С 1 сентября 2025 года согласие на обработку персональных данных должно оформляться отдельным документом, а штраф за нарушение правил его оформления доходит до 700 тысяч рублей. И это лишь один документ из пакета, который обязан иметь каждый, кто собирает данные людей: от интернет-магазина до салона красоты. Разберём, какие документы по защите ПДн нужны по 152-ФЗ, что должно быть в каждом и где брать шаблоны, чтобы не собирать всё с нуля.
Документы по персональным данным часто воспринимают как бюрократию, но на деле это первое, что проверяет Роскомнадзор, и именно их отсутствие проще всего зафиксировать. Хорошая новость: большинство документов типовые, и собрать базовый пакет реально по шаблонам. Этот материал, часть нашего разбора кибербезопасности для бизнеса, а пошаговый порядок приведения в соответствие мы описали в отдельном разборе 152-ФЗ. Здесь же сфокусируемся именно на документах.
Какие документы по защите ПДн нужны
Объём пакета зависит от масштаба: у крупной организации полный комплект документов по 152-ФЗ может насчитывать несколько десятков позиций, включая политики, положения, приказы, регламенты, журналы, формы и акты. Но пугаться не стоит: для малого бизнеса базовый набор куда скромнее, а большинство документов типовые. Удобно разделить их на четыре группы.
Первая группа, публичные документы: политика обработки ПДн (размещается на сайте) и формы согласия. Вторая, внутренние организационные: положение об обработке и защите ПДн, приказ о назначении ответственного, перечни обрабатываемых данных и информационных систем. Третья, технические: модель угроз, акт определения уровня защищённости, инструкции. Четвёртая, журналы и формы: журналы учёта, обязательства о неразглашении, уведомления в Роскомнадзор.
до 700 тыс ₽
штраф за нарушение правил оформления согласия на обработку персональных данных. С 1 сентября 2025 года согласие должно быть отдельным документом, не вшитым в оферту или анкету мелким шрифтом. Документы по ПДн — это не бюрократия, а защита от подобных штрафов.
Не каждому нужен весь комплект сразу: индивидуальному предпринимателю с простым сайтом хватит политики и корректных согласий, а вот средней компании с отделом кадров и базой клиентов нужен уже полный организационный и технический пакет. Дальше разберём ключевые документы по порядку.
Главное здесь: пакет документов по 152-ФЗ делится на четыре группы (публичные, внутренние организационные, технические, журналы и формы); у крупной организации это десятки позиций, у малого бизнеса, базовый набор; большинство документов типовые, а объём зависит от масштаба обработки данных.
Политика обработки ПДн: главный публичный документ
Политика в отношении обработки персональных данных — это центральный документ всего пакета и единственный, который обязателен к публикации. По статье 18.1 закона оператор обязан издать документ, определяющий его политику обработки ПДн, и обеспечить к нему свободный доступ. На практике это значит ссылку на политику в подвале сайта, рядом с формами, где человек оставляет свои данные.
В политике описывают, кто оператор, какие данные и с какими целями он обрабатывает, на каком основании, как защищает, сколько хранит и какие права есть у субъекта данных. Это первое, что проверяет Роскомнадзор, и проверяется оно проще всего: достаточно зайти на сайт и поискать политику. Её отсутствие или формальная отписка вместо реального документа, частая причина претензий.
«Проверку Роскомнадзор часто начинает с сайта, и первое, что смотрят, есть ли политика обработки персональных данных и работает ли ссылка на неё. Это самая лёгкая для контроля вещь: не нужно приходить с выездной проверкой, всё видно из браузера. Поэтому я всегда говорю: даже если у вас маленький бизнес и руки не дошли до остальных документов, политику на сайте сделайте в первую очередь. Это не гарантия от всех вопросов, но её отсутствие, почти гарантированный повод для претензии».
— Дарья Кравцова, специалист по проверкам Роскомнадзора и аудиту персональных данных, Екатеринбург, опыт 10 лет.
