Документы по обработке персональных данных (ФЗ‑152): полный список и требования 2025 года

Содержание

Подготовка документации по персональным данным для организаций в ГК Потенциал
Какие документы по персональным данным должны быть в организации
Основные документы, которые должны быть в каждой компании
Положение о персональных данных
Политика обработки персональных данных
Положение о защите персональных данных
Приказ о назначении ответственного за обработку ПДн
Обязательство о неразглашении персональных данных
Регламент допуска к ПДн
Согласие на обработку и распространение ПДн
Формы отзыва согласия
Договоры на обработку ПДн (договоры поручения)
Дополнительные документы, составляемые в зависимости от сферы деятельности и внутренних правил
Документы, которые подтвердят уничтожение персональных данных
Документы по персональным данным, которые нужно направить в Роскомнадзор
Что будет, если компания нарушает правила работы по защите персональных данных
Дополнительные санкции:

С 30 мая 2025 года в России вступают в силу ужесточённые правила обработки персональных данных. Штрафы за нарушения вырастут в разы: за неуведомление Роскомнадзора о начале обработки, за отсутствие согласия на распространение ПДн или за утечку данных компаниям и должностным лицам придётся заплатить от сотен тысяч до миллионов рублей.

Поэтому каждой организации необходимо обеспечить строгую правовую и организационную дисциплину при работе с персональными данными. Это включает утверждённый порядок получения, хранения, обработки, передачи и уничтожения сведений о сотрудниках, 9клиентах и других категориях субъектов ПДн.

В этом материале мы собрали перечень ключевых документов, которые должны быть оформлены в 2025 году, чтобы соответствовать требованиям ФЗ‑152 и избежать претензий со стороны Роскомнадзора.

Подготовка документации по персональным данным для организаций в ГК Потенциал

Разработка пакета документов по защите персональных данных
от 30 000 ₽ Подробнее

Какие документы по персональным данным должны быть в организации

Все компании — вне зависимости от размера и формы собственности — обязаны иметь внутренние документы, регулирующие порядок работы с персональными данными. Это требуется как для соблюдения закона, так и для защиты самой компании от штрафов и претензий со стороны Роскомнадзора.

Основные документы, которые должны быть в каждой компании

Положение о персональных данных

Это внутренний документ, в котором регламентируется порядок обработки персональных данных в организации. Он должен содержать:

перечень категорий персональных данных, которые обрабатываются;
цели обработки данных (например, трудоустройство, кадровый учёт, исполнение договоров);
основания обработки в соответствии с законодательством (согласие, выполнение обязательств, и т.д.);
описание процессов сбора, хранения, использования, передачи и уничтожения ПДн;
перечень лиц, ответственных за обработку и защиту персональных данных;
порядок доступа к данным и условия их передачи третьим лицам;
сроки хранения и9нформации и условия её удаления.

Документ утверждается приказом руководителя и является обязательным к исполнению всеми сотрудниками компании, имеющими доступ к ПДн.Включает описание категорий обрабатываемых данных, перечень субъектов и основания обработки.

Политика обработки персональных данных

Это публичный документ, который должен быть размещён на официальном сайте организации и доступен любому субъекту персональных данных. Политика отражает:

цели и правовые основания обработки ПДн;
список категорий обрабатываемых персональных данных;
перечень действий с ПДн (сбор, хранение, передача, уничтожение и т.д.);
права субъектов ПДн и порядок их реализации (например, право на отзыв согласия, уточнение или удаление данных);
сведения об операторе: наименование, адрес, контактные данные;
меры, принимаемые для защиты ПДн;
порядок направления запросов и жалоб от субъектов данных.

Политика должна быть составлена в соответствии с требованиями статьи 18.1 ФЗ‑152 и регулярно обновляться при изменениях в законодательстве или внутренних процессах компании.В нём изложены цели и принципы обработки, права субъектов ПДн и контактные данные оператора.

Положение о защите персональных данных

Это внутренний документ, регламентирующий меры защиты персональных данных от неправомерного доступа, утраты, изменения, блокирования и распространения. Включает в себя:

описание организационных мер (назначение ответственных лиц, контроль доступа, обучение сотрудников);
правовые меры9 (исполнение требований законодательства, наличие обязательств о неразглашении);
технические меры (программные и аппаратные средства защиты, антивирусная защита, межсетевые экраны);
порядок резервного копирования и восстановления данных;
регламент обновления программного обеспечения и управления уязвимостями;
описание процедур реагирования на инциденты информационной безопасности;
требования к защите ПДн при использовании мобильных устройств, облачных сервисов и удалённого доступа.

Документ является основой для построения системы защиты ПДн и подлежит регулярному пересмотру с учётом оценки рисков и изменений в бизнес-процессах.Включает порядок резервного копирования, антивирусной защиты, контроля доступа.

Приказ о назначении ответственного за обработку ПДн

Это официальный локальный нормативный акт, которым руководитель организации назначает лицо, ответственное за организацию обработки и защиту персональных данных. Такой приказ должен содержать:

ФИО, должность, структурное подразделение назначаемого сотрудника;
перечень обязанностей ответственного (ведение документации, контроль за соблюдением требований, взаимодействие с Роскомнадзором, консультирование персонала);
права, предоставленные назначенному сотруднику для исполнения его функций;
срок действия полномочий (при необходимости);
подпись руководителя и назначенного лица, дата и регистрационный номер.

Наличие приказа — одно из требований Роскомнадзора при проверках. Без него компания считается не назначившей ответственное лицо, что влечёт повышенные риски штрафов.

