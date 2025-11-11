Почти каждый бизнес, который работает с клиентами или сотрудниками, автоматически считается оператором персональных данных и обязан иметь пакет документов по ФЗ-152 — иначе компании грозят штрафы до сотен тысяч рублей. В этой статье разберем, что входит в пакет документов для Роскомнадзора, как его правильно подготовить и во сколько это может обойтись, чтобы избежать претензий контролирующего органа.
Кто обязан готовить документы по ФЗ-152
Документы по ФЗ-152 должны подготовить все организации и предприниматели, которые так или иначе работают с персональными данными физических лиц. Согласно закону, оператором ПДн считается любое лицо или компания, обрабатывающие персональные данные сотрудников, клиентов или пользователей. Проще говоря, если у вас на сайте есть формы сбора данных (заявки, подписки), если вы храните имена, телефоны, email клиентов или ведете базу сотрудников — вы являетесь оператором и обязаны соблюдать требования закона. Исключения минимальны (например, совсем без автоматизации — чисто на бумаге, или отдельные случаи, перечисленные в ст.22 152-ФЗ), но с 2022 года перечень таких случаев еще больше сократился.
Важно понимать: начиная с 2025 года регулятор активно выявляет даже мелкие нарушения. Запущены автоматические проверки сайтов с помощью ИИ, которые сканируют наличие нужных документов (политики, согласий и пр.) и правильность их оформления. Если чего-то не хватает, РКН может быстро обнаружить проблему и выдать предписание с требованием исправить ее в сжатые сроки (обычно 10 дней). Даже если вы успеете устранить недочеты, организацию все равно могут оштрафовать за период несоблюдения требований. Поэтому подготовить пакет документов для Роскомнадзора нужно заблаговременно, до начала сбора данных — это обезопасит бизнес от штрафов и претензий.
Что входит в пакет документов для Роскомнадзора
Пакет документов по персональным данным включает как публичные документы для клиентов, так и внутренние локальные акты компании. В 2025 году состав требований остался прежним, но контроль за их наличием и актуальностью ужесточился. Вот основные документы по ФЗ-152, которые должны быть у оператора ПДн:
Политика обработки персональных данных — публичный документ, обычно размещается на сайте (например, в футере). В политике прописывается, какие персональные данные вы собираете, с какой целью, как их храните и защищаете. Закон обязывает опубликовать эту политику в открытом доступе, чтобы любые субъекты ПДн (пользователи, клиенты) могли ознакомиться с вашими правилами обработки данных. Политика должна быть актуальной и соответствовать реальным процессам вашей компании, иначе она не спасет от штрафов.
Согласие на обработку персональных данных — отдельный документ или раздел в форме, где субъект ПДн (клиент, пользователь) подтверждает, что дает согласие на сбор и использование его данных. Согласно закону, вы обязаны получить согласие от человека на обработку его персональных данных и при необходимости доказать это Роскомнадзору. Поэтому на каждой форме обратной связи, регистрации, подписки на сайте должна стоять галочка или формулировка с согласием на обработку данных. Также нужны бланки согласия для сотрудников при приеме на работу, если планируется использовать их данные вне рамок трудового договора. Отдельно оформляются письменные согласия для специальных категорий данных (например, медицинские или биометрические) — за их отсутствие штрафы максимальные.
Уведомление в Роскомнадзор о начале обработки персональных данных — официальное уведомление, которое оператор обязан подать до начала обработки ПДн (то есть еще до того, как вы начнете собирать данные через сайт или принимать резюме от сотрудников). Регистрация в реестре Роскомнадзора сейчас фактически равна уведомлению: вы отправляете данные о своей компании, целях обработки, мерах защиты и т.д. Если уведомление не подано, деятельность по сбору данных считается незаконной. Штраф за отсутствие регистрации с 2025 года — до 300 000 ₽ для компании, поэтому не стоит рисковать. Имейте в виду, что некоторые организации могут не уведомлять РКН (например, если обрабатывают данные только на бумаге, или только в рамках трудовых отношений), но большинство малого и среднего бизнеса под эти исключения не подпадает. Лучше перестраховаться и направить уведомление.
