У каждого оператора должен быть полный комплект документов по персональным данным (ПДн), чтобы обрабатывать их на законных основаниях. Мы расскажем, что именно входит в этот комплект, когда нужно обновлять документы и что будет, если их не оформить.
Какие законы работают в 2026 году?
Основа — ФЗ-152 от 27.07.2006, но он не работает в вакууме.
Ваша документация должна учитывать:
- Постановление Правительства №1119 — уровни защиты данных в зависимости от типа системы.
- Приказ Роскомнадзора №180 — формы уведомлений (о начале, изменении, прекращении обработки).
- Приказ №18 — требования к содержанию согласия на обработку и распространение.
- Глава 14 ТК РФ — особый порядок работы с данными сотрудников.
- Рекомендации Роскомнадзора от 31.07.2017 — как правильно писать Политику (без шаблонов!).
Ключевые термины — не ошибайтесь в формулировках
Ошибка в термине = нарушение закона.
Ориентируйтесь на ст. 3 ФЗ-152:
ПДн. Любая информация, по которой можно установить личность — даже IP-адрес или cookie, если они связаны с человеком
Оператор. Вы. Да, именно вы. Даже если ИП и 1 клиент в месяц
Обработка. Сбор, хранение, передача, удаление — всё это обработка
Распространение. Публикация данных в открытом доступе (например, список клиентов на сайте)
Предоставление. Передача данных конкретному получателю (например, банку или подрядчику)
Трансграничная передача. Отправка данных за границу — даже в облако AWS или Google
Обезличивание. Данные, которые нельзя связать с человеком — например, «1000 пользователей из Москвы»
ИСПДн. Всё, что работает с ПДн: сайт, CRM, Excel, облачный сервер
Обязательный комплект документов в 2026 году
1. Политика обработки ПДн — ваш главный документ
Обязательно публикуется на сайте (в подвале).
Что должно быть в ней:
- Цели обработки (не «для бизнеса», а «для оформления заказа», «для трудоустройства»)
- Правовые основания (ст. 6 ФЗ-152: согласие, исполнение договора и т.д.)
- Состав ПДн (какие именно данные собираете — ФИО, телефон, ИНН?)
- Сроки хранения
- Права субъектов — как человек может запросить удаление данных
- Меры защиты — общий перечень, с отсылкой к внутренним регламентам
Нельзя копировать у конкурента.
Документ должен отражать ваш бизнес — иначе это «формальность», а не защита.
2. Шаблоны согласий
Согласие на обработку ПДн
Когда нужно:
Если вы обрабатываете данные не на основании договора, закона или иного исключения (ст. 6 ФЗ-152). Например: сбор email для рассылки, регистрация на сайте, ведение базы клиентов.
Что должно быть:
- Конкретная цель: «Согласен на обработку ФИО и телефона для оформления заказа»
- Имя оператора (ваша компания)
- Перечень обрабатываемых данных (не «всё», а только то, что реально нужно)
- Подпись и дата
Нельзя:
— «Я согласен на обработку всех моих персональных данных»
— Включать в договор или условия использования сайта
Согласие на передачу ПДн третьим лицам
Когда нужно:
Если вы передаете данные подрядчику — колл-центру, банку, IT-провайдеру, службе доставки.
Что должно быть:
- Полное наименование третьего лица (например: «ООО «Доставка-Лайт»)
- Цель передачи: «Для доставки заказа»
- Указание, что третье лицо обязано соблюдать требования ФЗ-152
Не нужно, если:
— Передача по запросу ФНС, СФР, суда, военкомата
— Передача внутри одной группы компаний при наличии единой Политики и договора о совместной обработке
Согласие на распространение ПДн
Когда нужно:
Если вы публикуете данные в открытом доступе:
— Фото сотрудника с ФИО и должностью на сайте
— Отзывы клиентов с именами и телефонами
— Каталог партнеров с контактами
Что должно быть:
- Четкое указание: «Согласен на распространение моих ПДн (ФИО, фото, должность) на сайте компании»
- Форма — строго по приказу Роскомнадзора №18
- Отдельный документ — никогда не смешивать с согласием на обработку или передачу
Важно:
Даже если вы уже получили согласие на обработку — это не дает права публиковать данные. Нужно отдельное согласие на распространение.
