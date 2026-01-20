В этой статье разберем полный перечень обязательных документов по ФЗ-152 для бизнеса, какие из них должны быть публично на сайте, какие — внутри компании, и что чаще всего становится причиной претензий Роскомнадзора.
Зачем бизнесу документы по ФЗ-152 и что проверяет Роскомнадзор
Главная ошибка предпринимателей — думать, что документы по персональным данным нужны «на всякий случай». На практике документы — это доказательство того, что оператор:
законно собирает персональные данные;
имеет правовые основания обработки;
соблюдает принципы минимизации и безопасности;
управляет доступами и рисками;
готов к проверке и запросам регулятора.
Роскомнадзор смотрит не только «что написано», но и соответствует ли это реальности: сайт, формы, CRM, кадровые документы, мессенджеры, облака, подрядчики.
Полный перечень документов по ФЗ-152: 3 уровня обязательного минимума
Удобнее разделить документы на три слоя: публичные, организационные и внутренние регламенты/контроль.
Публичные документы на сайте по персональным данным
Это то, что видит пользователь, клиент и проверяющий. В большинстве случаев отсутствие или ошибки в этих документах приводят к рискам по ст. 13.11 КоАП.
1. Политика обработки персональных данных
Документ, который раскрывает:
кто является оператором;
какие данные собираются;
с какой целью и на каком основании;
кому передаются данные;
как обеспечивается защита и сроки хранения.
Важно: политика должна соответствовать фактическим формам на сайте, а не быть «универсальной заготовкой».
2. Согласие на обработку персональных данных
Согласие должно быть:
привязано к конкретной цели (например, обработка заявки);
доступно до отправки формы;
подтверждаемым (чекбокс, логирование).
Если собираете «чувствительные» категории данных — потребуется письменное согласие в особом формате.
Если на сайте подключены аналитика, пиксели, коллтрекинг, виджеты — важно корректно информировать пользователя, иначе появляются претензии по прозрачности обработки.
Организационные документы оператора персональных данных в компании
Эти документы нужны, чтобы показать: обработка ПДн в компании управляется и контролируется, а не происходит хаотично.
4. Приказ о назначении ответственного за обработку ПДн
Назначается лицо, которое отвечает за соблюдение требований ФЗ-152 и взаимодействие с подразделениями/подрядчиками.
5. Уведомление Роскомнадзора об обработке персональных данных
Перед началом обработки оператор подает уведомление и попадает в реестр. Если меняются цели, категории данных, контактные сведения, адреса хранения — нужно вносить изменения.
6. Уведомление о трансграничной передаче (если применимо)
Если вы используете зарубежные сервисы или передаете данные за пределы РФ — может потребоваться отдельный правовой блок и уведомление.
Внутренний комплект документов по персональным данным (30+ документов)
Именно этот слой чаще всего отсутствует у малого и среднего бизнеса, хотя при проверках он критически важен. Внутренние документы формируют «скелет» системы защиты ПДн.
7. Положение об обработке и защите персональных данных
Это базовый внутренний документ, который описывает правила работы с данными внутри компании.
8. Модель угроз и меры защиты (в зависимости от масштаба)
Закон требует принимать организационные и технические меры защиты ПДн.
Внутри компании это фиксируется документами: что именно сделано, кто отвечает, как контролируется.
9. Регламенты доступа и разграничение прав
Нужно закрепить:
кто и к каким данным имеет доступ;
на каком основании;
как выдаются/отзываются права;
как ведется контроль.
10. Журналы и учетные формы
Например:
журнал обращений субъектов ПДн;
журнал инцидентов;
учет носителей и документов;
учет выдачи доступов.
11. Договоры и поручения на обработку ПДн с подрядчиками
Если ваши данные обрабатывают CRM, коллтрекинг, облачный сервис, аутсорс-бухгалтерия, маркетинговое агентство — должны быть юридические основания и корректные условия.
12. Порядок реагирования на запросы субъектов ПДн
Закон дает человеку право запросить: какие данные вы храните и что с ними делаете. У вас должен быть документированный порядок, как вы отвечаете и в какие сроки.
Какие документы по ФЗ-152 нужны разным бизнесам
Универсального «пакета на всех» не существует. Перечень зависит от того, какие данные вы обрабатываете и какими способами.
Чаще всего документы требуются, если у вас есть:
сайт с формами (заявки, регистрация, подписки);
сотрудники (кадровые документы и анкеты);
клиентская база (CRM, таблицы, рассылки);
мессенджеры и облака в работе;
подрядчики, которым вы передаете персональные данные.
Частые ошибки в документах по персональным данным
Чтобы избежать предписаний и штрафов, проверьте себя по этому списку:
политика не соответствует сайту и формам;
согласие «общее» и не привязано к цели;
нет приказа о назначении ответственного;
уведомление в Роскомнадзор не подано или устарело;
нет документов по подрядчикам и поручению обработки;
не учтены облака и мессенджеры;
отсутствуют журналы и регламенты доступа.
Что делать бизнесу прямо сейчас: мини-чек-лист
Если хотите быстро привести себя в порядок по ФЗ-152, действуйте по шагам:
Проверьте, собираете ли вы персональные данные (сайт, CRM, сотрудники).
Оформите публичные документы: политика + согласия + уведомления на сайте.
Подайте уведомление в Роскомнадзор и проверьте актуальность данных в реестре.
Соберите внутренний комплект документов и регламенты.
Проведите аудит сайта и процессов, чтобы устранить расхождения «на бумаге» и «в реальности».