Приказ о назначении ответственного за ПДн — внутренний документ, которым руководитель назначает сотрудника, ответственного за организацию обработки персональных данных. По закону (ст. 22.1 ФЗ-152) каждая компания должна назначить ответственного, который будет следить за соблюдением законодательства, обучать персонал и принимать меры по защите данных. Этот приказ необходимо оформить письменно, указав обязанности ответственного, и ознакомить под подпись всех сотрудников, кто работает с ПДн. Отсутствие ответственного лица — грубое нарушение, которое может выявиться при проверке.
Локальные акты по обработке и защите ПДн — это совокупность внутренних документов компании, регламентирующих работу с персональными данными. Сюда входят различные положения, политики, инструкции, журналы и перечни. Например, Положение о порядке обработки персональных данных, Политика информационной безопасности (как часть защиты ПДн), инструкции для сотрудников по работе с персональными данными, перечень лиц, допущенных к обработке ПДн, журналы учета обращений субъектов ПДн и фактов предоставления данных третьим лицам, формы заявлений от субъектов (на отзыв согласия, на предоставление информации о данных) и т.д. В совокупности это более 30 документов, формирующих систему обеспечения безопасности персональных данных внутри организации. Все эти локальные акты должны соответствовать требованиям закона и реальным процессам компании. Их отсутствие или формальное наличие (например, скачанные шаблоны, не отражающие вашу деятельность) не спасут от санкций при проверке.
Документы по мерам защиты персональных данных — особое внимание стоит уделить документированию мер безопасности. Закон обязывает операторов принимать правовые, организационные и технические меры защиты ПДн, поэтому необходимо иметь документы, подтверждающие, что такие меры внедрены. К ним относятся: Модель угроз и модель нарушителя (оценка рисков для ПДн), Политика информационной безопасности, приказы об ограничении доступа к данным, акт классификации информационной системы ПДн (определение уровня защищенности), описание применяемых средств защиты (например, шифрование, антивирусы, резервное копирование), порядок реагирования на утечку данных, планы резервного восстановления и т.п. Эти документы тесно связаны с локальными актами, перечисленными выше, и часто включаются в единый пакет. Если компания использует облачные сервисы или иностранные сервисы (например, хранит данные на зарубежных серверах, пользуется Google Analytics, Telegram и т.д.), то отдельно готовится уведомление о трансграничной передаче данных для РКН — его тоже можно отнести к мерам защиты, так как оно требуется для легализации передачи ПДн за границу.
Суммарно состав пакета документов для Роскомнадзора в 2025 году включает десятки файлов. На проверке инспекторы Роскомнадзора запросят весь этот комплект. Если чего-то будет не хватать — например, нет актуальной политики или не оформлены нужные приказы — это сочтут нарушением. Документы при проверке РКН — это ваше главное доказательство законности обработки данных. Поэтому важно не только подготовить их однажды, но и поддерживать в актуальном состоянии.
Пакет документов для Роскомнадзора — под ключ от «Роском 24»
📄 Для ООО, ИП, АО и самозанятых:
Политика обработки персональных данных.
Формы согласий (в том числе рекламных).
Инструкции, регламенты, приказы — более 30 документов.
Учет всех требований ФЗ-152 и практики проверок.
Подходит для регистрации и проверок РКН.
Как подготовить документы по ФЗ-152: пошаговая инструкция
Разработка полного комплекта документов по персональным данным может показаться сложной задачей. Ниже приводим порядок подготовки документов для Роскомнадзора — пошагово, с учетом требований закона и практики проверок:
1. Проанализируйте, какие персональные данные вы обрабатываете. На первом этапе составьте перечень всех процессов в вашем бизнесе, где фигурируют персональные данные. Учтите данные сотрудников (кадровый учет), клиентов (заказы, заявки, подписки), пользователей сайта (регистрация, cookies), контрагентов-физлиц и пр. Определите категории персональных данных (ФИО, контакты, паспортные, финансовые и т.д.) и цели их обработки (выполнение договора, рассылка, безопасность и т.п.). Такой анализ необходим, чтобы понять, какие документы нужны и какое содержание в них прописать. Например, если вы не собираете биометрические данные, то и отдельные согласия на биометрию вам не требуются. А если используете облачные сервисы — нужно будет предусмотреть меры для трансграничной передачи. Также на этом этапе выясняется, нужно ли уведомлять Роскомнадзор: большинство организаций — да, нужно (если только у вас не исключительно бумажные базы или один-два случая из ст.22, см. выше).
