрафы), подготовьте «пакет доказательств»:

Приказы о назначении ответственного и утверждении локальных актов.
Актуальная Политика и внутренние положения.
Заполненные журналы 152‑ФЗ и акты (инструктажи, доступы, бэкапы, уничтожение).
Протоколы обучения, тесты, списки участников.
Реестр операций обработки и матрица доступов.
Договоры с порученными лицами и контрагентами с условиями ПДн.
Отчеты по инцидентам, уведомления и переписка (при наличии).
Скриншоты и конфигурации по сайту: согласия, cookie‑баннер, политика, HTTPS.

Ускорить подготовку помогает: Подготовка к проверке и Аудит соответствия.

Типовые ошибки и как их избежать

Обучение один раз «для галочки». Решение: ежегодная программа + тестирование.
Нет журналов или они пустые. Решение: назначить владельцев журналов и KPI по заполнению.
Документы не отражают фактические процессы. Решение: ревизия и регулярное обновление.
Игнорирование подрядчиков. Решение: DPIA/оценка, договорные обязательства, инструктаж.
Избыточный сбор данных и бессрочное хранение. Решение: минимизация и график уничтожения.
Доступ «по умолчанию». Решение: матрица ролей, принцип наименьших привилегий.
Нет плана реагирования на инциденты и уведомления. Решение: регламент + учения.
Несоответствие сайта: нет согласий, некорректные формы, трекеры без правового основания. Решение: Требования к сайту, Формы на сайте, Cookie, Yandex.Metrika.

Чек‑лист внедрения внутреннего контроля и обучения

Инвентаризация ПДн и процессов, определение правовых оснований.
Назначение ответственного; утверждение матрицы ролей и доступов.
Разработка и утверждение локальных актов 152‑ФЗ.
Настройка журналов 152‑ФЗ и регистров в удобной системе.
Проектирование ИСПДн: меры защиты, резервирование, шифрование.
Подготовка программы «обучение по 152‑ФЗ», расписание, материалы, тесты.
Проведение вводного и первичного инструктажей; фиксация результатов.
Пилотная внутренняя проверка и корректирующие действия.
Регламент реагирования на инциденты и уведомления Роскомнадзора.
Ежегодное обновление документов, повторное обучение, отчет руководителю.

Дополнительно: используйте наш Чек‑лист 152‑ФЗ.

Инструменты и автоматизация

LMS/обучение: e‑learning с тестированием и автопротоколами.
IAM и управление доступами: автоматизация онбординга/оффбординга, журналирование.
SIEM/DLP: мониторинг событий и предотвращение утечек.
Системы бэкапов и репликации с отчетами.
Трекеры заявок (ITSM) для журналов и согласований.
Облачная инфраструктура с соответствием: Облака Yandex Cloud, Серверы, хостинг, ЦОД.
Для сайтов: менеджеры cookie‑баннеров и конструкторы форм согласий.

Примеры документов и шаблоны

Сэкономьте время на подготовке:

Пакет документов 152‑ФЗ
Шаблоны и формы
Примеры документов
Политика конфиденциальности — шаблон
Генератор политики и согласий
Для работодателей и ИП: Документы для работодателя, Документы для ИП

FAQ

Кого обязательно обучать? Всех сотрудников, имеющих доступ к ПДн, включая временных и дистанционных. Отдельные углубленные модули — для ИТ/ИБ, HR, юристов, маркетинга, руководителей.
Можно вести журналы только в электронном виде? Да, если обеспечены целостность, доступность, разграничение прав и резервное копирование.
Сколько часов нужно на обучение по 152‑ФЗ? Базово 45–60 минут вводного + 30–60 минут ежегодного обновления; для ИТ/ИБ — 2–4 часа в год.
Нужно ли обучать подрядчиков? Да. Закладывайте требования в договоры, проводите вводный инструктаж и контролируйте подтверждения.

Заключение и следующий шаг

Грамотно выстроенные внутренний контроль, журналы 152‑ФЗ и регулярное обучение по 152‑ФЗ позволяют не только пройти проверки, но и реально снизить риск инцидентов, защитить клиентов и репутацию. Начните с ревизии процессов, утверждения локальных актов и запуска программы обучения, чтобы обеспечить устойчивое выполнение обязанностей, предусмотренных 152‑ФЗ.

Готовы ускориться? Закажите аудит и программу обучения:

Получить CloudPayments бесплатно