Инструкция по работе с персональными данными в ИСПДн: образец 2026

Как выглядит «Инструкция по работе с персональными данными в ИСПДн» и что важно в каждом пункте. Соберите свой вариант онлайн или скачайте бланк.

Инструкция по работе с персональными данными в ИСПДн — рабочая инструкция для персонала оператора персональных данных (ст. 18.1, 19 Федерального закона № 152-ФЗ).
Структура документа

Так выглядит документ: на месте ваших данных — прочерки «______». Заполните онлайн — подставятся ваши реквизиты.

Инструкция по работе с персональными данными в ИСПДн
1. Наименование и реквизиты
УТВЕРЖДЕНО
Приказом ______
от ______ № [№]
ИНСТРУКЦИЯ
по работе с персональными данными в информационной системе
персональных данных (ИСПДн) ______
2. Общие положения
1.1. Настоящая Инструкция регламентирует порядок работы работников ______ (далее — Оператор) с персональными данными, обрабатываемыми в информационной системе персональных данных (далее — ИСПДн), и является обязательной для исполнения всеми работниками, допущенными к обработке ПД.
1.2. Инструкция разработана в соответствии с ФЗ-152, Постановлением Правительства РФ от 01.11.2012 № 1119, Приказом ФСТЭК России от 18.02.2013 № 21.
1.3. Контроль за выполнением настоящей Инструкции возлагается на ответственного за организацию обработки ПД — ______, Генеральный Директор.
3. Порядок допуска работников к обработке ПД
2.1. Допуск работника к обработке ПД осуществляется:
— приказом руководителя Оператора о назначении работника и определении уровня его доступа;
— после ознакомления работника с ФЗ-152, Политикой обработки ПД, настоящей Инструкцией — под роспись;
— после подписания работником обязательства о неразглашении сведений, ставших известными ему в связи с обработкой ПД.
2.2. Работнику предоставляются индивидуальные учётные записи (логин + пароль) или средства двухфакторной аутентификации.
2.3. Доступ предоставляется по принципу наименьших привилегий — только к тем категориям ПД и в том объёме, которые необходимы для выполнения должностных обязанностей.
4. Правила работы с ПД в ИСПДн
3.1. Работник обязан:
— использовать только предоставленные ему учётные записи и не передавать логины/пароли третьим лицам;
— устанавливать пароли, соответствующие политике паролей Оператора (длина не менее 8 символов, буквы разного регистра, цифры, спецсимволы), и менять их не реже одного раза в 90 дней;
— блокировать рабочее место при уходе с рабочего места на любой срок;
— завершать рабочий сеанс по окончании работы;
— передавать ПД исключительно по шифрованным каналам связи (SSL/TLS, VPN);
— хранить бумажные носители с ПД в запираемых шкафах/сейфах;
— немедленно уведомлять ответственного об обнаружении признаков несанкционированного доступа, утраты носителей или иных инцидентов информационной безопасности;
3.2. Работнику ЗАПРЕЩАЕТСЯ:
— копировать ПД на личные устройства (телефоны, ноутбуки, флеш-накопители) без письменного разрешения ответственного;
— передавать ПД по открытым (нешифрованным) каналам связи (личная почта, мессенджеры без E2EE);
— обсуждать содержание ПД с лицами, не допущенными к их обработке;
— распечатывать документы с ПД без служебной необходимости;
— оставлять бумажные носители с ПД на столе без присмотра;
— устанавливать на рабочие станции несанкционированное ПО;
5. Работа с бумажными носителями
4.1. Бумажные носители с ПД хранятся в запираемых шкафах или сейфах в помещениях Оператора с ограниченным доступом.
4.2. Вынос бумажных носителей с ПД за пределы помещений Оператора допускается только по служебной необходимости с разрешения ответственного и оформляется журналом выдачи/возврата.
4.3. Уничтожение бумажных носителей осуществляется путём измельчения (шреддер) с составлением акта об уничтожении.
6. Реагирование на инциденты
5.1. При обнаружении инцидента (утечка, несанкционированный доступ, утрата носителя, вирусное заражение и т.п.) работник обязан:
— немедленно уведомить ответственного по адресу ______ или лично;
— по возможности зафиксировать факт инцидента (скриншоты, журналы, свидетели);
— не предпринимать самостоятельных действий по ликвидации последствий инцидента без согласования с ответственным.
5.2. Оператор уведомляет Роскомнадзор об инциденте не позднее 24 часов с момента его выявления (ч. 3.1 ст. 21 ФЗ-152), о результатах внутреннего расследования — не позднее 72 часов.
7. Ответственность
6.1. Нарушение настоящей Инструкции влечёт:
— дисциплинарную ответственность в соответствии с Трудовым кодексом РФ (замечание, выговор, увольнение по п. 6 ч. 1 ст. 81 ТК РФ — разглашение охраняемой законом тайны);
— материальную ответственность в соответствии со ст. 238–250 ТК РФ;
— административную ответственность по ст. 13.11 КоАП РФ;
— уголовную ответственность по ст. 137 УК РФ (незаконное собирание или распространение сведений о частной жизни лица).
8. Заключительные положения
7.1. Настоящая Инструкция вступает в силу с момента её утверждения приказом руководителя.
7.2. Каждый работник, допущенный к обработке ПД, должен быть ознакомлен с настоящей Инструкцией под роспись.
Ответственный за обработку ПД:    Генеральный Директор    _________________   / ______ /
С инструкцией ознакомлен(а):

Пояснения к пунктам

Общие положения
Инструкцию мало утвердить — по ней нужно обучить: фиксируйте ознакомление и периодическое обучение работников, допущенных к ПДн. При инциденте первым вопросом будет «был ли работник обучен».

Похожие документы