Документы по персональным данным в 2026 году: какие должны быть у ИП и организаций

2026-06-04 14:34:38 Время чтения 11 мин 168

Какие документы по персональным данным (ПДн) должны быть в организации или у ИП, как их правильно оформить и какие штрафы предусмотрены за их отсутствие — читайте более подробно в статье

Документы для ИП без сотрудников

Предприниматель, работающий без сотрудников, все равно считается оператором ПДн, если собирает контакты клиентов через сайт, мессенджеры или ведет учет в CRM. Объем обязательных документов по персональным данным для него меньше, чем для ИП или организации с работниками.

Журналы учета

Они фиксируют все значимые события, связанные с обработкой ПДн, и служат доказательством добросовестности оператора при проверке.

  1. Журнал учета машинных носителей — для поэкземплярного учета флеш-накопителей, жестких дисков и других устройств, на которых хранятся данные (п. 5 ч. 2 ст. 19 ФЗ №152-ФЗ; п. 8.4 Приказа ФСТЭК № 21).
  2. Журнал учета обращений субъектов ПДн — для регистрации запросов клиентов на доступ, уточнение или удаление их данных (ст. 20, п. 3 ч. 4 ст. 22.1 ФЗ №152-ФЗ).

Журнал учета средств защиты информации — если ИП использует шифрование для защиты данных (п. 4 Приказа ФСБ № 378).

Приказы

Приказы вводят в действие локальные акты. Даже если ИП работает один, часть этих документов необходима:

  1. Приказ о возложении функций администратора информационной безопасности — назначает лицо, отвечающее за защиту данных в информсистемах (п. 14 Постановления Правительства №1119). ИП назначает себя.
  2. Приказ о возложении функций ответственного за организацию обработки ПДн — фиксирует, кто отвечает за соблюдение ФЗ №152-ФЗ (ст. 22.1 ФЗ №152-ФЗ). ИП автоматически выполняет эту роль, но приказ оформить нужно.
  3. Приказ об утверждении локальных нормативных актов — вводит в действие Политику, положения и инструкции (п. 2 ч. 1 ст. 18.1 ФЗ №152-ФЗ).
  4. Приказ об утверждении перечня лиц, осуществляющих обработку ПДн — фиксирует, кто допущен к обработке (ч. 1 ст. 19 ФЗ №152-ФЗ). Для ИП без сотрудников это он сам.
  5. Приказ об утверждении списка помещений, предназначенных для обработки ПДн — для организации режима безопасности в помещениях, где обрабатываются данные (п. 8.12 Приказа ФСТЭК № 21).

Приказ об утверждении мест хранения материальных носителей ПДн — если используются бумажные носители (п. 13 Постановления Правительства РФ № 687).

Акты

Они подтверждают факт совершения юридически значимых действий: оценки вреда, определения уровня защищенности, уничтожения данных.

  1. Акт о проведении внутреннего контроля — фиксирует результаты проверки соответствия обработки ПДн требованиям закона (п. 4 ч. 1 ст. 18.1 ФЗ №152-ФЗ; п. 17 Постановления № 1119).
  2. Акт об уничтожении машинных носителей ПДн — подтверждает уничтожение устройств с данными (п. 2 Приказа РКН № 179).
  3. Акт об уничтожении данных — подтверждает уничтожение данных на бумажных и электронных носителях (п. 2 Приказа РКН № 179).
  4. Акт определения необходимого уровня защищенности ИСПДн — фиксирует уровень защищенности ИС (Постановление Правительства РФ № 1119).

Акт оценки вреда, который может быть причинен субъекту ПДн — определяет степень возможного вреда при нарушении закона (п. 5 ч. 1 ст. 18.1 ФЗ №152-ФЗ; Приказ РКН № 178).

Согласия

Какие шаблоны понадобятся:

  1. Согласие на обработку ПДн — базовый документ (ст. 9 ФЗ №152-ФЗ).
  2. Согласие на обработку ПДн, разрешенных для распространения — оформляется отдельно (ст. 10.1 ФЗ №152-ФЗ).
  3. Отказ от согласия на обработку ПДн (ч. 1 ст. 9 ФЗ №152-ФЗ).

