Как составить и утвердить перечень информационных систем персональных данных

26.06.2026
6
60
Анна Золотарева

Анна Золотарева

Юрист, стаж работы более 10 лет в надзорной деятельности. Эксперт в сфере финансового мониторинга и защиты персональных данных. Руководитель юридического отдела ООО «Научно-Практический Центр Финансового Мониторинга»

Регистрация в Роскомнадзоре за 1 день

Не откладывайте на завтра, чтобы избежать штрафов

Обработка персональных данных — ответственная задача для любой организации. Чтобы соблюсти требования законодательства РФ, необходимо грамотно составить и утвердить перечень информационных систем персональных данных (ИСПДН). Разберёмся, как это сделать правильно.

Что такое ИСПДН и зачем нужен приказ об утверждении перечня испдн

ИСПДН — это информационные системы персональных данных, то есть системы, в которых хранятся, обрабатываются и передаются сведения о физических лицах. К ним могут относиться:

  • кадровые базы данных сотрудников;
  • клиентские базы;
  • информационные системы учёта обучающихся;
  • иные программные комплексы, содержащие персональные данные.

Перечень ИСПДН нужен для:

  • систематизации сведений об информационных системах, где обрабатываются персональные данные;
  • обеспечения прозрачности процессов обработки данных;
  • контроля за соблюдением требований Федерального закона № 152‑ФЗ «О персональных данных»;
  • подготовки к проверкам со стороны контролирующих органов;
  • чёткого распределения ответственности внутри организации.

Без утверждённого перечня организация рискует нарушить законодательство, что может привести к штрафам и другим санкциям.

Требования 152‑ФЗ к утверждению перечня

Федеральный закон № 152‑ФЗ устанавливает строгие требования к обработке персональных данных. В соответствии с законом, организации обязаны:

  • определить и утвердить перечень ИСПДН, используемых в работе;
  • обеспечить защиту данных в каждой системе согласно установленным нормам;
  • назначить ответственных лиц за обработку и защиту данных;
  • регулярно проводить проверки соответствия систем требованиям закона;
  • документировать все действия, связанные с обработкой персональных данных.

Утверждение перечня ИСПДН — один из ключевых шагов на пути к полному соответствию требованиям 152‑ФЗ. Это позволяет чётко зафиксировать, какие системы используются, как и кем они контролируются, какие меры защиты применяются.

Что включить в состав перечня

Перечень ИСПДН должен содержать полную и достоверную информацию о каждой системе. Рекомендуется включить следующие данные:

  • наименование информационной системы (официальное название);
  • назначение системы (для каких целей используется);
  • категории обрабатываемых персональных данных (ФИО, паспортные данные, контактные сведения и т. д.);
  • категории субъектов персональных данных (сотрудники, клиенты, студенты и пр.);
  • основание для обработки данных (трудовой договор, согласие субъекта, закон и т. п.);
  • местонахождение системы (физическое расположение серверов или облачный сервис);
  • меры защиты информации (используемые средства защиты, уровни доступа);
  • ответственные лица (ФИО и должности сотрудников, отвечающих за работу системы и обработку данных);
  • дата начала обработки данных в системе;
  • срок хранения данных и порядок их уничтожения.

Дополнительно можно указать:

  • версию программного обеспечения;
  • интеграцию с другими системами;
  • особые условия обработки (трансграничная передача и т. д.).

Такой подробный состав перечня позволит избежать ошибок при проверках и обеспечит полную прозрачность процессов обработки персональных данных.

Как оформить приказ об утверждении перечня испдн образец

Утверждение перечня осуществляется путём издания приказа руководителя организации. Приказ должен содержать:

  • Реквизиты документа: номер, дату, место издания.
  • Заголовок: «Об утверждении перечня информационных систем персональных данных».
  • Преамбулу с указанием цели издания приказа (в соответствии с требованиями 152‑ФЗ).

Распорядительную часть:

  • o утверждение перечня ИСПДН (может быть приложением к приказу);
  • o назначение ответственных лиц за контроль и исполнение;
  • o указание сроков исполнения отдельных пунктов (если необходимо).
  • Подписи: подпись руководителя и подписи ознакомленных сотрудников.

К приказу прилагается сам перечень ИСПДН в виде таблицы или структурированного списка. Документ оформляется на бланке организации и регистрируется в журнале приказов.

Порядок внесения изменений и признание утратившим силу

Перечень ИСПДН не является статичным документом.

В него необходимо вносить изменения при:

  • внедрении новых информационных систем;
  • исключении устаревших систем;
  • изменении состава обрабатываемых данных;
  • обновлении мер защиты информации;
  • смене ответственных лиц.

Внесение изменений оформляется отдельным приказом «О внесении изменений в перечень информационных систем персональных данных». Если перечень полностью утратил актуальность, издаётся приказ «О признании утратившим силу перечня информационных систем персональных данных».

Контроль за исполнением

Контроль за исполнением приказа и соблюдением требований к перечню ИСПДН возлагается на назначенных ответственных лиц. Он включает:

  • регулярные проверки актуальности данных в перечне;
  • мониторинг изменений в информационных системах;
  • проведение внутренних аудитов обработки персональных данных;
  • подготовку к внешним проверкам;
  • своевременное внесение изменений в перечень и обновление сопутствующих документов.

Эффективный контроль гарантирует, что права субъектов персональных данных защищены, а организация соответствует требованиям законодательства Российской Федерации.

Зарегистрируйтесь на вебинар или получите консультацию по любому вопросу

Ваше имя
Номер телефона *
Это поле обязательно для заполнения
E-mail *
Введён некорректный e-mail
Реквизиты компании
Запрещено загружать файл данного типа
Источник
Я даю согласие на обработку моих персональных данных, подтверждаю ознакомление с политикой конфиденциальности и пользовательским соглашением. Оповещен, что на сайте используются файлы cookie и сервисы сбора технических данных посетителей.