← Вернуться на сайт

Ops · Compliance

Комплаенс без головной боли: чек-лист по ФЗ-152 и охране труда

Практический чек-лист и порядок действий по ФЗ-152 (персональные данные) и базовым требованиям охраны труда

Быстрый чек-лист

  • Провести инвентаризацию всех процессов, где фигурируют персональные данные (клиенты, сотрудники, подрядчики).
  • Определить категории ПДн, цели и правовые основания обработки — зафиксировать это в регламенте.
  • Описать роли: кто владеет данными, кто обрабатывает, кто отвечает за хранение и удаление.
  • Настроить матрицу доступа: минимум прав, двухфакторная аутентификация, журналирование действий.
  • Включить техмеры: шифрование данных “в покое” и “в полёте”, регулярные бэкапы, контроль версий.
  • Назначить ответственного по ПДн (или закрепить функцию) и вести учёт инцидентов.
  • Провести вводный инструктаж по охране труда и зафиксировать прохождение в журнале.
  • Обновлять документы: политика обработки ПДн, согласия, договоры с операторами/подрядчиками.

Минимальный порядок действий

  1. Собрать список данных от сотрудников и клиентов.
  2. Зафиксировать цели обработки — зачем собирается каждая категория данных.
  3. Определить правовое основание (чаще всего — согласия).
  4. Создать политику обработки ПДн на 2–4 страницы.
  5. Проверить договоры с подрядчиками, где есть обработка данных.
  6. Ограничить доступ — принцип “минимально необходимого”.
  7. Включить техмеры: пароли, 2FA, шифрование, резервное копирование.
  8. Провести инструктаж сотрудников.
  9. Вести журнал инцидентов.
  10. Закрыть базовые требования по охране труда (вводный инструктаж + журнал).

Типичные ошибки малого бизнеса

  • Сбор данных “про запас”.
  • Отсутствие базовой документации.
  • Общий доступ к ПДн.
  • Передача данных подрядчикам без договора.
  • Хранение данных без сроков.
  • Игнорирование охраны труда.
  • Паника перед ФЗ-152 вместо системного подхода.

Параллельные точки зрения: как смотреть на комплаенс с разных сторон

1. Точка зрения предпринимателя

“Как сделать минимум усилий, чтобы на меня не наехали?”

  • Важен не идеал, а контролируемый порядок.
  • Три опоры: доступы, договоры, политика.

2. Точка зрения операционного менеджера

“Как встроить это в процессы, чтобы не мешало работать?”

  • Регламенты должны быть лёгкими.
  • Всё повторяющееся — в шаблоны.

3. Точка зрения сотрудника

“Как работать так, чтобы не попасть под раздачу?”

  • Чёткие правила: — никаких ПДн в личных мессенджерах, — никаких файлов на личном ноутбуке, — отключение доступов сразу при увольнении.

4. Точка зрения проверяющего инспектора

“Что я буду искать в первую очередь?”

  • Политику обработки ПДн.
  • Журнал инструктажей по охране труда.
  • Договоры с обработчиками.
  • Признаки хаоса: доступы всем, отсутствие журналов, файлы в мессенджерах и облаках без контроля.

5. Точка зрения рисковика

“Где вероятность проблем максимальная?”

  • Уязвимости: CRM, мессенджеры, Google Drive/Я.Диск.
  • Топ-инцидент — утерянный ноутбук без пароля.

6. Точка зрения клиента/сотрудника

“Зачем вы храните мои данные?”

  • Комплаенс = доверие.
  • Прозрачность снижает конфликты и повышает лояльность.

Минимальный комплект документов для малого бизнеса

Набор, который реально закрывает большинство базовых требований:

  • Политика обработки персональных данных.
  • Форма согласия для сотрудников и клиентов.
  • Договор с обработчиками ПДн (CRM, бухгалтер, IT).
  • Приказ о назначении ответственного по ПДн.
  • Журнал инструктажей по охране труда.
  • Простой регламент работы с ПДн (1–2 страницы).
  • Журнал учёта инцидентов (даже если всё по нулям).

Это даёт ощущение порядка и закрывает большинство претензий проверяющих.

“Красные флажки”: признаки, что будут проблемы

  • Сотрудники уходят, но доступы никто не закрывает.
  • Файлы с ПДн валяются в WhatsApp или Telegram.
  • CRM администрирует сотрудник, уволенный полгода назад.
  • В договорах с подрядчиками нет упоминания обработки ПДн.
  • Папки в Google Drive доступны “всем в компании”.
  • Политика ПДн есть, но никто о ней не знает.
  • Ноутбуки сотрудников без паролей и шифрования.
  • Инструктаж по охране труда подписан задним числом — видно сразу.

Как автоматизировать комплаенс без юриста

  • Google Workspace — управление доступами, аудит входов, блокировка устройств, шифрование.

  • Notion / Confluence — живые документы, журналы инструктажей, контроль версий.

  • N8n / Make — сценарии удаления доступов при увольнении, уведомления об инцидентах, напоминания.

  • Simple CRM / Airtable — централизованный учёт того, кто какие данные обрабатывает.

Комплаенс легко автоматизируется — главное, чтобы процессы были понятные.

Матрица зрелости комплаенса (уровень 0 → уровень 3)

Уровень 0 — Хаос

  • Данные разбросаны по мессенджерам.
  • Нет документов.
  • Нет понимания, кто к чему имеет доступ.

Уровень 1 — Документы

  • Есть политика ПДн, согласия, журналы.
  • Появился ответственный.
  • Доступы записаны, но не всегда контролируются.

Уровень 2 — Процессы

  • Оформлены роли.
  • Регулярно закрываются доступы.
  • Ведётся журнал инцидентов.
  • Документы обновляются.

Уровень 3 — Автоматизация

  • Доступы — через IAM/Google Admin.
  • Увольнения → автоматическое отключение.
  • Хранение данных минимизировано и контролируемо.