2. Назначьте ответственного и определите меры защиты. Формально назначить ответственного за ПДн можно сразу приказом, но сначала стоит выбрать подходящего сотрудника (обычно руководитель ИТ-службы, главный юрист или другой квалифицированный специалист). Определите, какие технические и организационные меры защиты данных у вас уже реализованы и чего не хватает: шифрование, антивирусы, резервное копирование, ограничение доступа к папкам с данными, обучение персонала и т.д. Заложите эти моменты в будущее положение о защите ПДн. Если у вас нет экспертизы в информационной безопасности, имеет смысл провести предварительно аудит сайта и ИТ-систем на соответствие 152-ФЗ или привлечь профильных специалистов. Например, можно заказать юридический и технический аудит сайта — эксперты проверят, соблюдаются ли требования к безопасности, и подскажут, какие документы/настройки нужно добавить.
3. Разработайте Политику конфиденциальности и формы согласия. Начните с этих документов, так как они необходимые и относительно понятные. Политика обработки персональных данных должна отражать все ключевые моменты: перечень ПДн, цели, способы обработки, меры защиты, права субъектов и контакты ответственного лица. Роскомнадзор в 2017 году даже выпустил рекомендации по содержанию политики, так что можно опираться на них. Шаблонов политики множество, но старайтесь не просто копировать — адаптируйте текст под вашу ситуацию (например, укажите реальные формы на вашем сайте, реальные сервисы, которые вы используете для хранения данных). Согласие на обработку ПДн обычно делается в виде отдельного текста, который пользователь принимает, ставя галочку. Подготовьте несколько вариантов согласий: для сайта (для пользователей/клиентов) — универсальное или отдельные на разные цели (на обработку cookies, на рассылку и т.п.), а также для сотрудников — согласие работника на обработку его данных, согласие на фото/видео (если нужно) и т.д. Учтите требования ст.9 ФЗ-152: согласие должно быть конкретным, информированным и сознательно данным. Не забудьте про особые формы, если нужны: например, согласие родителя на обработку данных ребенка, согласие на биометрию (в письменной форме). Все шаблоны согласий стоит утвердить приказом или приложением к положению.
4. Подготовьте внутренние локальные акты. Самый трудоемкий шаг — разработка внутренних документов, ведь их много. Рекомендуется начинать с базовых положений:
Общий порядок обработки персональных данных — документ, описывающий весь цикл работы с ПДн в организации: от момента сбора до уничтожения. Он включает разделы о порядке сбора данных, хранения, передачи третьим лицам, меры защиты, ответственность и т.п.
Положение об обеспечении безопасности персональных данных — фокусируется на мерах защиты: какие организационные меры приняты (назначены ответственные, ограничения доступа, режим помещения и пр.) и технические меры (антивирусы, шифрование, резервирование, журналирование действий и т.д.). Здесь же может содержаться перечень угроз и уязвимостей и ссылки на техническую документацию.
Перечень персональных данных и субъектов — список всех категорий ПДн, которые компания обрабатывает, и каких субъектов они касаются (клиенты, сотрудники, контрагенты).
Перечень лиц, допущенных к обработке ПДн — кто в компании имеет право работать с данными, их должности. Часто оформляется в виде приказа или приложения.
Должностные инструкции сотрудников, в чьи обязанности входит обработка ПДн — в них добавляются пункты о соблюдении законодательства о ПДн.
