Документы по персональным данным для бизнеса

Обновлено: март 2026 · 14 мин чтения

Роскомнадзор при проверке запрашивает не один и не два документа, а целый комплект. Отсутствие любого из них — самостоятельное нарушение со штрафом. В этом материале — полный перечень обязательных документов по 152-ФЗ, шаблоны ключевых приказов и практические рекомендации по их подготовке.

Содержание

  1. 1. Обязательные документы: 9 позиций
  2. 2. Приказ о назначении ответственного — шаблон
  3. 3. Положение об обработке ПДн — структура
  4. 4. Уведомление в Роскомнадзор
  5. 5. Что проверяет инспектор
  6. 6. Начните с автоматической проверки

1. Обязательные документы: 9 позиций

Ниже — минимальный комплект, который должен быть у каждого оператора персональных данных. Не важно, крупная у вас компания или ИП с одним сайтом — закон не делает исключений.

1

Приказ о назначении ответственного за обработку ПДн

Без этого документа любая проверка Роскомнадзора начинается с нарушения. Приказ назначает конкретное лицо, отвечающее за организацию обработки персональных данных в компании.

2

Политика в отношении обработки персональных данных

Публичный документ, который обязан быть размещён на сайте. Описывает цели, правовые основания, категории данных, сроки хранения и права субъектов ПДн.

3

Положение об обработке персональных данных

Внутренний регламент для сотрудников. Определяет порядок сбора, хранения, передачи и уничтожения персональных данных внутри организации.

4

Уведомление в Роскомнадзор об обработке ПДн

Подаётся через портал pd.rkn.gov.ru до начала обработки. С 2025 года обновлена форма: нужно указывать информационные системы и средства защиты.

5

Согласие субъекта на обработку ПДн

Форма согласия для каждого случая сбора данных: формы на сайте, анкеты, договоры. Согласие должно быть конкретным, информированным и сознательным.

6

Модель угроз безопасности ПДн

Описывает актуальные угрозы для информационных систем персональных данных. Требуется для определения уровня защищённости по ПП-1119.

7

Акт определения уровня защищённости ПДн

На основании модели угроз определяется один из четырёх уровней защищённости (УЗ-1 — УЗ-4). От уровня зависит перечень обязательных мер защиты.

8

Журнал учёта инцидентов безопасности ПДн

С 2025 года оператор обязан уведомить Роскомнадзор об утечке в течение 24 часов, а о результатах расследования — за 72 часа. Журнал фиксирует все инциденты.

9

Акт об уничтожении персональных данных

Составляется при удалении данных по истечении срока хранения, при отзыве согласия или по требованию субъекта. Подтверждает факт уничтожения.

Сводная таблица

ДокументКто подписываетСрок хранения
Приказ о назначении ответственного за обработку ПДнРуководительВесь период деятельности
Политика в отношении обработки персональных данныхРуководительБессрочно (актуальная редакция)
Положение об обработке персональных данныхРуководительВесь период деятельности
Уведомление в Роскомнадзор об обработке ПДнРуководитель / доверенное лицоКопия — бессрочно
Согласие субъекта на обработку ПДнСубъект ПДн (пользователь)Весь срок обработки + 3 года
Модель угроз безопасности ПДнРуководитель + ответственный за ИБДо актуализации
Акт определения уровня защищённости ПДнКомиссия (приказ о создании)До актуализации
Журнал учёта инцидентов безопасности ПДнОтветственный за ПДн3 года
Акт об уничтожении персональных данныхКомиссия (минимум 2 человека)3 года

2. Приказ о назначении ответственного — шаблон

Это первый документ, который нужно подготовить. Без него формально в компании никто не отвечает за персональные данные, а значит, все остальные документы «висят в воздухе». Приказ издаётся за подписью руководителя.

Шаблон приказа

ПРИКАЗ № ___

от «___» __________ 2026 г.

О назначении ответственного за организацию
обработки персональных данных

В целях исполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»,

ПРИКАЗЫВАЮ:

1. Назначить ответственным за организацию обработки персональных данных в _______ (наименование) — _______ (ФИО, должность).

2. Ответственному за организацию обработки ПДн:

2.1. Обеспечить обработку ПДн в соответствии с требованиями законодательства РФ.