Обязательство о неразглашении персональных данных

Это письменный документ, который обязаны подписать все сотрудники, имеющие доступ к персональным данным. Его основное назначение — обеспечить сохранность конфиденциальной информации и предотвратить её разглашение третьим лицам.

В обязательстве указываются:

ФИО и должность сотрудника;
перечень видов ПДн, к которым сотрудник имеет доступ;
подтверждение ознакомления с локальными нормативными актами (положениями, политиками, регламентами);
обязательство не раскрывать, не передавать и не использовать ПДн в личных целях или в интересах третьих лиц;
срок действия обязательства (чаще всего — не только в период работы, но и после увольнения);
ответственность за нарушение условий (дисциплинарная, административная, гражданско-правовая);
дата и подпись сотрудника.

Этот документ является важным элементом системы внутреннего контроля и подтверждает, что сотрудник осознаёт свою ответственность за сохранность конфиденциальной информации.Подтверждает их обязанность сохранять конфиденциальность.

Регламент допуска к ПДн

Это внутренний документ, определяющий порядок предоставления и ограничения доступа к персональным данным внутри организации. Он обеспечивает разграничение прав доступа в зависимости от должностных обязанностей сотрудников и степени их вовлечённости в обработку ПДн.

В регламенте указываются:

перечень категорий персональных данных, к которым может быть предоставлен доступ;
список должностей или структурных подразделений, которым предоставляется доступ к определённым видам данных;
условия и основания для получения доступа (например, необходимость по должностным обязанностям);
порядок согласования и оформления допуска (приказы, распоряжения, заявления);
уровень доступа (полный, ограниченный, временный и т.п.);
меры контроля за доступом: ведение журналов, использование паролей и электронных ключей;
ответственность за нарушение порядка доступа и несанкционированное обращение с ПДн.

Регламент допуска является обязательной частью системы защиты ПДн и должен быть согласован с положением о защите персональных данных.

Согласие на обработку и распространение ПДн

Это письменный документ, в котором субъект персональных данных добровольно подтверждает разрешение на их обработку и (отдельно) распространение. Он оформляется до начала сбора информации и хранится в организации в течение всего срока обработки данных.

Документ должен содержать:

ФИО субъекта и его подпись;
наименование и реквизиты оператора, получающего согласие;
перечень обрабатываемых персональных данных;
цели и правовые основания обработки;
способы обработки, включая автоматизированные средства (если применимо);
перечень возможных получателей данных (если предусмотрено);
срок действия согласия и порядок его отзыва;
дата подписания.

Важно: с 2021 года согласие на распространение ПДн оформляется отдельно, с обязательным указанием разрешённых каналов передачи (например, размещение в интернете, передача в сторонние организации). Оператор обязан обеспечить раздельный сбор и учёт таких согласий и немедленно прекратить распространение ПДн в случае отзыва.

Формы отзыва согласия

Это типовые документы, предоставляемые субъекту персональных данных для реализации его права на отзыв ранее выданного согласия на обработку или распространение ПДн. Наличие таких форм обязательно: их можно разместить на сайте компании, в личном кабинете клиента или предоставлять по запросу.

Форма отзыва согласия должна включать:

ФИО субъекта персональных данных;
ссылку на ранее выданное согласие (при наличии);
выражение волеизъявления на отзыв согласия;
указание последствий отзыва (например, невозможность дальнейшего оказания услуг);
подпись субъекта и дату заполнения.

Важно, чтобы оператор после получения такого заявления прекратил обработку соответствующих данных и подтвердил это субъекту в разумный срок.

Договоры на обработку ПДн (договоры поручения)

Данные договоры заключаются в случаях, когда организация (оператор) передаёт персональные данные третьим лицам (обработчикам) для выполнения определённых задач по поручению оператора. Это может быть, например, аутсорсинг ИТ-услуг, бухгалтерии, кадрового учёта, хранения данных и т.д.

В договоре поручения по обработке ПДн обязательно прописываются:

предмет договора (какие данные, какие действия с ними выполняются);
обязанности обработчика соблюдать конфиденциальность и обеспечивать безопасность ПДн;
перечень мер защиты данных, которые обязуется соблюдать обработчик (включая технические и организационные);
запрет на передачу ПДн третьим лицам без согласия оператора;
ответст99венность за нарушение условий обработки;
порядок уничтожения или возврата данных после выполнения поручения;
срок действия договора и иные условия взаимодействия сторон.

Наличие таких договоров — обязательное условие при передаче ПДн по поручению. При отсутствии или ошибках в формулировках оператор несёт ответственность за нарушения со стороны привлечённого обработчика.(например, IT-подрядчику, кадровому агентству) для обработки по поручению.

Дополнительные документы, составляемые в зависимости от сферы деятельности и внутренних правил

Помимо базового набора, компании могут разработать и внедрить дополнительные документы, если их деятельность связана с повышенными рисками обработки персональных данных или специфическими внутренними процессами. Такие документы помогают глубже регламентировать безопасность информации и демонстрируют зрелость системы защиты ПДн при проверках Роскомнадзора:

Журналы учёта обращений субъектов ПДн — фиксируют все запросы субъектов (на доступ, изменение, удаление данных) и действия, предпринятые оператором в ответ.
Акт анализа вреда, который может быть причинён субъекту ПДн — документ с оценкой возможных последствий для субъектов при нарушении конфиденциальности, используется для выбора адекватных мер защиты.
Модель угроз безопасности ПДн — определяет возможные угрозы информационной безопасности и оценивает их вероятность и потенциальный ущерб, служит основой для проектирования системы защиты.
Внутренние инструкции по информационной безопасности (ИБ) — регламентируют поведение сотрудников при работе с ПДн, порядок работы с техническими средствами, требования к защите информации.
Регламент резервного копирования, парольной политики, защиты сетей и рабочих станций — описывает технические меры по предотвращению потери данны9х, контролю доступа и обеспечению устойчивости инфраструктуры организации.

