Самое главное:
Перечень обязательных документов оператора ПДн варьируется от 30 до 50+. У каждой организации — он свой.
Классификации документов по «степени важности» нет ни в одном регламенте. Роскомнадзор проверяет наличие всех документов. Отсутствие хотя бы одного влечет более глубокие проверки.
Политика обработки ПДн — один из главных документов, отражающий реальные процессы в организации. Остальные ЛНА важны не меньше: приказы, журналы, инструкции, акты.
Документы должны полностью соответствовать сведениям, указанным в уведомлении о начале обработки ПДн. Ответственный в организации или сам руководитель должны следить за актуальностью сведений в реестре операторов РКН.
Подготовили чек-лист: основные документы оператора и на что обратить внимание.
Перечень обязательных документов при обработке персональных данных
Закон от 27.07.2006 № 152-ФЗ регламентирует деятельность операторов персональных данных (ОПДн), устанавливает обязанности, правила и требования в части обработки данных. Состав и количество документов отличается у каждой организации в зависимости от целей, специфики, методов сбора информации и других факторов.
Например, комплект документов будет разным у медицинской клиники, маркетплейса и аудиторской компании. Наличие и состав документов проверяет Роскомнадзор разными способами — от плановых проверок до мониторинга сайтов с использованием ИИ-технологий. С 2025 года штрафы в области обработки персональных данных выросли в несколько раз: за использование чужих сведений без правового основания санкции достигают десятков миллионов рублей.
Ключевые требования:
Наличие полного пакета документов. Политики, приказы, журналы, инструкции и другие ЛНА должны быть актуальными и соответствовать реальной деятельности оператора. Шаблоны из интернета не всегда отражают фактическую работу организации, поэтому их нужно адаптировать, а лучше — брать из официальных источников или делегировать подготовку документов квалифицированным специалистам.
Подача уведомления в Роскомнадзор. Подготовленные документы должны на 100% соответствовать сведениям, указанным в заявлении на включение в реестр операторов персональных данных Роскомнадзора. Срок рассмотрения — 30 календарных дней.
Защита данных от утечек и несанкционированных доступов. В рамках этого процесса нужно назначить ответственного, настроить систему защиты (СЗПДн), разграничить зоны ответственности сотрудников, проводить профилактические мероприятия и т. д. Все процессы фиксируются в ЛНА.
Примечание: классификации документов по «важности» нет ни в одном регламенте. Отсутствие хотя бы одного документа может привести к предписаниям Роскомнадзора и более глубокой проверке бизнеса.
Количество документов варьируется от 30 до 50+. Вы можете обратиться к экспертам «Центра безопасности данных» и уточнить, какие документы нужны именно в вашей ситуации. Специалисты проведут аудит текущих процессов и подготовят рекомендации.
1. Политика обработки персональных данных
Основные сведения о деятельности оператора фиксируются в политике (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). Роскомнадзор использует эти данные в ходе проверки организации. Указанная информация должна совпадать с фактическими процессами. Например, за несоответствие целей обработки организации грозит штраф — до 300 тыс. руб.
✅ Какие пункты включает политика:
цели обработки персональных данных;
категории субъектов — покупатели, клиенты, пациенты, сотрудники;
типы данных — общие, специальные, биометрические, а также другие сведения, которые не входят в эти группы;
порядок и условия обработки — на бумаге или в автоматизированной системе, с передачей третьим лицам или нет и др.
основания для обработки данных — НПА, учредительные документы юрлица, договоры, согласия.
Примечание: политика — это публичный документ, у каждого заинтересованного лица должна быть возможность ознакомиться с ним. Политику размещают на сайте (в нижней части веб-страницы) или уголке потребителя. Нарушение этого требования влечет штрафы на ИП и организации — до 20 и 60 тыс. руб. соответственно (ч. 3 ст. 13.11 КоАП).
2. Приказ об организации обработки персданных
В соответствии с законом в организации должен быть назначен ответственный за организацию обработки ПДн — это уполномоченный сотрудник в организации, функции которого определены в законе (ст. 22.1 закона № 152-ФЗ).