2.2. Разработать и представить на утверждение Политику в отношении обработки персональных данных в срок до _______.

2.3. Осуществлять внутренний контроль за соблюдением законодательства о ПДн.

2.4. Доводить до сведения работников положения законодательства и локальных актов по вопросам обработки ПДн.

2.5. Организовать приём и обработку обращений субъектов ПДн.

3. Контроль за исполнением настоящего приказа оставляю за собой.

Руководитель _________ / _________ /

На что обратить внимание: ответственным не обязательно назначать юриста. Это может быть любой сотрудник — руководитель ИТ-отдела, HR-директор или сам генеральный директор. Главное — зафиксировать в приказе конкретное лицо и его обязанности.

Приказ вступает в силу с момента подписания. Рекомендуем хранить оригинал в бумажном виде и скан в электронном архиве — инспектор может запросить его в любой момент.

3. Положение об обработке ПДн — структура

Положение — это внутренний документ, который описывает, как именно компания работает с персональными данными. Если политика — документ для внешних пользователей, то положение — для сотрудников.

Рекомендуемая структура положения

Раздел 1. Общие положения

— ссылки на НПА, термины, область применения

Раздел 2. Цели обработки ПДн

— конкретный перечень целей (кадры, клиенты, маркетинг)

Раздел 3. Правовые основания

— согласие, договор, закон, жизненно важные интересы

Раздел 4. Категории субъектов и данных

— работники, клиенты, посетители сайта; ФИО, контакты, cookies

Раздел 5. Порядок обработки

— сбор, систематизация, хранение, передача, уничтожение

Раздел 6. Сроки обработки и хранения

— по каждой категории данных, основания для продления/удаления

Раздел 7. Права субъектов ПДн

— доступ, исправление, удаление, отзыв согласия, порядок обращения

Раздел 8. Меры защиты

— организационные и технические: шифрование, разграничение доступа, бэкапы

Раздел 9. Трансграничная передача

— в какие страны, на каком основании (или «не осуществляется»)

Раздел 10. Ответственность

— дисциплинарная, административная, уголовная за нарушение порядка

Положение утверждается приказом руководителя. Все сотрудники, имеющие доступ к персональным данным, должны быть ознакомлены с ним под подпись. Храните листы ознакомления — инспектор обязательно их запросит.

Модель угроз — не пишите сами

Модель угроз безопасности ПДн (документ №6) — технически сложный документ, который требует анализа информационных систем, каналов утечки и актуальных угроз из банка данных ФСТЭК. Шаблоны из интернета не подойдут — модель должна соответствовать вашей конкретной инфраструктуре. Рекомендуем привлечь лицензиата ФСТЭК или специалиста по информационной безопасности. Стоимость разработки для малого бизнеса — от 30 000 до 80 000 руб.

Проверьте свой сайт бесплатно

Документы — это внутренняя часть работы. Но ваш сайт — первое, что видит и Роскомнадзор, и пользователи. Проверьте, соответствует ли он требованиям 152-ФЗ прямо сейчас.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

4. Уведомление в Роскомнадзор

По статье 22 закона 152-ФЗ оператор обязан уведомить Роскомнадзор до начала обработки персональных данных. Есть исключения (например, данные только для трудовых отношений), но на практике большинству компаний уведомление подавать нужно.

Что указать в уведомлении:

  • Правовое основание обработки — согласие субъекта, исполнение договора, требование закона
  • Цели обработки — заключение договоров, кадровый учёт, маркетинг, обработка обращений
  • Категории данных и субъектов — клиенты, сотрудники, посетители; ФИО, email, телефон, паспортные данные
  • Меры безопасности — шифрование, межсетевые экраны, разграничение доступа, антивирус
  • Информация об ИСПДн — название систем, где обрабатываются ПДн (CRM, 1С, сайт)
  • Трансграничная передача — используете ли облачные сервисы с серверами за рубежом

Уведомление подаётся через pd.rkn.gov.ru с использованием электронной подписи или в бумажном виде по почте. Роскомнадзор вносит оператора в реестр в течение 30 дней.