Документы, которые подтвердят уничтожение персональных данных

Одним из требований законодательства является надлежащее уничтожение персональных данных по истечении срока их хранения или при отзыве согласия субъекта. Процесс уничтожения должен быть документально подтверждён и поддаваться проверке. Ниже перечислены основные документы, подтверждающие уничтожение ПДн:

Акт об уничтожении персональных данных (для бумажных и электронных носителей) — фиксирует факт и способ уничтожения данных, указывает дату, объём уничтоженной информации, ответственных лиц и метод (например, физическое уничтожение, удаление из системы).
Журнал уничтожения ПДн с подписями ответственных лиц — ведётся на постоянной основе и отражает каждое действие по удалению данных, указывается номер акта, дата, сведения о сотруднике, выполнившем процедуру.
Приказ о сроках хранения и порядке уничтожения персональных данных — определяет нормативные сроки хранения для каждой категории ПДн, устанавливает ответственных лиц и утверждённые способы уничтожения, согласованные с требованиями закона и отраслевых стандартов.

Документы по персональным данным, которые нужно направить в Роскомнадзор

Некоторые документы по персональным данным подлежат обязательному направлению в Роскомнадзор. Это необходимо для постановки организации на учёт в качестве оператора ПДн, а также для актуализации сведений и подтверждения выполнения требований закона. Отсутствие уведомлений или несвоевременное предоставление информации может повлечь административную ответственность.

Уведомление о начале обработки ПДн — направляется до 30 мая 2025 года. Включает сведения об операторе, категориях обрабатываемых данных, целях и правовых основаниях обработки, а также мерах по обеспечению безопасности.
Уведомление об изменении информации об операторе или перечне обрабатываемых данных — подаётся при изменении юридического адреса, наименования, контактных данных, состава ПДн или их обработки.
Ответы на запросы Роскомнадзора — формируются в случае проведения плановой или внеплановой проверки и содержат запрошенные сведения, копии доку99ментов, пояснения.
Документы, подтверждающие выполнение предписаний Роскомнадзора по итогам проверок — направляются для подтверждения устранения выявленных нарушений и соблюдения сроков исполнения предписаний.

Что будет, если компания нарушает правила работы по защите персональных данных

С 30 мая 2025 года вступают в силу повышенные штрафы за нарушение правил обработки персональных данных. Особенно серьёзные санкции предусмотрены за утечки, нарушения при работе с биометрическими и специальными категориями данных, а также за неуведомление Роскомнадзора. Ниже представлены примеры штрафов по типовым нарушениям.

Нарушение

Кого оштрафуют

Штраф до 30 мая

Штраф с 30 мая 2025 года

Хранили излишние данные, использовали сведения не по назначению

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

150 000–500 000 / 50 000–200 000

Не уведомили Роскомнадзор об обработке ПДн

Организация / Сотрудник

3 000–5 000 / 300–500

100 000–300 000 / 30 000–50 000

Не сообщили об утечке ПДн

Организация / Сотрудник

3 000–5 000 / 300–500

1–3 млн / 400 000–800 000

Утратили ПДн 1 000–10 000 человек

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

3–5 млн / 200 000–400 000

Утратили ПДн 10 000–100 000 человек

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

5–10 млн / 300 000–500 000

Утратили ПДн более 100 000 человек

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

10–15 млн / 400 000–600 000

Утратили биометрические или специальные ПДн

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

15–20 млн / до 1,5 млн

Повторное неправомерное распространение ПДн более 1 000 человек

Организация / Сотрудник

100 000–300 000 / 20 000–50 000

1–3% годовой выручки / 800 000–1,2 млн

Нарушение при повторной утрате биометрии или спецкатегорий

Организация / Сотрудник

100 000–300 000 / 20 000–50 000

1–3% годовой выручки / 1,5–2 млн

Чтобы избежать подобных последствий, компаниям необходимо:

своевременно подавать уведомления в Роскомнадзор;
не превышать цели и объём обрабатываемых данных;
обеспечить наличие всей обязательной документации;
защищать ПДн технически и организационно;
регулярно обучать сотрудников требованиям закона.

Соблюдение этих мер позволяет минимизировать риски нарушений, упростить прохождение проверок и повысить доверие со стороны клиентов и регуляторов.

Дополнительные санкции:

Штраф до 6,58 млн ₽ за грубое или повторное нарушение законодательства о ПДн;
До 300 09900 ₽ — за неподачу уведомления в Роскомнадзор;
До 1,5 млн ₽ — за отсутствие согласия на распространение ПДн;
Уголовная ответственность — до 5 лет лишения свободы при утечке ПДн по вине сотрудников.

Вам требуется помощь в подготовке пакета документов по персональным данным?

Заполните форму, и наши специалисты свяжутся с вами для бесплатной консультации и разработки документации

Заказать услугу

Array ( [DETAIL_TEXT] =>

Подготовка документации по персональным данным для организаций в ГК Потенциал

Разработка пакета документов по защите персональных данных
от 30 000 ₽ Подробнее

Какие документы по персональным данным должны быть в организации

Основные документы, которые должны быть в каждой компании

Положение о персональных данных

перечень категорий персональных данных, которые обрабатываются;
цели обработки данных (например, трудоустройство, кадровый учёт, исполнение договоров);
основания обработки в соответствии с законодательством (согласие, выполнение обязательств, и т.д.);
описание процессов сбора, хранения, использования, передачи и уничтожения ПДн;
перечень лиц, ответственных за обработку и защиту персональных данных;
порядок доступа к данным и условия их передачи третьим лицам;
сроки хранения и9нформации и условия её удаления.