✅ Какие обязанности у ответственного:
контроль исполнения законодательных требований в области ПДн;
доведение до сотрудников информации по работе с данными, проведение инструктажей, ознакомление с ЛНА под подпись;
проверка и актуализация документов;
взаимодействие с представителями Роскомнадзора при проверках;
организация работы с обращениями граждан.
Ответственного назначают приказом в соответствии с правилами внутреннего делопроизводства. Ответственным может быть штатный сотрудник или сам руководитель. В документе можно указать еще одного специалиста, который будет исполнять обязанности ответственного в период его больничного или отпуска.
Примечание: если в организации меняется ответственный, то нужно подать уведомление в Роскомнадзор об изменении сведений. Форма такого уведомления представлена на сайте ведомства. Направить уведомление можно онлайн или предоставить в местное подразделение на бумаге. Срок подачи — до 15 числа следующего месяца с даты возникновения изменений (ч. 7 ст. 22 закона № 152-ФЗ).
Услуги в области персональных данных
Закажите полный комплекс услуг по защите персональных данных «под ключ». Мы проведем работы в кратчайший срок и по оптимальной цене
3. Согласие на обработку персональных данных
Операторы вправе обрабатывать чужие данные только с согласия их владельцев, если нет иных правовых оснований (ч. 1 ст. 6, ст. 9 закона № 152-ФЗ). Форма согласия разрабатывается индивидуально с учетом целей оператора.
✅ Основные пункты документа:
ФИО ИП или наименование организации — оператора ПДн;
цели обработки и вид персональных данных (например, адреса покупателей для осуществления доставок или данные соискателей для хранения в базе);
факт передачи третьим лицам (например, работодатель передает в банк данные сотрудников для оформления зарплатных карт);
сроки или условия прекращения обработки (до конкретной даты или после предоставления услуг);
возможность отказа от предоставления данных.
С 1 сентября 2025 года требования к согласию изменились — его запрещено «прятать» в других документах (договорах, соглашениях, анкетах, заявлениях). Согласие должно быть понятным, конкретным и однозначным, выражать свободную волю субъекта (ч. 1 ст. 9 закона № 152-ФЗ). На сайте его нужно выделить — сделать видимым посредством настройки отдельного чекбокса или кнопки.
Примечание: штрафы за обработку данных без согласия субъекта выросли в 2025 году. И теперь за нарушение организация может заплатить до 1,5 млн руб. (ч. 2 и 2.1 ст. 13.11 КоАП).
4. Приказ об утверждении мест хранения материальных носителей ПДн
Обработка данных на бумаге или с использованием других материальных носителей накладывает обязанность на операторов — обеспечить надежное хранение. По закону операторы должны проводить меры по защите данных и реагировать в случае утечек (постановление Правительства от 15 сентября 2008 г. № 687).
✅ О чем нужно помнить:
Места хранения. Для хранения материальных носителей подходят специально оборудованные комнаты, сейфы, закрытые шкафы.
Доступ строго по списку. В приказе следует закрепить перечень конкретных сотрудников и должностей, которые могут получать материальные носители. Доступ остальных сотрудников должен быть технически и организационно заблокирован.
Примечание: материальные носители должны храниться только в период, необходимый для целей обработки. После утраты актуальности документы уничтожаются — это также должно быть отражено во внутреннем регламенте.
5. Перечень информационных систем персональных данных
Документ фиксирует, где именно происходит автоматизированная обработка персональных данных, какие категории данных проходят через систему, кто отвечает за их защиту и какие средства безопасности применяются.
✅ Что должно быть в перечне ИСПДн:
Состав информационных систем. CRM, HR-сервисы, бухгалтерские программы, корпоративные порталы, серверы электронной почты, файловые хранилища, облачные сервисы, специализированные отраслевые системы и т.п.
Краткая характеристика каждой системы. Назначение, месторасположение, структура информационной системы, режим обработки информации.
Ответственные лица за эксплуатацию и защиту каждой ИСПДн — как технические, так и административные кадры.
Примечание: для хранения и обработки данных операторы должны использовать серверы, физически расположенные в России. Роскомнадзор рекомендует использовать отечественные ПО, CRM, облачные хранилища, базы данных, которые соответствуют требованиям «локализации» данных на территории РФ.
