Приказ Роскомнадзора от 24.02.2021 № 18 . Содержит обязательные требования к содержанию согласия на обработку персональных данных, разрешенных субъектом для распространения.

Приказ Роскомнадзора от 28.10.2022 № 180 . Утверждает актуальные формы уведомлений для Роскомнадзора (о начале обработки, об изменении сведений, о прекращении).

Постановление Правительства от 01.11.2012 № 1119 . Определяет уровни защищенности данных и предъявляет конкретные требования к защите в зависимости от типа информационной системы.

В 2026 году основа для оформления документов по обработке персональных данных остается неизменной — это закон от 27.07.2006 №152-ФЗ . Однако он применяется не изолированно, а в связке с рядом других нормативно-правовых актов:

Персональные данные, разрешенные субъектом для распространения , — это данные, на раскрытие которых неограниченному кругу лиц субъект дал отдельное, прямое согласие.

Информационная система персональных данных (ИСПДн) . Совокупность баз данных и всех обеспечивающих их обработку технологий и технических средств (от сервера до CRM-системы).

Обезличивание . Действия, после которых невозможно без дополнительной информации определить принадлежность данных конкретному субъекту.

Обработка персональных данных . Широкое понятие, включающее любое действие с ПДн: от сбора и записи до хранения, использования, передачи и уничтожения.

Оператор . Это организация или ИП, которые самостоятельно или совместно с другими определяют цели и состав обработки ПДн и совершают с ними действия. Именно оператор несет ответственность перед субъектами и надзорными органами.

Персональные данные (ПДн) . Любая информация, прямо или косвенно относящаяся к физическому лицу (субъекту). Это не только ФИО или паспорт, но и, например, e-mail, cookie, история заказов — если по ним можно идентифицировать человека.

Корректное понимание и использование базовых терминов — основа для составления любых документов оператором персональных данных. Ошибка в трактовке понятия часто ведет к нарушению требований закона. Ориентируйтесь на определения из ст. 3 закона № 152-ФЗ :

Какие термины обычно используются в документах по персональным данным

Какие документы по персональным данным в 2026 году должен оформить каждый оператор

Политика обработки персональных данных

Это ваш основной документ по обработке персональных данных. Политика составляется в соответствии с рекомендациями Роскомнадзора от 31.07.2017. Ее нельзя просто скопировать у конкурента. Вы должны разработать документ с нуля, учитывая специфику своего бизнеса: какие цели обработки, какие данные, в каком объеме и какими способами и т.д. Что указывается в Политике: Общие положения. Определения (что вы понимаете под ПДн, обработкой), правовые основания, принципы обработки. Цели сбора ПДн. Четкий список: например, исполнение договора с клиентом, трудоустройство, отправка рассылок (для каждой цели — свое основание). Правовые основания обработки. Конкретные нормы закона, договор или согласие субъекта, на которые вы опираетесь для каждой цели (ст. 6 ФЗ № 152-ФЗ). Состав обрабатываемых ПДн и категории субъектов. Подробное описание: какие данные вы берете у клиентов (ФИО, телефон), у соискателей (резюме), у сотрудников (паспорт, ИНН). Объем данных должен строго соответствовать заявленным целям и категориям ПДн. Порядок и условия обработки. Как данные собираются, хранятся (сроки, носители), защищаются, кому и на каком основании передаются. Права субъекта ПДн и порядок их реализации. Как человек может отозвать согласие, уточнить или удалить свои данные — ваш регламент действий на эти случаи. Меры по защите данных. Общее описание принятых вами организационных и технических мер (с отсылкой к внутренним регламентам). Составить Политику и опубликовать ее на сайте нужно до начала обработки ПДн. Поскольку единого шаблона нет, а ошибки влекут риски проверок и штрафов, для разработки лучше привлечь профильных юристов.