Политика обработки персональных данных

цели и правовые основания обработки ПДн;
список категорий обрабатываемых персональных данных;
перечень действий с ПДн (сбор, хранение, передача, уничтожение и т.д.);
права субъектов ПДн и порядок их реализации (например, право на отзыв согласия, уточнение или удаление данных);
сведения об операторе: наименование, адрес, контактные данные;
меры, принимаемые для защиты ПДн;
порядок направления запросов и жалоб от субъектов данных.

Положение о защите персональных данных

описание организационных мер (назначение ответственных лиц, контроль доступа, обучение сотрудников);
правовые меры9 (исполнение требований законодательства, наличие обязательств о неразглашении);
технические меры (программные и аппаратные средства защиты, антивирусная защита, межсетевые экраны);
порядок резервного копирования и восстановления данных;
регламент обновления программного обеспечения и управления уязвимостями;
описание процедур реагирования на инциденты информационной безопасности;
требования к защите ПДн при использовании мобильных устройств, облачных сервисов и удалённого доступа.

Приказ о назначении ответственного за обработку ПДн

ФИО, должность, структурное подразделение назначаемого сотрудника;
перечень обязанностей ответственного (ведение документации, контроль за соблюдением требований, взаимодействие с Роскомнадзором, консультирование персонала);
права, предоставленные назначенному сотруднику для исполнения его функций;
срок действия полномочий (при необходимости);
подпись руководителя и назначенного лица, дата и регистрационный номер.

Обязательство о неразглашении персональных данных

В обязательстве указываются:

ФИО и должность сотрудника;
перечень видов ПДн, к которым сотрудник имеет доступ;
подтверждение ознакомления с локальными нормативными актами (положениями, политиками, регламентами);
обязательство не раскрывать, не передавать и не использовать ПДн в личных целях или в интересах третьих лиц;
срок действия обязательства (чаще всего — не только в период работы, но и после увольнения);
ответственность за нарушение условий (дисциплинарная, административная, гражданско-правовая);
дата и подпись сотрудника.

Регламент допуска к ПДн

В регламенте указываются:

перечень категорий персональных данных, к которым может быть предоставлен доступ;
список должностей или структурных подразделений, которым предоставляется доступ к определённым видам данных;
условия и основания для получения доступа (например, необходимость по должностным обязанностям);
порядок согласования и оформления допуска (приказы, распоряжения, заявления);
уровень доступа (полный, ограниченный, временный и т.п.);
меры контроля за доступом: ведение журналов, использование паролей и электронных ключей;
ответственность за нарушение порядка доступа и несанкционированное обращение с ПДн.

Согласие на обработку и распространение ПДн

Документ должен содержать:

ФИО субъекта и его подпись;
наименование и реквизиты оператора, получающего согласие;
перечень обрабатываемых персональных данных;
цели и правовые основания обработки;
способы обработки, включая автоматизированные средства (если применимо);
перечень возможных получателей данных (если предусмотрено);
срок действия согласия и порядок его отзыва;
дата подписания.

Формы отзыва согласия

Форма отзыва согласия должна включать:

ФИО субъекта персональных данных;
ссылку на ранее выданное согласие (при наличии);
выражение волеизъявления на отзыв согласия;
указание последствий отзыва (например, невозможность дальнейшего оказания услуг);
подпись субъекта и дату заполнения.

Договоры на обработку ПДн (договоры поручения)

В договоре поручения по обработке ПДн обязательно прописываются:

предмет договора (какие данные, какие действия с ними выполняются);
обязанности обработчика соблюдать конфиденциальность и обеспечивать безопасность ПДн;
перечень мер защиты данных, которые обязуется соблюдать обработчик (включая технические и организационные);
запрет на передачу ПДн третьим лицам без согласия оператора;
ответст99венность за нарушение условий обработки;
порядок уничтожения или возврата данных после выполнения поручения;
срок действия договора и иные условия взаимодействия сторон.

Дополнительные документы, составляемые в зависимости от сферы деятельности и внутренних правил

Журналы учёта обращений субъектов ПДн — фиксируют все запросы субъектов (на доступ, изменение, удаление данных) и действия, предпринятые оператором в ответ.
Акт анализа вреда, который может быть причинён субъекту ПДн — документ с оценкой возможных последствий для субъектов при нарушении конфиденциальности, используется для выбора адекватных мер защиты.
Модель угроз безопасности ПДн — определяет возможные угрозы информационной безопасности и оценивает их вероятность и потенциальный ущерб, служит основой для проектирования системы защиты.
Внутренние инструкции по информационной безопасности (ИБ) — регламентируют поведение сотрудников при работе с ПДн, порядок работы с техническими средствами, требования к защите информации.
Регламент резервного копирования, парольной политики, защиты сетей и рабочих станций — описывает технические меры по предотвращению потери данны9х, контролю доступа и обеспечению устойчивости инфраструктуры организации.

Документы, которые подтвердят уничтожение персональных данных

Акт об уничтожении персональных данных (для бумажных и электронных носителей) — фиксирует факт и способ уничтожения данных, указывает дату, объём уничтоженной информации, ответственных лиц и метод (например, физическое уничтожение, удаление из системы).
Журнал уничтожения ПДн с подписями ответственных лиц — ведётся на постоянной основе и отражает каждое действие по удалению данных, указывается номер акта, дата, сведения о сотруднике, выполнившем процедуру.
Приказ о сроках хранения и порядке уничтожения персональных данных — определяет нормативные сроки хранения для каждой категории ПДн, устанавливает ответственных лиц и утверждённые способы уничтожения, согласованные с требованиями закона и отраслевых стандартов.