Компания «Центр безопасности данных» — профессиональный интегратор систем информационной безопасности и защиты персональных данных. Что вы получите при обращении:
экспертную поддержку на всех этапах работы с персональными данными — от консультаций до внедрения полноценной системы защиты ПДн;
соответствие требованиям Роскомнадзора и закона № 152-ФЗ;
уверенность при проверках.
Рекомендация: начните с аудита текущих документов и проверки актуальности сведений в уведомлении (реестре операторов Роскомнадзора). При наличии устаревших сведений, некорректных данных вероятность получить предписание или штраф — 100%. Готовы ответить на ваши вопросы.
6. Оценка угроз безопасности персональных данных
Модель угроз — это часть системы защиты персональных данных. Она предусматривает возможные сценарии несанкционированных доступов внутренних или внешних нарушителей. Модель угроз для Роскомнадзора и ФСТЭК — это доказательство, что оператор понимает риски и принимает меры защиты.
✅ Основные пункты модели угроз:
Описание информационных систем — серверы, рабочие станции, базы данных, сервисы.
Идентификация угроз. Внешние — кибератаки, взлом паролей, фишинг; внутренние — ошибки и злоупотребления работников; технические — отказ оборудования, сбои ПО; организационные — нарушение регламентов.
Выбор мер защиты — двухфакторная аутентификация, резервное копирование, разграничение доступов, видеонаблюдение в помещениях.
Примечание: документ должен отражать реальную инфраструктуру. За утечки специальных и биометрических данных установлены оборотные штрафы: 1–3% от годовой выручки или до 500 млн руб. (ч. 18 ст. 13.11 КоАП).
7. Акт о проведении оценки вреда
Акт — это форма для оценки возможного ущерба субъектам персональных данных. Операторы обязаны разработать его заранее и хранить вместе с другими документами о персональных данных. Требования к оценке вреда Роскомнадзор утвердил в приказе от 27.10.2022 № 178. При проверке или в случае утечки ПДн Роскомнадзорав может запросить этот документ с описанием потенциального вреда субъектам ПДн.
✅ Какие сведения отражаются в акте:
Об операторе — данные организации, ИП.
Дате составления документа.
ФИО сотрудника или участники комиссии, которые провели оценку вреда.
Степени вреда: высокая, средняя или низкая. Если потенциально утечка наносит разноуровневые риски, то следует указать высокую степень вреда. Например, обработкой данных занимается внештатный сотрудник (низкий уровень), при этом в организации хранятся биометрические данные (высокий уровень).
Примечание: акт может быть составлен в бумажной или электронной форме. Соответственно, члены комиссии подписывают его собственноручно или электронной подписью. Акт потребуется обновить, если в политику обработки внесли изменения.
8. Приказ об утверждении форм документов
Приказ закрепляет стандартизированные формы документов, которые оператор использует на всех этапах обработки персональных данных. Он помогает унифицировать работу сотрудников, снизить риски ошибок и организовать работу по нормам закона № 152-ФЗ.
✅ Функции приказа об утверждении форм документов:
Утверждает шаблоны документов в отношении обработки персональных данных — формы согласий, уведомлений, заявлений субъектов, журналы учета, акты уничтожения носителей.
Сотрудники пользуются едиными формами документов, не подвергая компанию рискам.
Помогает разграничить зоны сотрудников, ответственных за разработку, согласование и актуальность форм.
Примечание: дополнительно к приказу разрабатываются приложения с шаблонами документов. Приказ формирует документальную базу, которую Роскомнадзор проверяет в первую очередь.
9. Обязательство о неразглашении
Сотрудники компаний работают с персональными данными контрагентов, клиентов, пользователей сайтов, других сотрудников (в т. ч. уволенных). Риски утечек велики, поэтому должностные лица подписывают обязательство о неразглашении ПДн. При отсутствии документа ответственность переходит на работодателя. Подписант подтверждает, что ознакомлен с обязанностью по неразглашению и ответственностью.
Единого стандарта по оформлению документа закон не устанавливает. Достаточно написать его в свободной форме, но с указанием обязательных разделов.