Шаблоны согласий

Согласие субъекта — это один из ключевых документов при обработке персональных данных. У вас должны быть шаблоны нескольких видов согласий: Вид согласия Когда оформляется Особенности оформления На обработку ПДн Если нет оснований для обработки без него, они предусмотрены ст.6 ФЗ №152-ФЗ. Например, согласие не нужно, если речь идет об исполнении обязательств по договору, стороной которого выступает субъект ПДн Составляется отдельно от других документов. Должно быть конкретным и информированным: субъект должен понимать, кому дает согласие и для каких целей На передачу ПДн третьим лицам Если для достижения целей вам необходимо поручить обработку или передать данные партнеру. Согласие не требуется, если передача осуществляется по запросу госорганов, суда, правоохранительных органов, военкомата и т.д. Составляется отдельно. Обязательно указывается третье лицо, которому передаются ПДн, а также цели передачи На распространение ПДн Если планируете разместить ПДн в открытых источниках (на сайте, в каталоге и т.д.). Например, такое согласие нужно для публикации фотографии, должности и ФИО сотрудника компании-работодателя Составляется по форме из приказа Роскомнадзора № 18. Оформляется строго отдельно от всех других согласий. На маркетинговые (рекламные) рассылки Для отправки рекламы и промоматериалов по SMS, e-mail, мессенджерам Должно быть отдельным, явно выраженным согласием. Его нельзя включать в общее согласие на обработку или в договор. Четко указывайте каналы связи (e-mail, телефон) Подготовка документов для работы с персональными данными 2026 для организаций Консультация

Положения

Это документы по персональным данным, которые устанавливают конкретные процедуры и распределяют ответственность внутри вашей компании. Они не публикуются для клиентов, но сотрудники обязательно должны их исполнять. Основные положения, которые следует разработать: Положение об обработке и защите персональных данных. Это внутренний регламент, детализирующий Политику. В нем прописываются технические и организационные меры защиты, порядок доступа сотрудников к данным, процедуры реагирования на инциденты. Положение об ответственности работников. Закрепляет обязанность сотрудников соблюдать конфиденциальность и правила работы с персональными данными. Документ служит основанием для привлечения к дисциплинарной ответственности в случае нарушений. Положение о порядке уничтожения персональных данных. Устанавливает четкий регламент: в какие сроки, каким методом и на каком основании данные должны быть удалены или обезличены. Положение о комиссии по защите ПДн. Документ определяет состав, полномочия и порядок работы комиссии, ответственной за внедрение и контроль мер защиты.

Распорядительные документы

Для работы с ПДн нужна внутренняя дисциплина в компании. Ее основу формируют приказы руководителя — обязательные к исполнению распорядительные документы по обработке персональных данных в 2026 году. Их наличие доказывает, что вы не просто декларируете соблюдение закона, а выстроили конкретные организационные процедуры. Ключевые приказы, которые должны быть у оператора: 1. Об ответственных лицах. Это базовый приказ. Он назначает сотрудника, отвечающего за организацию обработки ПДн, и, отдельно, — за обеспечение их безопасности в информационных системах. 2. Об утверждении перечней. Сюда входят два важнейших документа: перечень лиц, допущенных к обработке ПДн (конкретные должности);

перечень информационных систем, в которых эти данные обрабатываются. 3. О мерах безопасности. Это группа приказов, регламентирующих практическую защиту: об утверждении мест хранения материальных носителей (шкафы, архивы);

о создании комиссии по уничтожению ПДн;

о проведении оценки потенциального вреда субъектам ПДн в случае нарушения;

об утверждении форм документов по персональным данным. Этим приказом руководитель официально вводит в действие все шаблоны: согласий, уведомлений, журналов учета и иных внутренних форм.

Журналы

В спорной ситуации именно журналы станут вашим главным доказательством соблюдения процедур, как перед контролирующими органами, так и в диалоге с субъектами. Основные журналы, которые рекомендуется вести: Журнал учета обращений субъектов ПДн. Фиксирует все запросы от граждан на доступ, уточнение, блокировку или уничтожение их данных. Доказывает, что вы своевременно и законно реагировали на требования. Журнал инструктажа и ознакомления работников. Подтверждает, что каждый сотрудник, имеющий доступ к данным, был проинструктирован о правилах их обработки и защиты, а также ознакомлен с Политикой оператора и положениями под подпись. Журнал учета машинных носителей. Регистрирует движение флеш-накопителей, жестких дисков и иных носителей, содержащих ПДн, что необходимо для контроля их целостности и предотвращения утечек. Журнал учета мероприятий по контролю. Фиксирует проведение внутренних проверок (аудитов) системы защиты ПДн, что свидетельствует о постоянном мониторинге ее эффективности. Эти журналы должны быть правильно оформлены (прошнурованы, пронумерованы, подписаны ответственным лицом) и храниться в закрытом помещении с ограниченным доступом.

Уведомление об обработке персональных данных