Документы по персональным данным, которые нужно направить в Роскомнадзор

Уведомление о начале обработки ПДн — направляется до 30 мая 2025 года. Включает сведения об операторе, категориях обрабатываемых данных, целях и правовых основаниях обработки, а также мерах по обеспечению безопасности.
Уведомление об изменении информации об операторе или перечне обрабатываемых данных — подаётся при изменении юридического адреса, наименования, контактных данных, состава ПДн или их обработки.
Ответы на запросы Роскомнадзора — формируются в случае проведения плановой или внеплановой проверки и содержат запрошенные сведения, копии доку99ментов, пояснения.
Документы, подтверждающие выполнение предписаний Роскомнадзора по итогам проверок — направляются для подтверждения устранения выявленных нарушений и соблюдения сроков исполнения предписаний.

Что будет, если компания нарушает правила работы по защите персональных данных

Нарушение

Кого оштрафуют

Штраф до 30 мая

Штраф с 30 мая 2025 года

Хранили излишние данные, использовали сведения не по назначению

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

150 000–500 000 / 50 000–200 000

Не уведомили Роскомнадзор об обработке ПДн

Организация / Сотрудник

3 000–5 000 / 300–500

100 000–300 000 / 30 000–50 000

Не сообщили об утечке ПДн

Организация / Сотрудник

3 000–5 000 / 300–500

1–3 млн / 400 000–800 000

Утратили ПДн 1 000–10 000 человек

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

3–5 млн / 200 000–400 000

Утратили ПДн 10 000–100 000 человек

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

5–10 млн / 300 000–500 000

Утратили ПДн более 100 000 человек

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

10–15 млн / 400 000–600 000

Утратили биометрические или специальные ПДн

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

15–20 млн / до 1,5 млн

Повторное неправомерное распространение ПДн более 1 000 человек

Организация / Сотрудник

100 000–300 000 / 20 000–50 000

1–3% годовой выручки / 800 000–1,2 млн

Нарушение при повторной утрате биометрии или спецкатегорий

Организация / Сотрудник

100 000–300 000 / 20 000–50 000

1–3% годовой выручки / 1,5–2 млн

Чтобы избежать подобных последствий, компаниям необходимо:

своевременно подавать уведомления в Роскомнадзор;
не превышать цели и объём обрабатываемых данных;
обеспечить наличие всей обязательной документации;
защищать ПДн технически и организационно;
регулярно обучать сотрудников требованиям закона.

Дополнительные санкции:

Штраф до 6,58 млн ₽ за грубое или повторное нарушение законодательства о ПДн;
До 300 09900 ₽ — за неподачу уведомления в Роскомнадзор;
До 1,5 млн ₽ — за отсутствие согласия на распространение ПДн;
Уголовная ответственность — до 5 лет лишения свободы при утечке ПДн по вине сотрудников.

Вам требуется помощь в подготовке пакета документов по персональным данным?

Заполните форму, и наши специалисты свяжутся с вами для бесплатной консультации и разработки документации

Заказать услугу

Подготовка документации по персональным данным для организаций в ГК Потенциал

Разработка пакета документов по защите персональных данных
от 30 000 ₽ Подробнее

Какие документы по персональным данным должны быть в организации

Основные документы, которые должны быть в каждой компании

Положение о персональных данных

перечень категорий персональных данных, которые обрабатываются;
цели обработки данных (например, трудоустройство, кадровый учёт, исполнение договоров);
основания обработки в соответствии с законодательством (согласие, выполнение обязательств, и т.д.);
описание процессов сбора, хранения, использования, передачи и уничтожения ПДн;
перечень лиц, ответственных за обработку и защиту персональных данных;
порядок доступа к данным и условия их передачи третьим лицам;
сроки хранения и9нформации и условия её удаления.

Политика обработки персональных данных

цели и правовые основания обработки ПДн;
список категорий обрабатываемых персональных данных;
перечень действий с ПДн (сбор, хранение, передача, уничтожение и т.д.);
права субъектов ПДн и порядок их реализации (например, право на отзыв согласия, уточнение или удаление данных);
сведения об операторе: наименование, адрес, контактные данные;
меры, принимаемые для защиты ПДн;
порядок направления запросов и жалоб от субъектов данных.

Положение о защите персональных данных

описание организационных мер (назначение ответственных лиц, контроль доступа, обучение сотрудников);
правовые меры9 (исполнение требований законодательства, наличие обязательств о неразглашении);
технические меры (программные и аппаратные средства защиты, антивирусная защита, межсетевые экраны);
порядок резервного копирования и восстановления данных;
регламент обновления программного обеспечения и управления уязвимостями;
описание процедур реагирования на инциденты информационной безопасности;
требования к защите ПДн при использовании мобильных устройств, облачных сервисов и удалённого доступа.

Приказ о назначении ответственного за обработку ПДн

ФИО, должность, структурное подразделение назначаемого сотрудника;
перечень обязанностей ответственного (ведение документации, контроль за соблюдением требований, взаимодействие с Роскомнадзором, консультирование персонала);
права, предоставленные назначенному сотруднику для исполнения его функций;
срок действия полномочий (при необходимости);
подпись руководителя и назначенного лица, дата и регистрационный номер.