Главное здесь: политика обработки ПДн, главный и единственный обязательный к публикации документ (ст. 18.1); в ней описывают, кто оператор, какие данные, с какими целями и как обрабатывает; Роскомнадзор проверяет её первой и проще всего, прямо с сайта, поэтому начинать стоит именно с неё.
Согласие на обработку ПДн: новые правила
Согласие на обработку персональных данных — это документ, которым человек разрешает оператору работать с его данными, и здесь в 2025 году произошли важные изменения. С 1 сентября 2025 года согласие должно оформляться отдельным документом, отделённым от иной информации: его больше нельзя прятать одной галочкой внутри оферты, анкеты или пользовательского соглашения. За нарушение правил оформления согласия введены штрафы, доходящие до 700 тысяч рублей.
«Самая частая ошибка с согласиями сейчас — это пытаться обойтись одной галочкой „согласен со всем“ при регистрации. По новым правилам так нельзя: согласие на обработку персональных данных должно быть отдельным, понятным и конкретным, с указанием целей. Причём для разных целей нужны разные согласия: одно дело обрабатывать данные для выполнения договора, другое, рассылать рекламу. Я советую сразу делать отдельные формы согласий под каждую цель — это снимает большинство вопросов и при проверке, и в спорах с клиентами».
— Татьяна Носова, юрист по защите персональных данных, Москва, опыт 12 лет.
На практике компании нужны несколько форм согласий: для клиентов, для сотрудников, для рекламных рассылок, а если данные размещаются публично (например, отзывы с именем), то и отдельное согласие на распространение. Каждое согласие должно быть конкретным: какие данные, для каких целей, на какой срок. Универсальное «согласие на всё» по новым правилам не работает.
Главное здесь: с 1 сентября 2025 согласие на обработку ПДн должно быть отдельным, конкретным документом с указанием целей, а не галочкой внутри оферты; за нарушение правил штраф до 700 тыс ₽; на практике нужны разные формы согласий под разные цели (клиенты, сотрудники, рассылки, распространение).
Внутренние документы: положение, приказ и перечни
Помимо публичных, у оператора должны быть внутренние организационные документы, которые показывают, что обработка данных выстроена системно. Ключевых здесь несколько. Положение об обработке и защите ПДн, внутренний документ, который детально описывает порядок работы с данными в организации: кто, как и на каком основании их обрабатывает, как обеспечивается защита.
Приказ о назначении ответственного за организацию обработки персональных данных обязателен: в каждой организации должен быть человек, отвечающий за эту сферу, назначенный распорядительным актом. Кроме того, нужны перечни: перечень обрабатываемых персональных данных (какие именно данные и о ком вы собираете) и перечень информационных систем, в которых эти данные обрабатываются. Эти перечни, основа для дальнейших технических документов, ведь защищать нужно конкретные данные в конкретных системах.
Эти документы не публикуются, но именно их запрашивают при проверке, чтобы понять, насколько реально в компании организована защита данных, а не только продекларирована на сайте.
Главное здесь: внутренние документы (положение об обработке и защите ПДн, приказ о назначении ответственного, перечни обрабатываемых данных и информационных систем) показывают, что защита выстроена системно; они не публикуются, но их запрашивают при проверке, и они служат основой для технических документов.
Технические документы: модель угроз и уровень защищённости
Техническая часть пакета отвечает на вопрос, как именно вы защищаете данные, и опирается на конкретные нормативы. Модель угроз безопасности персональных данных, документ, который описывает, от каких угроз вы защищаетесь: это требование пункта 1 части 2 статьи 19 закона. В модели угроз перечисляют актуальные угрозы для ваших информационных систем и меры противодействия им.
Акт определения уровня защищённости ИСПДн устанавливает, какой уровень защищённости нужен вашим информационным системам персональных данных. Уровень (их четыре) определяется по постановлению Правительства № 1119 в зависимости от типа данных и масштаба обработки, и от него зависит набор необходимых мер защиты. Для типичного интернет-магазина это обычно невысокий уровень с базовым набором мер, для медицинской или биометрической системы, высокий. К техническим документам также относятся инструкции: администратора безопасности, пользователя информационной системы и порядок резервного копирования.