Приказы и журналы: приказ о назначении ответственного (если не сделали отдельно ранее), приказы об утверждении всех перечисленных положений, журнал ознакомления работников с этими документами (под роспись). Также нужен журнал обращений субъектов — для регистрации запросов от граждан (например, запрос предоставить информацию о их данных или удалить их).
План мероприятий по обеспечению защиты ПДн — часто требуемый документ, где перечисляются все шаги, которые компания предпринимает для защиты данных (обучение, технические меры, аудиты).
Политика хранения и уничтожения персональных данных — регламентирует сроки хранения разных категорий ПДн и порядок их удаления по истечении сроков или по запросу субъекта.
Это лишь часть документов. Всего их может быть несколько десятков (как мы упоминали, около 30 внутренних актов). Чтобы упростить задачу, вы можете воспользоваться типовыми шаблонами — в открытом доступе есть шаблоны документов для Роскомнадзора от консультантов и даже примерный перечень на сайте самого Роскомнадзора.
Но помните: шаблон надо тщательно привести в соответствие с деятельностью вашей компании. Если в типовом положении указано, что у вас есть, к примеру, система видеонаблюдения (а у вас нет) или используются шифровальные средства (а вы о них впервые слышите) — нужно убрать или исправить эти пункты. РКН на проверке легко заметит несоответствие «бумаги» реальности.
5. Отправьте уведомление в Роскомнадзор. Когда основные документы готовы (или параллельно с их разработкой), подайте уведомление о начале обработки ПДн через портал Роскомнадзора или Госуслуги. В уведомлении вы указываете свои данные, перечень ПДн, цели, меры защиты и ответственного. По сути, вы декларируете все то, что уже прописали во внутренних документах. Без этих документов нельзя корректно заполнить уведомление — например, там нужно перечислить меры защиты и нормативные акты, которыми вы руководствуетесь. Если отправить пустую форму «для галочки», при первой же проверке это вскроется, и штрафы неизбежны. Поэтому отправлять уведомление имеет смысл только тогда, когда минимальный пакет (политика, согласия, положение, приказ) у вас подготовлен. В 2025 году уведомление подается один раз, повторно его подавать не нужно, если у вас уже есть регистрационный номер в реестре операторов ПДн. Однако при изменении данных (например, вы начали собирать новые категории данных или расширили цели обработки) нужно обновить документы внутри компании и при существенных изменениях направить в Роскомнадзор новое уведомление с корректировками. Сама процедура регистрации сейчас достаточно проста, но если вы боитесь допустить ошибку, можно поручить эту задачу профессионалам — например, заказать услугу «Уведомление в РКН», где специалисты заполнят и отправят уведомление за вас.
6. Ознакомьте и обучите сотрудников. После того, как все документы по персональным данным утверждены приказами, важно довести их до сведения работников. Проведите небольшой инструктаж или рассылку: ответственный объясняет коллегам ключевые положения политики, инструкции по безопасности, что можно и нельзя делать с ПДн. Обязательно возьмите расписку с сотрудников об ознакомлении с политикой и локальными актами — это требование закона. Для новых сотрудников включите такую ознакомительную процедуру в список обязательных при приеме. Также стоит организовать обучение персонала, особенно тех, кто непосредственно работает с данными (HR, отдел продаж, маркетинг, айтишники): например, как отвечать на запросы субъекта ПДн, что делать при получении требования от Роскомнадзора, как реагировать на возможную утечку данных. Факт проведения обучения можно оформить протоколом или приказом. Все эти меры покажут проверяющим, что компания осознанно соблюдает требования.
7. Поддерживайте документы в актуальном состоянии. Законодательство о персональных данных регулярно обновляется — за последние годы введено много поправок (например, новые составы правонарушений в КоАП с конца мая 2025, требования о локализации данных, правила трансграничной передачи и др.). Поэтому хотя бы раз в год пересматривайте свою документацию. Нужно ли обновлять документы при проверке Роскомнадзора? Идеально, если вы не будете дожидаться проверки: актуальные документы должны быть всегда. Но если вы узнали о плановой проверке или получили предварительное уведомление о профилактическом визите, то обязательно проведите ревизию: сравните текущие процессы с тем, что написано в ваших положениях и политике, при необходимости издайте приказы о внесении изменений. РКН нередко перед выездной проверкой запрашивает копии локальных актов по ПДн — им важно, чтобы документы были не только на месте, но и соответствовали последней редакции закона. То же касается ситуаций, когда в вашей деятельности происходят изменения (запустили новый сервис, начали собирать паспортные данные там, где раньше не собирали, и т.п.) — сразу отражайте это в документах и уведомляйте регулятора, если требуется.