Обязательство о неразглашении персональных данных

В обязательстве указываются:

ФИО и должность сотрудника;
перечень видов ПДн, к которым сотрудник имеет доступ;
подтверждение ознакомления с локальными нормативными актами (положениями, политиками, регламентами);
обязательство не раскрывать, не передавать и не использовать ПДн в личных целях или в интересах третьих лиц;
срок действия обязательства (чаще всего — не только в период работы, но и после увольнения);
ответственность за нарушение условий (дисциплинарная, административная, гражданско-правовая);
дата и подпись сотрудника.

Регламент допуска к ПДн

В регламенте указываются:

перечень категорий персональных данных, к которым может быть предоставлен доступ;
список должностей или структурных подразделений, которым предоставляется доступ к определённым видам данных;
условия и основания для получения доступа (например, необходимость по должностным обязанностям);
порядок согласования и оформления допуска (приказы, распоряжения, заявления);
уровень доступа (полный, ограниченный, временный и т.п.);
меры контроля за доступом: ведение журналов, использование паролей и электронных ключей;
ответственность за нарушение порядка доступа и несанкционированное обращение с ПДн.

Согласие на обработку и распространение ПДн

Документ должен содержать:

ФИО субъекта и его подпись;
наименование и реквизиты оператора, получающего согласие;
перечень обрабатываемых персональных данных;
цели и правовые основания обработки;
способы обработки, включая автоматизированные средства (если применимо);
перечень возможных получателей данных (если предусмотрено);
срок действия согласия и порядок его отзыва;
дата подписания.

Формы отзыва согласия

Форма отзыва согласия должна включать:

ФИО субъекта персональных данных;
ссылку на ранее выданное согласие (при наличии);
выражение волеизъявления на отзыв согласия;
указание последствий отзыва (например, невозможность дальнейшего оказания услуг);
подпись субъекта и дату заполнения.

Договоры на обработку ПДн (договоры поручения)

В договоре поручения по обработке ПДн обязательно прописываются:

предмет договора (какие данные, какие действия с ними выполняются);
обязанности обработчика соблюдать конфиденциальность и обеспечивать безопасность ПДн;
перечень мер защиты данных, которые обязуется соблюдать обработчик (включая технические и организационные);
запрет на передачу ПДн третьим лицам без согласия оператора;
ответст99венность за нарушение условий обработки;
порядок уничтожения или возврата данных после выполнения поручения;
срок действия договора и иные условия взаимодействия сторон.

Дополнительные документы, составляемые в зависимости от сферы деятельности и внутренних правил

Журналы учёта обращений субъектов ПДн — фиксируют все запросы субъектов (на доступ, изменение, удаление данных) и действия, предпринятые оператором в ответ.
Акт анализа вреда, который может быть причинён субъекту ПДн — документ с оценкой возможных последствий для субъектов при нарушении конфиденциальности, используется для выбора адекватных мер защиты.
Модель угроз безопасности ПДн — определяет возможные угрозы информационной безопасности и оценивает их вероятность и потенциальный ущерб, служит основой для проектирования системы защиты.
Внутренние инструкции по информационной безопасности (ИБ) — регламентируют поведение сотрудников при работе с ПДн, порядок работы с техническими средствами, требования к защите информации.
Регламент резервного копирования, парольной политики, защиты сетей и рабочих станций — описывает технические меры по предотвращению потери данны9х, контролю доступа и обеспечению устойчивости инфраструктуры организации.

Документы, которые подтвердят уничтожение персональных данных

Акт об уничтожении персональных данных (для бумажных и электронных носителей) — фиксирует факт и способ уничтожения данных, указывает дату, объём уничтоженной информации, ответственных лиц и метод (например, физическое уничтожение, удаление из системы).
Журнал уничтожения ПДн с подписями ответственных лиц — ведётся на постоянной основе и отражает каждое действие по удалению данных, указывается номер акта, дата, сведения о сотруднике, выполнившем процедуру.
Приказ о сроках хранения и порядке уничтожения персональных данных — определяет нормативные сроки хранения для каждой категории ПДн, устанавливает ответственных лиц и утверждённые способы уничтожения, согласованные с требованиями закона и отраслевых стандартов.

Документы по персональным данным, которые нужно направить в Роскомнадзор

Уведомление о начале обработки ПДн — направляется до 30 мая 2025 года. Включает сведения об операторе, категориях обрабатываемых данных, целях и правовых основаниях обработки, а также мерах по обеспечению безопасности.
Уведомление об изменении информации об операторе или перечне обрабатываемых данных — подаётся при изменении юридического адреса, наименования, контактных данных, состава ПДн или их обработки.
Ответы на запросы Роскомнадзора — формируются в случае проведения плановой или внеплановой проверки и содержат запрошенные сведения, копии доку99ментов, пояснения.
Документы, подтверждающие выполнение предписаний Роскомнадзора по итогам проверок — направляются для подтверждения устранения выявленных нарушений и соблюдения сроков исполнения предписаний.