Технические документы сложнее типовых, потому что зависят от вашей конкретной инфраструктуры. Если организационные бумаги реально собрать по шаблонам, то модель угроз и определение уровня защищённости лучше делать с пониманием своих систем, а для сложных случаев, с привлечением специалиста.
Главное здесь: технические документы (модель угроз по ст. 19, акт уровня защищённости ИСПДн по ПП 1119, инструкции) описывают, как именно защищаются данные; уровень защищённости из четырёх определяется по типу данных и масштабу; эти документы зависят от вашей инфраструктуры, поэтому их сложнее делать по шаблону, чем организационные.
Журналы, обязательства и уведомления Роскомнадзора
Завершают пакет учётные и уведомительные документы. Журналы фиксируют рутинные действия: журнал учёта обращений субъектов ПДн (когда человек просит показать или удалить свои данные), журнал учёта носителей информации, журнал инструктажей сотрудников. Обязательство о неразглашении подписывают сотрудники, имеющие доступ к персональным данным — это подтверждает, что они предупреждены об ответственности.
Отдельный блок, уведомления в Роскомнадзор. Перед началом обработки данных оператор, как правило, обязан подать уведомление об обработке ПДн в Роскомнадзор (это делается через сайт ведомства). А с ужесточением закона появилась обязанность уведомлять Роскомнадзор и об утечке данных, причём очень быстро, в течение 24 часов с момента обнаружения инцидента. Поэтому в пакете полезно иметь готовый порядок действий и форму уведомления об утечке, чтобы в стрессовой ситуации не терять время.
Главное здесь: пакет завершают журналы учёта (обращений субъектов, носителей, инструктажей), обязательства о неразглашении для сотрудников с доступом к данным и уведомления в Роскомнадзор, об обработке ПДн перед стартом и об утечке в течение 24 часов; готовый порядок уведомления об утечке стоит подготовить заранее.
Шаблоны или индивидуальная разработка
Главный практический вопрос: брать готовые шаблоны или заказывать разработку. Ответ зависит от масштаба. Для малого бизнеса с типовой обработкой (простой сайт, небольшая база клиентов) вполне реально собрать базовый пакет по качественным шаблонам: политику, согласия, приказ, базовые перечни. Это быстро и недорого, а для простых случаев достаточно.
«Шаблон — это хорошая отправная точка, но не волшебная таблетка. Беда в том, что люди скачивают чужую политику, не меняя в ней ни слова, и оставляют там чужие цели обработки и несуществующие системы. При проверке это видно сразу: документы не соответствуют тому, что реально происходит в компании. Поэтому шаблон надо обязательно адаптировать под себя, вписать свои данные, цели, системы. А для среднего и крупного бизнеса с кадрами, видеонаблюдением и базами я рекомендую индивидуальную разработку или хотя бы аудит готовых документов специалистом».
— Михаил Шилов, специалист по комплаенсу и защите персональных данных, Санкт-Петербург, опыт 11 лет.
Для среднего и крупного бизнеса, а также там, где есть кадры, видеонаблюдение, биометрия или большие базы, лучше заказать индивидуальную разработку у профильных компаний или хотя бы провести аудит. Профильные сервисы по защите ПДн предлагают и готовые конструкторы документов, и сопровождение под ключ.
Для типовых юридических документов бизнеса (договоры, кадровые формы, оферты, в которых тоже фигурируют персональные данные) удобны и универсальные конструкторы документов.
Главное здесь: для малого бизнеса с типовой обработкой базовый пакет реально собрать по качественным шаблонам, но их обязательно нужно адаптировать под свои данные, цели и системы; для среднего и крупного бизнеса с кадрами и большими базами лучше индивидуальная разработка или аудит у профильных специалистов.
