Если вы ведете бизнес и взаимодействуете с клиентами, сотрудниками и другими физлицами, работа с личной информацией — часть вашей повседневной деятельности. Чтобы избежать штрафов Роскомнадзора и защитить себя и своих клиентов, важно понимать, какие документы по персональным данным нужно оформить и как правильно организовать их обработку. Мы расскажем обо всем подробнее, чтобы вы могли обезопасить себя.
Кто считается оператором персональных данных
Вы — оператор персональных данных, если обрабатываете сведения, по которым можно узнать конкретного человека. Например, собираете ФИО и номера телефонов для оформления заказов или оказания услуг. Кто попадает в эту категорию (ст. 3 ФЗ от 27.07.2006 № 152-ФЗ):
компании любого типа: например, ООО или АО;
индивидуальные предприниматели;
самозанятые;
физические лица;
государственные и муниципальные органы.
ПДн бывают двух видов. Внутренние — это, например, данные ваших сотрудников: паспортные данные, СНИЛС, контакты, зарплата. Внешние — это данные клиентов, пациентов, учеников, подписчиков рассылки и других физлиц.
Важно! По закону вы становитесь оператором в момент сбора данных. Даже если в дальнейшем вы просто храните их, это не отменяет того, что вам нужно соблюдать ФЗ № 152-ФЗ. Поэтому обязательно нужно оформить перечень документов по персональным данным. Они показывают, что вы соблюдаете закон, и позволяют спокойно работать с данными людей.
Что нужно для законной обработки персональных данных
Мы выделили три ключевых шага, которые позволят вам не нарушать закон и спокойно вести бизнес:
Первый шаг — определить цели обработки. Нужно четко понимать, зачем вы собираете данные: для ведения клиентов, оформления договоров, расчета зарплаты или рассылки новостей. Одновременно определите, какие именно данные вам нужны и какие операции с ними будете выполнять: хранение, изменение, удаление, распространение, передача третьим лицам и т.д. Это будет иметь значение при оформлении документов.
Второй шаг — подготовить документы по персональным данным. Они фиксируют все процессы работы с ПДн: какие данные и как обрабатываются, кто отвечает за организацию обработки, как вы защищаете ПДн. Без них невозможно доказать соблюдение ФЗ №152 и защитить компанию от претензий.
Третий шаг — подать уведомление в Роскомнадзор. Это обязательно практически для всех операторов.
Подготовка документов для работы с персональными данными 2026 для организаций
Какие документы нужны оператору
Политика в отношении обработки персональных данных — главный документ любого оператора. Она описывает принципы обработки, цели сбора, порядок хранения и передачи информации. Этот документ становится ориентиром для всех сотрудников, определяет ответственность и регламентирует взаимодействие с клиентами и подрядчиками.
К основным документам оператора персональных данных также относятся:
Положения по обработке и защите данных — отдельно для сотрудников, клиентов и иных лиц. Включают обработку как вручную, так и с использованием информационных систем, правила обезличивания данных.
Регулирование доступа — перечни обрабатываемых данных, список сотрудников с допуском к информации, должностные инструкции и соглашения о неразглашении.
Иные локальные акты: приказы о назначении ответственного за обработку данных, утверждение мест хранения, порядок рассмотрения запросов субъектов персональных данных.
Образцы согласий субъектов на обработку, акты об уничтожении информации; договоры с третьими лицами, которым поручена обработка.
Кроме того, особое внимание уделяется безопасности:
Документы по защите и безопасности данных включают учет и классификацию информационных систем, модель угроз, план мероприятий по безопасности, инструкции по действиям в нештатных ситуациях, правила резервного копирования и уничтожения носителей.
Контроль соблюдения требований: положения и планы внутреннего аудита, акты оценки возможного вреда субъектам, схемы рабочих мест и потоков передачи данных, журналы учета и инструктажа работников.
Важный инструмент контроля — журналы, фиксирующие обращения субъектов, движение машинных и съемных носителей, инструктаж сотрудников по информационной безопасности, тестирование средств защиты и ознакомление персонала с политикой обработки данных.
Набор документов зависит от размера бизнеса, специфики деятельности, категорий ПДн и используемых информационных систем. Чтобы полностью закрыть все требования ФЗ № 152 и быть уверенным в законности работы с данными, стоит обратиться к юристу. Тогда ваши документы будут актуальными и защитят бизнес от штрафов.
Не забудьте зарегистрироваться в реестре операторов
Перед тем, как собирать ПДн, нужно направить в Роскомнадзор уведомление о начале обработки данных. Его рассмотрят в течение 30 дней, по результатам вас добавят в реестр операторов.
Регистрация необязательна только в исключительных случаях (ст. 22 ФЗ № 152-ФЗ):
вы обрабатываете данные только вручную, без использования компьютеров и информационных систем;
данные включены в государственные информационные системы, созданные для защиты безопасности государства и общественного порядка;
обработка данных осуществляется в рамках требований законодательства о транспортной безопасности.
Как зарегистрироваться в реестре
Сначала разработайте все шаблоны и формы документов по персональным данным — они понадобятся при заполнении уведомления, поскольку туда вносятся сведения из внутренних локальных актов. Не забудьте назначить ответственного — он в дальнейшем будет заниматься организацией обработки ПДн и взаимодействовать с Роскомнадзором.
Когда все будет готово, выполните несколько шагов:
Заполните уведомление на сайте РКН. Особое внимание уделите целям обработки, категориям субъектов и категориям ПДн. Не нужно указывать то, чего нет на самом деле. Например, если вы собираете только ФИО, номера телефонов и адреса электронной почты, не добавляйте в категории ПДн такие сведения, как СНИЛС, ИНН или что-то другое, что вы никогда не запрашиваете. Проще говоря, не вписывайте ничего «на всякий случай».
Подпишите уведомление. Это можно сделать через Госуслуги, если ваш профиль привязан к аккаунту организации, или с помощью настроенного плагина КриптоПро.
Дождитесь результата. Проверить регистрацию в РКН можно на сайте ведомства в открытом реестре. Достаточно указать название организации или ИНН.
Подготовка документов для работы с персональными данными 2026 для организаций
Ответственность оператора за нарушения
Если вы не оформите Политику обработки ПДн или не предоставите субъектам беспрепятственный доступ к ней, вас могут оштрафовать по ч. 3 ст.13.11 КоАП. Сумма штрафа для граждан — до 3 000, должностных лиц — до 12 000, ИП — до 20 000, организаций — до 60 000 рублей.
При обработке ПДн без согласия субъекта, когда оно обязательно по закону, штрафы существенно выше:
для граждан — до 15 000;
для должностных лиц — до 300 00;
для юрлиц — до 700 000.
Самые высокие штрафы предусмотрены за утечку — до 20 млн рублей. При инциденте вас могут оштрафовать, если будет установлены ваши виновные действия или бездействие при условии, что именно это стало причиной утечки. Правильно оформленный пакет документов по персональным данным здесь играет не последнюю роль: если выяснится, что у вас, например, не было инструкций для сотрудников на случай инцидентов, вы рискуете как минимум получить предписание, как максимум — лишиться нескольких миллионов.