Что будет, если компания нарушает правила работы по защите персональных данных

Нарушение

Кого оштрафуют

Штраф до 30 мая

Штраф с 30 мая 2025 года

Хранили излишние данные, использовали сведения не по назначению

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

150 000–500 000 / 50 000–200 000

Не уведомили Роскомнадзор об обработке ПДн

Организация / Сотрудник

3 000–5 000 / 300–500

100 000–300 000 / 30 000–50 000

Не сообщили об утечке ПДн

Организация / Сотрудник

3 000–5 000 / 300–500

1–3 млн / 400 000–800 000

Утратили ПДн 1 000–10 000 человек

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

3–5 млн / 200 000–400 000

Утратили ПДн 10 000–100 000 человек

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

5–10 млн / 300 000–500 000

Утратили ПДн более 100 000 человек

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

10–15 млн / 400 000–600 000

Утратили биометрические или специальные ПДн

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

15–20 млн / до 1,5 млн

Повторное неправомерное распространение ПДн более 1 000 человек

Организация / Сотрудник

100 000–300 000 / 20 000–50 000

1–3% годовой выручки / 800 000–1,2 млн

Нарушение при повторной утрате биометрии или спецкатегорий

Организация / Сотрудник

100 000–300 000 / 20 000–50 000

1–3% годовой выручки / 1,5–2 млн

Чтобы избежать подобных последствий, компаниям необходимо:

своевременно подавать уведомления в Роскомнадзор;
не превышать цели и объём обрабатываемых данных;
обеспечить наличие всей обязательной документации;
защищать ПДн технически и организационно;
регулярно обучать сотрудников требованиям закона.

Дополнительные санкции:

Штраф до 6,58 млн ₽ за грубое или повторное нарушение законодательства о ПДн;
До 300 09900 ₽ — за неподачу уведомления в Роскомнадзор;
До 1,5 млн ₽ — за отсутствие согласия на распространение ПДн;
Уголовная ответственность — до 5 лет лишения свободы при утечке ПДн по вине сотрудников.

Вам требуется помощь в подготовке пакета документов по персональным данным?

Заполните форму, и наши специалисты свяжутся с вами для бесплатной консультации и разработки документации

Заказать услугу

В 2025 году вступают в силу ужесточённые требования по работе с персональными данными и новые штрафы до 15 млн ₽. Сформулировали полный перечень обязательных документов по 152-ФЗ и список рекомендаций для компаний.

Подготовка документации по персональным данным для организаций в ГК Потенциал

Разработка пакета документов по защите персональных данных
от 30 000 ₽ Подробнее

Какие документы по персональным данным должны быть в организации

Основные документы, которые должны быть в каждой компании

Положение о персональных данных

перечень категорий персональных данных, которые обрабатываются;
цели обработки данных (например, трудоустройство, кадровый учёт, исполнение договоров);
основания обработки в соответствии с законодательством (согласие, выполнение обязательств, и т.д.);
описание процессов сбора, хранения, использования, передачи и уничтожения ПДн;
перечень лиц, ответственных за обработку и защиту персональных данных;
порядок доступа к данным и условия их передачи третьим лицам;
сроки хранения и9нформации и условия её удаления.

Политика обработки персональных данных

цели и правовые основания обработки ПДн;
список категорий обрабатываемых персональных данных;
перечень действий с ПДн (сбор, хранение, передача, уничтожение и т.д.);
права субъектов ПДн и порядок их реализации (например, право на отзыв согласия, уточнение или удаление данных);
сведения об операторе: наименование, адрес, контактные данные;
меры, принимаемые для защиты ПДн;
порядок направления запросов и жалоб от субъектов данных.

Положение о защите персональных данных

описание организационных мер (назначение ответственных лиц, контроль доступа, обучение сотрудников);
правовые меры9 (исполнение требований законодательства, наличие обязательств о неразглашении);
технические меры (программные и аппаратные средства защиты, антивирусная защита, межсетевые экраны);
порядок резервного копирования и восстановления данных;
регламент обновления программного обеспечения и управления уязвимостями;
описание процедур реагирования на инциденты информационной безопасности;
требования к защите ПДн при использовании мобильных устройств, облачных сервисов и удалённого доступа.

Приказ о назначении ответственного за обработку ПДн

ФИО, должность, структурное подразделение назначаемого сотрудника;
перечень обязанностей ответственного (ведение документации, контроль за соблюдением требований, взаимодействие с Роскомнадзором, консультирование персонала);
права, предоставленные назначенному сотруднику для исполнения его функций;
срок действия полномочий (при необходимости);
подпись руководителя и назначенного лица, дата и регистрационный номер.

Обязательство о неразглашении персональных данных

В обязательстве указываются:

ФИО и должность сотрудника;
перечень видов ПДн, к которым сотрудник имеет доступ;
подтверждение ознакомления с локальными нормативными актами (положениями, политиками, регламентами);
обязательство не раскрывать, не передавать и не использовать ПДн в личных целях или в интересах третьих лиц;
срок действия обязательства (чаще всего — не только в период работы, но и после увольнения);
ответственность за нарушение условий (дисциплинарная, административная, гражданско-правовая);
дата и подпись сотрудника.

Регламент допуска к ПДн

В регламенте указываются:

перечень категорий персональных данных, к которым может быть предоставлен доступ;
список должностей или структурных подразделений, которым предоставляется доступ к определённым видам данных;
условия и основания для получения доступа (например, необходимость по должностным обязанностям);
порядок согласования и оформления допуска (приказы, распоряжения, заявления);
уровень доступа (полный, ограниченный, временный и т.п.);
меры контроля за доступом: ведение журналов, использование паролей и электронных ключей;
ответственность за нарушение порядка доступа и несанкционированное обращение с ПДн.

Согласие на обработку и распространение ПДн

Документ должен содержать:

ФИО субъекта и его подпись;
наименование и реквизиты оператора, получающего согласие;
перечень обрабатываемых персональных данных;
цели и правовые основания обработки;
способы обработки, включая автоматизированные средства (если применимо);
перечень возможных получателей данных (если предусмотрено);
срок действия согласия и порядок его отзыва;
дата подписания.