Какой пакет нужен по типу бизнеса
Чтобы было понятнее, что именно собирать, сведём минимальные требования по типу оператора в таблицу.
| Документ | ИП, простой сайт | Средняя компания | Крупная / гос |
|---|---|---|---|
| Политика обработки ПДн | Да | Да | Да |
| Формы согласий | Да | Да | Да |
| Приказ, положение, перечни | Желательно | Да | Да |
| Модель угроз, уровень ИСПДн | По ситуации | Да | Да |
| Уведомление в РКН | Да | Да | Да |
Главное здесь: политика, согласия и уведомление в Роскомнадзор нужны всем, даже ИП с простым сайтом; приказ, положение и перечни обязательны для организаций; модель угроз и определение уровня защищённости, для тех, у кого полноценные информационные системы; чем крупнее бизнес и чувствительнее данные, тем полнее пакет.
5 ошибок с документами по ПДн
Ошибка 1: нет политики на сайте
Что не так: отсутствие политики обработки ПДн на сайте, самое лёгкое для Роскомнадзора нарушение: его видно прямо из браузера, без выездной проверки.
Что делать: разместить политику обработки ПДн на сайте и проверить, что ссылка на неё работает и ведёт на реальный документ.
Ошибка 2: согласие одной галочкой «согласен со всем»
Что не так: с 1 сентября 2025 согласие должно быть отдельным конкретным документом; универсальная галочка внутри оферты нарушает правила, штраф до 700 тыс ₽.
Что делать: сделать отдельные формы согласий под каждую цель (клиенты, сотрудники, рассылки) с указанием данных и сроков.
Ошибка 3: скачать чужой шаблон и не адаптировать
Что не так: в скачанной политике остаются чужие цели обработки и несуществующие системы; при проверке видно, что документы не соответствуют реальности.
Что делать: адаптировать шаблон под себя: вписать свои данные, цели обработки и реально используемые системы.
Ошибка 4: не подать уведомление в Роскомнадзор
Что не так: многие операторы обязаны уведомить Роскомнадзор об обработке ПДн до её начала, и пропуск этого шага, отдельное нарушение.
Что делать: подать уведомление об обработке через сайт Роскомнадзора и подготовить порядок уведомления об утечке за 24 часа.
Ошибка 5: считать документы разовой задачей
Что не так: документы устаревают: меняются процессы, системы, законы. Пакет, собранный однажды и забытый, со временем перестаёт соответствовать реальности.
Что делать: пересматривать документы хотя бы раз в год и при изменениях в обработке данных или в законодательстве.
Чек-лист пакета документов по ПДн
Вывод
Документы по защите персональных данных — это не формальность, а первое, что проверяет Роскомнадзор, и именно их отсутствие проще всего зафиксировать. Базовый пакет начинается с политики обработки ПДн на сайте и корректных согласий, которые с 1 сентября 2025 года должны быть отдельными документами под каждую цель, иначе штраф доходит до 700 тысяч рублей. Дальше идут внутренние документы (положение, приказ об ответственном, перечни), технические (модель угроз, акт уровня защищённости по ПП 1119) и учётные (журналы, обязательства, уведомления в Роскомнадзор). Объём зависит от масштаба: ИП с простым сайтом хватит политики, согласий и уведомления, а средней и крупной компании нужен полный организационный и технический пакет. Большинство документов типовые, и базовый набор реально собрать по шаблонам, но их обязательно нужно адаптировать под свои данные и системы, а для сложных случаев, заказать разработку или аудит. И главное: документы — это не разовая задача, их стоит пересматривать хотя бы раз в год, чтобы они отражали реальность, а не лежали мёртвым грузом.
Источники
🏛 Нормативная база
- КонсультантПлюс, Федеральный закон 152-ФЗ «О персональных данных»
- ГАРАНТ.РУ, новые правила согласия на обработку ПДн с 1 сентября 2025
📋 Пакет документов и практика
- Б-152, нормативные документы по 152-ФЗ: полный пакет
- Контур.Норматив, актуальная редакция 152-ФЗ