Отзыв согласия на обработку ПДн (ч. 2 ст. 9 ФЗ №152-ФЗ).

Инструкции

Такие документы регламентируют действия персонала и правила работы с данными:

  1. Инструкция администратора ИБ — определяет обязанности по поддержанию безопасности сетей (п. 14 Постановления Правительства РФ № 1119).
  2. Инструкция ответственного за организацию обработки ПДн — закрепляет обязанности, права и ответственность ответственного лица (ст. 22.1 ФЗ №152-ФЗ).
  3. Инструкция по применению антивирусных средств защиты — устанавливает правила защиты от вредоносных программ (п. 8.6 Приказа ФСТЭК № 21).

Инструкция по работе с машинными носителями, содержащими ПДн — регламентирует учет, использование и уничтожение носителей (п. 8.4 Приказа ФСТЭК № 21).

Политика в отношении обработки персональных данных

Основной публичный документ, определяющий цели, категории данных и меры защиты. Размещается на сайте или информационном стенде (п. 2 ч. 1 ст. 18.1 ФЗ №152-ФЗ). 

Учтите, что Политика должна содержать реальные процессы работы с ПДн. Мы не рекомендуем скачивать готовые шаблоны из интернета и размещать их в открытом доступе, не адаптировав под конкретную деятельность. 

Положения

В положениях детализируются процедуры и правила работы с данными внутри организации.

  1. Положение о парольной защите — регламентирует процессы генерации, смены и прекращения действия паролей (п. 8.11 Приказа ФСТЭК № 21).

Положение о порядке уничтожения ПДн — устанавливает периодичность и способы уничтожения носителей с данными (ст. 21 ФЗ №152-ФЗ).

Правила и регламенты

Они устанавливают порядок действий в конкретных ситуациях: от рассмотрения обращений до реагирования на инциденты.

  1. Правила выявления инцидентов ИБ ИСПДн — для разбирательства по фактам утечек и нарушений (п. 6 ч. 2 ст. 19 ФЗ №152-ФЗ; п. 8.14 Приказа ФСТЭК № 21).
  2. Правила оценки вреда, который может быть причинен субъекту ПДн — определяют соотношение возможного вреда и принимаемых мер защиты (п. 5 ч. 1 ст. 18.1 ФЗ №152-ФЗ).
  3. Правила рассмотрения обращений субъектов ПДн — устанавливают порядок учета и ответа на запросы граждан (ст. 20 ФЗ №152-ФЗ).
  4. Правила проведения внутреннего контроля в отношении обработки ПДн — для выявления и предупреждения нарушений (п. 4 ч. 1 ст. 18.1 ФЗ №152-ФЗ).

Регламент резервного копирования и восстановления информации — для определения порядка создания резервных копий и восстановления данных (п. 7 ч. 2 ст. 19 ФЗ №152-ФЗ; Приказ ФСТЭК № 21).

Документы по персональным данным для организаций и ИП с сотрудниками

Организациям и ИП с сотрудниками нужно все то же самое, что перечислено выше, плюс другие документы:

  1. Журнал учета лиц, допущенных к работе с ПДн в ИС.
  2. Журнал сдачи и приема под охрану помещений.
  3. Приказ о создании комиссии по уничтожению ПДн.
  4. Приказ о создании комиссии по уничтожению машинных носителей ПДн.
  5. Акт о выявлении нарушений в сфере защиты ПДн.
  6. Положение об обработке данных.
  7. Положение об ответственности работников, допущенных к обработке ПДн.
  8. Положение о комиссии по обеспечению безопасности ПДн.
  9. Согласие на передачу ПДн третьей стороне.
  10. Согласие на получение ПДн от третьих лиц.
  11. Согласие родителя на обработку ПДн несовершеннолетнего.
  12. План контроля выполнения требований по обеспечению безопасности ПДн.