Важно: если вы уже подавали уведомление, но изменились цели обработки, категории данных или меры защиты — нужно подать информационное письмо об изменениях. Штраф за непредоставление уведомления — от 3 000 до 5 000 руб. для юрлиц (ст. 19.7 КоАП). Сумма невелика, но сам факт нарушения даёт Роскомнадзору основание для углублённой проверки.

Как проверить, есть ли вы в реестре

Откройте pd.rkn.gov.ru/operators-registry/operators-list, введите ИНН или наименование организации. Если вашей компании нет в реестре — уведомление либо не подавалось, либо ещё не обработано. Подавайте как можно скорее.

5. Что проверяет инспектор Роскомнадзора

Проверки бывают плановые и внеплановые. Плановые — по графику (публикуется на сайте РКН), внеплановые — по жалобам граждан или после утечки. Вот что инспектор запросит в первую очередь.

Шаг 1

Наличие в реестре операторов

Инспектор проверяет, подано ли уведомление в Роскомнадзор. Если нет — это первое нарушение.

Шаг 2

Приказ об ответственном

Запрашивается приказ о назначении ответственного за обработку ПДн. Нет приказа — нарушение.

Шаг 3

Политика и положение

Проверяется наличие публичной политики на сайте и внутреннего положения. Политика должна быть актуальной, а не скопированной с другого сайта.

Шаг 4

Согласия субъектов

Инспектор просит показать формы согласий: чекбоксы на сайте, бумажные согласия сотрудников. Согласие должно быть конкретным — «на обработку данных» без уточнения целей не принимается.

Шаг 5

Модель угроз и уровень защищённости

Запрашивается модель угроз и акт определения уровня защищённости. Особенно тщательно проверяют после инцидентов — утечек данных.

Шаг 6

Журнал инцидентов

С 2025 года — обязательный документ. Инспектор проверяет, ведётся ли журнал, были ли инциденты, уведомлялся ли РКН в срок.

Шаг 7

Сайт компании

Инспектор заходит на сайт и проверяет: есть ли политика, работают ли ссылки, есть ли согласие в формах, установлен ли SSL, какие трекеры подключены.

Штрафы за отсутствие документов

Каждый отсутствующий документ — отдельный состав нарушения. Типичные штрафы для юридических лиц:

Нет политики на сайте

30 000 — 60 000 ₽

Нет согласия субъекта

30 000 — 150 000 ₽

Нет уведомления в РКН

3 000 — 5 000 ₽

Утечка без уведомления

до 15 000 000 ₽

С 2025 года введены оборотные штрафы за утечки — до 3% годовой выручки при повторных нарушениях. Подробнее в нашей статье «Штрафы за нарушение 152-ФЗ».

Практические рекомендации

Начните с сайта

Сайт — самая заметная точка контакта с персональными данными. Это первое, на что смотрит инспектор, и первое, на что жалуются пользователи. Убедитесь, что политика актуальна, формы содержат согласия, cookie-баннер работает корректно.

Не копируйте шаблоны бездумно

Типовые шаблоны из интернета — отправная точка, но не готовое решение. Политика, в которой указаны чужие реквизиты или цели обработки, не относящиеся к вашему бизнесу, — хуже, чем отсутствие документа. Инспектор это сразу видит.

Храните доказательства

Согласия, листы ознакомления, акты уничтожения — храните всё. Бремя доказывания лежит на операторе: если вы не можете подтвердить, что получили согласие, считается, что его не было.

Обновляйте документы

Закон меняется, бизнес-процессы меняются. Как минимум раз в год пересматривайте комплект документов. Добавили новую форму на сайт, подключили CRM, сменили хостинг — обновите политику и положение.

6. Начните с автоматической проверки сайта

Подготовка документов — процесс не быстрый. Но проверить, как ваш сайт выглядит с точки зрения 152-ФЗ, можно за минуту. Наш сервис проанализирует политику конфиденциальности, формы сбора данных, cookie-баннер, SSL и трекеры. Вы получите оценку и список конкретных нарушений с рекомендациями.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

← РоскомнадзорОбработка ПДн →Чек-лист →

Статья носит информационный характер и не является юридической консультацией. Для подготовки полного комплекта документов рекомендуем обратиться к специалисту в области защиты персональных данных. Актуальность информации — март 2026 года.