8. Готовьтесь к проверкам и предписаниям заранее. Если все вышеперечисленное выполнено, вам не страшны плановые проверки Роскомнадзора — документы в порядке, сотрудники предупреждены. Но все же рекомендуется иметь внутренний чек-лист проверки РКН: сопоставьте свои документы со «списком 34 документов», которые Роскомнадзор обычно проверяет (этот список есть в нашем чек-листе, упомянутом ниже). Также подготовьте план действий на случай, если случится утечка персональных данных или поступит жалоба от субъекта — алгоритм внутренних разбирательств, уведомления пострадавших и Роскомнадзора и т.д. Если же регулятор уже нашел нарушения и выдал вам предписание, важно грамотно подготовить ответное письмо: описать, какие меры приняты, приложить обновленные документы, возможно, ходатайствовать о снижении штрафа. В таких ситуациях лучше консультироваться с юристами. Помните, что цель Роскомнадзора — не наказать любой ценой, а чтобы вы устранили нарушения. Если показать серьезный подход и быстрое исправление, есть шанс отделаться предупреждением.
Сколько стоит подготовка документов по персональным данным
Вопрос стоимости волнует многих предпринимателей: можно ли сделать все самому бесплатно, или придется потратиться? Стоимость подготовки документов по персональным данным зависит от нескольких факторов:
Самостоятельная подготовка. Формально законы и приказы доступны бесплатно, шаблоны базовых документов можно найти в открытом доступе. Если у вас есть в штате грамотный юрист или айтишник, который разберется в требованиях ФЗ-152, вы можете составить пакет документов своими силами. Прямых денежных затрат при этом минимум — возможно, покупка канцелярии для журналов, оплата консультации эксперта разово. Основной ресурс — это время и труд специалистов. Учтите, что человеку, не знакомому с тематикой, на сбор информации и разработку ~30 документов может понадобиться несколько недель.
Покупка шаблонов или онлайн-генераторов. Существуют готовые шаблоны документов по ФЗ-152 — как платные наборы, так и бесплатные образцы. Платные комплекты (например, от консультантов) стоят относительно недорого: порядка 5–10 тыс. рублей за базовый пакет из политики, согласий и пары положений. Иногда за 10–20 тыс. ₽ предлагают пакет «под ключ» для сайта или для кадров с минимальной кастомизацией. Однако минус шаблонов в том, что они усредненные — их все равно нужно дорабатывать под себя, а ответственность за корректность ляжет на вас. Тем не менее для очень малого бизнеса (например, интернет-магазина без сотрудников) шаблонный вариант — лучше, чем ничего: вы хотя бы получите каркас документов.
Услуги специалистов. Профессиональная разработка полного комплекта «под ключ» — самый надежный, но и самый дорогой вариант. Юристы и консультанты по защите данных обычно оценивают объем работы, исходя из количества бизнес-процессов в компании, числа филиалов, наличия иностранных передач и пр. Цена может сильно варьироваться: от ~30 тысяч рублей за небольшой бизнес до 60–80 тысяч рублей для средней компании с персоналом и сложной ИТ-инфраструктурой. Некоторые компании предлагают пакет вместе с техническим внедрением мер (шифрование, настройка серверов) — тогда счет может идти и на сотни тысяч в крупных организациях. С другой стороны, встречаются и недорогие предложения: например, консультационные фирмы берутся привести ИП или небольшое ООО в соответствие требованиям за ~10–15 тыс. ₽. Обязательно уточняйте, что входит в услугу: только ли документы, или также подача уведомления, обучение, сопровождение проверки. Экономить на безопасности данных чревато — сравните: штраф за одну только отсутствующую политику до 60 тыс. ₽, за отсутствие согласий — до 300 тыс. ₽, а утечка данных и вовсе миллионы. Правильнее вложиться в превентивные меры, чем потом платить штрафы и восстанавливать репутацию.