✅ Основные пункты обязательства о неразглашении:
наименование документа;
сведения об организации-операторе;
ФИО сотрудника;
состав и объем информации, которую лицо не может разглашать;
дата начала обязательства;
подпись лица;
Примечание: персональные данные определяются как совокупность сведений о физлице. Менеджеры по продажам и по работе с клиентами, бухгалтеры и кадровики допущены к базам с ФИО физлиц, их контактными данными, а иногда реквизитами паспортом и других документов — в этом случае они должны подписать документ о неразглашении.
10. Уведомление в Роскомнадзор
Уведомление в РКН — это основание, на котором регулятор вносит оператора в реестр. Подать уведомление нужно после сбора всех необходимых документов и до начала обработки данных (ч. 1 ст. 22 № 152-ФЗ).
✅ Что указывать в уведомлении:
Данные оператора — наименование, адрес, контакты.
Цели обработки — например, ведение кадрового и бухгалтерского учета.
Типы данных — общие, специальные, биометрические. Достаточно проставить «галочки» напротив нужных данных.
Категории физлиц — клиенты, рабтники, контрагенты, законные представители и др.
Основание для использования данных — например, согласие физлица, требование закона и т.п..
Перечень действий с данными физлиц — от сбора до удаления.
Способы обработки — без автоматизированных средств (учет на бумаге), в автоматизированных системах (ПК) или гибридный вариант.
Примечание: сформировать и отправить уведомление можно онлайн на сайте Роскомнадзора. Также есть консервативный способ — распечатать бумажный бланк, заполнить и принести в территориальный орган РКН.
Услуги в области персональных данных
Закажите полный комплекс услуг по защите персональных данных «под ключ». Мы проведем работы в кратчайший срок и по оптимальной цене
Шпаргалка для операторов персональных данных
В таблице собраны основные документы и факторы, на которые следует обратить внимание:
№ | Документ | Что проверить | Отметка |
1. | Политика обработки ПДн | Актуальна, совпадает с фактическими процессами, размещена на сайте или в уголке потребителя (при отсутствии сайта) | ✅ |
2. | Приказ об организации обработки ПДн с назначением ответственного | Назначен ответственный, на которого возложены обязанности по организации процессов обработки персональных данных в компании | ✅ |
3. | Согласие на обработку ПДн | Предметное, понятное. Оформлено отдельно от других документов. Допускаются электронные и бумажные формы согласия | ✅ |
4. | Приказ о местах хранения материальных носителей | Указаны места хранения (помещения, сейфы), список допущенных лиц, действует журнал учета | ✅ |
5. | Приказ о перечне ИСПДн | Сформированы перечень информационных систем, меры защиты и ответственные | ✅ |
6. | Модель угроз безопасности ПДн | Отражает реальную инфраструктуру, потенциальные угрозы, корректные меры защиты | ✅ |
7. | Акт о проведении оценки вреда | Определен ответственный сотрудник (или состав комиссии), степени риска, документ подписан уполномоченными лицами (в электронном виде — УКЭП, на бумаге — собственноручно) | ✅ |
8. | Приказ об утверждении форм документов | Утверждены все шаблоны: согласия, заявления, журналы, акты | ✅ |
9. | Обязательство о неразглашении | Подписано всеми допущенными лицами, актуализируется при смене штата | ✅ |
10. | Уведомление в Роскомнадзор | Подано до начала обработки, данные актуальны, есть подтверждение отправки. Ссылки: онлайн-подача уведомления, проверка записи об операторе в реестре | ✅ |
Специалисты «Центра безопасности данных» помогут подготовить полный пакет документов с учетом особенностей вашей работы с ПДн и норм закона № 152-ФЗ. Действуйте проактивно: не ждите, пока Роскомнадзор придет с проверкой. Начните готовиться уже сейчас, чтобы снизить риски получить предписание или штраф. Ознакомьтесь со всеми услугами на сайте ЦБД.
Читайте также:
Что делать при утечке персональных данных в 2025 году: памятка для бизнеса.
Защита критической информационной инфраструктуры в 2025 году: что нужно знать бизнесу.
Реклама: ООО ЦЕНТР БЕЗОПАСНОСТИ ДАННЫХ «АЙДЕКО», ИНН 6324020784, erid: 2W5zFJyycPz
Начать дискуссию