Согласие на маркетинговые рассылки
Когда нужно:
Для отправки:
— Рекламных SMS
— Email-рассылок с акциями
— Сообщений в Telegram, WhatsApp, Viber
Что должно быть:
- Четкое указание каналов: «Согласен на получение рекламных сообщений по email и телефону»
- Отдельный чекбокс — не включать в общую форму регистрации
- Возможность отписаться одним кликом
Нельзя:
— «Я согласен на обработку и получение рекламы»
— Автоматическая подписка при оформлении заказа
— Скрытое согласие в «Условиях использования»
3. Положения — внутренние правила для сотрудников
Не публикуются, но обязательны.
- Положение об обработке и защите ПДн — как именно хранятся данные, кто имеет доступ, как защищены базы.
- Положение об ответственности работников — за нарушение — дисциплинарное взыскание.
- Положение об уничтожении ПДн — когда и как удалять данные (по срокам, по запросу, по истечении срока).
- Положение о комиссии по защите ПДн — если у вас больше 10 сотрудников, это почти обязательно.
4. Приказы — доказательство, что вы не просто «говорите», а действуете
- Приказ о назначении ответственного — кто отвечает за ПДн (даже ИП — это вы).
- Приказ об утверждении перечней:
→ Кто имеет доступ к ПДн (должности)
→ Какие системы используются (CRM, сайт, Excel)
- Приказ о мерах безопасности:
→ Где хранятся бумажные носители (сейф, закрытый кабинет)
→ Как проводится уничтожение (комиссия, акт)
→ Какие формы документов утверждены (согласия, журналы)
Без приказа — вы не оператор. Вы — нарушитель.
5. Журналы — ваши доказательства в суде и при проверке
- Журнал учета обращений субъектов — все запросы на доступ, исправление, удаление.
- Журнал инструктажа сотрудников — кто, когда и с чем ознакомлен (подпись обязательна!).
- Журнал учета носителей — флешки, диски, внешние HDD — кто брал, когда вернул.
- Журнал контроля мер защиты — когда проводились внутренние аудиты.
Журналы — прошнурованы, пронумерованы, хранятся в закрытом месте.
Сканированные листы в папке — не доказательство.
6. Уведомление в Роскомнадзор — ваш «входной билет» в легальность
Подавать нужно, если:
- Используете сайт с формой
- Есть CRM, Excel, почта, облачный сервис
- Даже если данные — только в телефоне
Как подать:
- Через сайт Роскомнадзора с ЭЦП (лучший способ — мгновенно, с номером)
- Через Госуслуги (если есть подтвержденная учетка)
- На бумаге — медленно, рискованно, не рекомендуется
Важно:
- Если вы изменили цели, системы или данные — подайте уведомление об изменении в течение 15 дней.
- Копию уведомления храните — она нужна при проверке.
Когда обновлять документы?
Документы — не раз в год. Они должны меняться вместе с бизнесом.
Обновляйте, если вы:
- Запустили рассылку по email
- Начали собирать дату рождения для скидок
- Перешли на новую CRM
- Дали доступ к данным аналитикам
- Подключили онлайн-чат или бота
- Начали передавать данные подрядчику (колл-центр, банк, IT-подрядчик)
Если документы не отражают реальность — это нарушение.
Даже если вы «всё делали правильно» — но бумаги устарели — вас оштрафуют.
Что будет, если ничего не делать?
Рассмотрим штрафы для юрлиц и ИП более детально:
Грамотно разработанные документы по персональным данным — это не трата денег, а реальная защита вашего бизнеса. Отдав эту работу юристам, вы платите не за кучу бумажек, а за готовую, «заточенную» именно под вашу компанию систему. Эта система не будет пылиться на полке — она будет ежедневно работать на то, чтобы у регуляторов и клиентов не было к вам вопросов, а у вас — повода для штрафов.