Вывод: для малого бизнеса базовый комплект документов можно собрать и собственными силами практически бесплатно, используя публичные рекомендации Роскомнадзора и проверенные шаблоны. Но чтобы гарантированно соблюсти все требования и учесть последние изменения закона, имеет смысл привлечь экспертов. Специалисты помогут не только бумагу оформить, но и реально настроить процессы в компании (например, настроить хранение данных в соответствии с законом). Многие консалтинговые компании предлагают комплексные тарифы — от минимального (набор шаблонов + консультация) до максимального (все «под ключ» с техническими настройками). Выбирайте по своим ресурсам, но помните: наличие полного пакета документов существенно снижает риски для вашего бизнеса.
Совет: если бюджет совсем ограничен, начните с критического минимума: политика, согласия, уведомление в РКН, приказ о назначении ответственного и базовое положение. Эти документы нужны всем без исключения операторам ПДн. Остальные акты (например, подробные инструкции) можно доделать чуть позже, но не откладывайте надолго — требования уже вступили в силу. Также следите за новостями в сфере персональных данных: новые поправки могут добавить обязанности (как, например, было с уведомлением о трансграничной передаче, введенным несколько лет назад).
Защита операторов персональных данных
Услуги для ООО, АО, ИП и самозанятых как операторов персональных данных в соответствии ФЗ №152 «О персональных данных»
🔐 Профессиональная помощь в подготовке документов и защите данных
Как видно, соблюдение всех требований Роскомнадзора — задача непростая и требует времени. Если вы хотите сэкономить силы и гарантированно выполнить требования закона, лучше обратиться к экспертам. Компания «Роском 24» оказывает полный спектр услуг для операторов персональных данных:
⚙️ Разработка пакета документов по ФЗ-152 — подготовим весь комплект внутренних документов с учетом специфики вашего бизнеса. Политики, согласия, положения, инструкции — все будет актуально на 2025 год и готово к проверке Роскомнадзора.
📩 Уведомление в РКН — возьмем на себя заполнение и подачу уведомления о начале обработки персональных данных. Быстро и без ошибок зарегистрируем вашу организацию в реестре операторов ПДн.
🔍 Юридический и технический аудит сайта — проверим ваш сайт и бизнес-процессы на соответствие закону о персональных данных. Выявим слабые места (например, отсутствие нужных разделов в политике или незащищенные формы) и дадим рекомендации, как все исправить, чтобы не получить штраф.
📊 Полный аудит бизнеса на соответствие требованиям 152-ФЗ — комплексная проверка компании: документы, процессы, ИТ-инфраструктура. Вы получите пошаговый план устранения нарушений и подготовитесь к проверке РКН.
🛡️ Подготовка ответа на предписания Роскомнадзора — если к вам уже пришло предписание или идет проверка, наши юристы помогут составить грамотные пояснения. Разберем требования РКН, подготовим корректный ответ с необходимыми документами и действиями, чтобы избежать или минимизировать штрафы.
Кроме того, вы можете бесплатно скачать чек-лист Бесплатный чек-лист «Как выполнить требования Роскомнадзора в 2025 году?». В чек-листе перечислены все новые требования к операторам ПДн, полный перечень обновленных штрафов и список обязательных документов — удобная шпаргалка для любого бизнеса.
Если у вас остались вопросы или нужна помощь в подготовке документов/регистрации, смело обращайтесь за консультацией. Специалисты Роском 24 помогут на каждом этапе — от разработки нужных бумаг до непосредственного сопровождения проверок. В результате вы защитите свой бизнес от штрафов и будете уверены, что персональные данные под надежной охраной. ✅
Реклама: ООО «ОНЛАЙН УСЛУГИ 24», ИНН 7751227590, erid: 2W5zFGL2dQ4