Формы отзыва согласия

Форма отзыва согласия должна включать:

ФИО субъекта персональных данных;
ссылку на ранее выданное согласие (при наличии);
выражение волеизъявления на отзыв согласия;
указание последствий отзыва (например, невозможность дальнейшего оказания услуг);
подпись субъекта и дату заполнения.

Договоры на обработку ПДн (договоры поручения)

В договоре поручения по обработке ПДн обязательно прописываются:

предмет договора (какие данные, какие действия с ними выполняются);
обязанности обработчика соблюдать конфиденциальность и обеспечивать безопасность ПДн;
перечень мер защиты данных, которые обязуется соблюдать обработчик (включая технические и организационные);
запрет на передачу ПДн третьим лицам без согласия оператора;
ответст99венность за нарушение условий обработки;
порядок уничтожения или возврата данных после выполнения поручения;
срок действия договора и иные условия взаимодействия сторон.

Дополнительные документы, составляемые в зависимости от сферы деятельности и внутренних правил

Журналы учёта обращений субъектов ПДн — фиксируют все запросы субъектов (на доступ, изменение, удаление данных) и действия, предпринятые оператором в ответ.
Акт анализа вреда, который может быть причинён субъекту ПДн — документ с оценкой возможных последствий для субъектов при нарушении конфиденциальности, используется для выбора адекватных мер защиты.
Модель угроз безопасности ПДн — определяет возможные угрозы информационной безопасности и оценивает их вероятность и потенциальный ущерб, служит основой для проектирования системы защиты.
Внутренние инструкции по информационной безопасности (ИБ) — регламентируют поведение сотрудников при работе с ПДн, порядок работы с техническими средствами, требования к защите информации.
Регламент резервного копирования, парольной политики, защиты сетей и рабочих станций — описывает технические меры по предотвращению потери данны9х, контролю доступа и обеспечению устойчивости инфраструктуры организации.

Документы, которые подтвердят уничтожение персональных данных

Акт об уничтожении персональных данных (для бумажных и электронных носителей) — фиксирует факт и способ уничтожения данных, указывает дату, объём уничтоженной информации, ответственных лиц и метод (например, физическое уничтожение, удаление из системы).
Журнал уничтожения ПДн с подписями ответственных лиц — ведётся на постоянной основе и отражает каждое действие по удалению данных, указывается номер акта, дата, сведения о сотруднике, выполнившем процедуру.
Приказ о сроках хранения и порядке уничтожения персональных данных — определяет нормативные сроки хранения для каждой категории ПДн, устанавливает ответственных лиц и утверждённые способы уничтожения, согласованные с требованиями закона и отраслевых стандартов.

Документы по персональным данным, которые нужно направить в Роскомнадзор

Уведомление о начале обработки ПДн — направляется до 30 мая 2025 года. Включает сведения об операторе, категориях обрабатываемых данных, целях и правовых основаниях обработки, а также мерах по обеспечению безопасности.
Уведомление об изменении информации об операторе или перечне обрабатываемых данных — подаётся при изменении юридического адреса, наименования, контактных данных, состава ПДн или их обработки.
Ответы на запросы Роскомнадзора — формируются в случае проведения плановой или внеплановой проверки и содержат запрошенные сведения, копии доку99ментов, пояснения.
Документы, подтверждающие выполнение предписаний Роскомнадзора по итогам проверок — направляются для подтверждения устранения выявленных нарушений и соблюдения сроков исполнения предписаний.

Что будет, если компания нарушает правила работы по защите персональных данных

Нарушение

Кого оштрафуют

Штраф до 30 мая

Штраф с 30 мая 2025 года

Хранили излишние данные, использовали сведения не по назначению

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

150 000–500 000 / 50 000–200 000

Не уведомили Роскомнадзор об обработке ПДн

Организация / Сотрудник

3 000–5 000 / 300–500

100 000–300 000 / 30 000–50 000

Не сообщили об утечке ПДн

Организация / Сотрудник

3 000–5 000 / 300–500

1–3 млн / 400 000–800 000

Утратили ПДн 1 000–10 000 человек

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

3–5 млн / 200 000–400 000

Утратили ПДн 10 000–100 000 человек

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

5–10 млн / 300 000–500 000

Утратили ПДн более 100 000 человек

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

10–15 млн / 400 000–600 000

Утратили биометрические или специальные ПДн

Организация / Сотрудник

60 000–100 000 / 10 000–20 000

15–20 млн / до 1,5 млн

Повторное неправомерное распространение ПДн более 1 000 человек

Организация / Сотрудник

100 000–300 000 / 20 000–50 000

1–3% годовой выручки / 800 000–1,2 млн

Нарушение при повторной утрате биометрии или спецкатегорий

Организация / Сотрудник

100 000–300 000 / 20 000–50 000

1–3% годовой выручки / 1,5–2 млн

Чтобы избежать подобных последствий, компаниям необходимо:

своевременно подавать уведомления в Роскомнадзор;
не превышать цели и объём обрабатываемых данных;
обеспечить наличие всей обязательной документации;
защищать ПДн технически и организационно;
регулярно обучать сотрудников требованиям закона.

Дополнительные санкции:

Штраф до 6,58 млн ₽ за грубое или повторное нарушение законодательства о ПДн;
До 300 09900 ₽ — за неподачу уведомления в Роскомнадзор;
До 1,5 млн ₽ — за отсутствие согласия на распространение ПДн;
Уголовная ответственность — до 5 лет лишения свободы при утечке ПДн по вине сотрудников.

Вам требуется помощь в подготовке пакета документов по персональным данным?

Заполните форму, и наши специалисты свяжутся с вами для бесплатной консультации и разработки документации

Заказать услугу

Вернуться к списку