Как разработать документы: пошаговая инструкция

Шаг 1: проведите аудит. Определите, какие данные, от кого и для каких целей вы собираете, где храните, кому передаете. 

Шаг 2: назначьте ответственного. Издайте приказ о назначении ответственного за организацию обработки ПДн. Для ИП это он сам.

Шаг 3: разработайте Политику. Составьте публичный документ, определяющий цели, категории данных и меры защиты. Разместите его на сайте или стенде.

Шаг 4: утвердите внутренние документы. Подготовьте положения, инструкции и правила, регламентирующие процедуры обработки данных внутри организации.

Шаг 5: оформите согласия. Разработайте шаблоны для разных целей обработки. 

Шаг 6: заведите журналы учета. Обеспечьте фиксацию обращений субъектов ПДн, учет машинных носителей и другие обязательные журналы.

Шаг 7: обучите сотрудников. Проведите инструктаж для всех, кто имеет доступ к данным, и зафиксируйте его в журнале.

Если нет документов по персональным данным: штрафы

За отсутствие обязательных документов по персональным данным в организации или у ИП наступает административная ответственность по ст. 13.11 КоАП РФ. Так, за работу с ПДн без согласия, когда оно необходимо, или с нарушением требований к его содержанию, ИП могут оштрафовать на сумму от 100 000 до 300 000 руб., организацию — от 300 000 до 700 000 руб. При повторном нарушении штрафы могут достигать 1-1,5 млн руб. 

Если не разместить Политику обработки в открытом доступе, ИП за это оштрафуют на сумму до 20 000 руб., юрлицо — до 60 000 руб.

Разработка документов по персональным данным: чек-лист для операторов

  1. Не используйте скачанные шаблоны без адаптации — регулятор при проверке легко выявит несоответствие документа реальным процессам.
  2. Разграничьте цели обработки: для клиентов, сотрудников, контрагентов и других категорий субъектов должны быть отдельные согласия.
  3. Актуализируйте документы при изменениях в бизнес-процессах или законодательстве.
  4. Храните согласия после прекращения обработки — в течение срока исковой давности (3 года) они могут понадобиться при проверке или судебном споре.
  5. Помните, что ИП с сотрудниками обязаны оформить дополнительный пакет документов по ПДн (положение об обработке, согласие на передачу третьей стороне и другие).

Если у вас остались вопросы или нужна помощь в подготовке полного пакета документов, наши эксперты готовы все разработать в соответствии с действующим законодательством. 

Категории: Бизнес (тендеры, слияния, поглощения, партнерства, ценные бумаги, акционеры, финансы и отчетность)
Теги: Роскомнадзор
Другие материалы блога
Публикация в Федресурсе в 2026 году: как и когда размещать сообщения
2026-06-05 10:20:23 140
Регистрация в Роскомнадзоре: как блогерам, ИП и организациям зарегистрироваться в РКН в 2026 году
2026-06-03 12:30:21 257
Согласие на обработку персональных данных: как правильно оформить в 2026 году
2026-06-03 10:08:03 277
Категорирование КИИ: пошаговая инструкция и чек-лист для бизнеса
2026-05-19 09:08:54 618
Персональные данные: полный гайд на 2026 год
2026-04-09 12:09:26 3219
Еще материалы
📰 Ваша новостная картина недели от OOH Mag
2026-06-06 15:42:26 146
Что день грядущий нам готовит?
2026-06-06 13:27:16 153
Эксперты АБКР провели сессию по брендингу в рамках саммита «Аграрная политика России»
2026-06-05 21:27:50 210
Эксперт АБКР выступила на конференции «Маркетинг. Брендинг. Коммуникации: время перемен»
2026-06-05 21:25:17 269
Искусственный интеллект впервые за одним столом с крупнейшим бизнесом России
2026-06-05 17:16:33 292
На премию «ВЫЗОВ» поступило рекордное количество заявок — более 1,4 тыс. из 48 стран
2026-06-05 13:18:27 273