Добавить в корзинуПозвонить
Найти в Дзене
Синтез закона и технологий
1346 подписчиков

«Четыре кита»: как в 2026 году правильно составить Политику конфиденциальности, Перечень ПДн, Перечень целей и Согласие на обработку.

18
5 мин
Продолжаем цикл «Персональные данные на практике: от хаоса к системе». В прошлой статье мы разобрались, кто такой оператор и почему вы, скорее всего, уже являетесь им. Сегодня поговорим о документах. Без них ваша работа с персональными данными (ПДн) с точки зрения закона — это хаос. Пакет документов по ПДн может включать до 60–70 позиций — всё зависит от объёма обработки и числа сотрудников. Начнём с четырёх обязательных документов, которые необходимы каждому оператору, независимо от размера бизнеса. Это публичный документ, который вы размещаете на сайте, а в случае его отсутствия — обязаны предоставить субъекту ПДн по первому требованию. В 2026 году Политика должна включать: Важно! Сейчас действует принцип минимизации данных: вы вправе собирать только те сведения, которые действительно необходимы для конкретной цели. Лишние поля в формах — это уже потенциальное нарушение. Это строго внутренний документ, который детализирует, какие именно данные вы обрабатываете в рамках каждой цели. О
Оглавление

Продолжаем цикл «Персональные данные на практике: от хаоса к системе». В прошлой статье мы разобрались, кто такой оператор и почему вы, скорее всего, уже являетесь им. Сегодня поговорим о документах. Без них ваша работа с персональными данными (ПДн) с точки зрения закона — это хаос.

Пакет документов по ПДн может включать до 60–70 позиций — всё зависит от объёма обработки и числа сотрудников. Начнём с четырёх обязательных документов, которые необходимы каждому оператору, независимо от размера бизнеса.

1. Политика в отношении обработки персональных данных

Это публичный документ, который вы размещаете на сайте, а в случае его отсутствия — обязаны предоставить субъекту ПДн по первому требованию. В 2026 году Политика должна включать:

  • цели обработки — только законные и конкретные;
  • перечень обрабатываемых данных — что именно вы собираете (ФИО, телефон, e-mail и т.д.);
  • категории субъектов — чьи данные вы обрабатываете (клиенты, сотрудники, посетители сайта);
  • сроки обработки и хранения — конкретные периоды или условие «до достижения целей»;
  • порядок уничтожения — как и когда вы удаляете данные после окончания срока хранения.
Важно! Сейчас действует принцип минимизации данных: вы вправе собирать только те сведения, которые действительно необходимы для конкретной цели. Лишние поля в формах — это уже потенциальное нарушение.

2. Перечень персональных данных

Это строго внутренний документ, который детализирует, какие именно данные вы обрабатываете в рамках каждой цели. Он тесно связан с Политикой и с Перечнем целей, о котором мы поговорим ниже.

Пример структуры Перечня:

  • Цель обработки: доставка товара
  • Категория субъектов: покупатели интернет-магазина
  • Конкретный перечень данных: ФИО, адрес доставки, номер телефона

Такой подход позволяет чётко отслеживать, какие данные и зачем вы используете. Если данные не попали в Перечень, но при этом хранятся в CRM, — это серьёзное нарушение.

3. Перечень целей обработки персональных данных

Это отдельный документ, который систематизирует все цели, для которых вы вообще обрабатываете ПДн. Он должен включать для каждой цели:

  • содержание обрабатываемых данных;
  • категории субъектов;
  • сроки обработки и хранения;
  • порядок уничтожения данных после достижения цели.
Важное требование 2026 года: ваши цели должны быть максимально конкретными. Формулировка «маркетинг» слишком размыта. Нужно писать «для отправки информационных рассылок по электронной почте» или «для анализа покупательского поведения на сайте». Конкретные цели — конкретные данные.

4. Согласие на обработку персональных данных

Это ключевое изменение последних лет. С 1 сентября 2025 года согласие должно быть оформлено как отдельный документ.

Случай из практики: если у вас в договоре оказания услуг есть пункт «Я даю согласие на обработку ПДн» — после сентября 2025 года это нарушение. Согласие должно быть на отдельном бланке, и человек должен поставить подпись именно под ним.

Что обязательно должно быть в согласии:

  • ФИО и паспортные данные субъекта (для идентификации);
  • наименование и адрес оператора;
  • цель обработки (конкретная);
  • перечень данных;
  • срок действия согласия (можно «до отзыва»);
  • способ отзыва;
  • подпись субъекта.
Важно! Если вы передаёте данные третьим лицам, в согласии должен быть указан конкретный перечень этих лиц.

Где хранить документы и как долго

Места хранения

  • Политика конфиденциальности — в открытом доступе на сайте (отдельная страница с постоянной ссылкой).
  • Перечень ПДн, Перечень целей, Согласия, Приказы — во внутренней документальной системе компании, защищённой от несанкционированного доступа.
  • Бумажные согласия — в сейфе или запираемом шкафу с ограниченным доступом.
  • Электронные базы с ПДн — на серверах, расположенных на территории РФ. Использование зарубежных облачных сервисов для хранения ПДн запрещено.

Сроки хранения

  • Общее правило: данные хранятся не дольше, чем это требуют цели их обработки.
  • По истечении срока или при отзыве согласия данные должны быть уничтожены в течение 30 дней, если иное не предусмотрено законом.
  • Для организаторов распространения информации (владельцы сайтов, сервисов, мессенджеров) срок хранения данных о пользователях с 1 января 2026 года увеличен с 1 года до 3 лет.
  • Бумажные согласия и приказы хранятся в соответствии с архивным законодательством (обычно не менее 5 лет после прекращения обработки).
Рекомендация: назначьте приказом ответственного за обработку ПДн и утвердите правила обработки ПДн, которые будут регламентировать все процессы — от сбора до уничтожения.

Тест: проверьте свои документы

Ответьте «да» или «нет» на каждый пункт.

  1. У вас есть Политика конфиденциальности, размещённая на видном месте на сайте?
  2. Согласие на обработку ПДн у вас оформлено отдельным документом, а не пунктом в договоре?
  3. В согласии указан конкретный срок действия или условие «до отзыва»?
  4. У вас утверждён Перечень ПДн и Перечень целей?
  5. Для каждой цели обработки вы определили срок хранения данных?
  6. Ваши серверы с ПДн находятся на территории РФ?
  7. Назначен ответственный за обработку ПДн приказом?
  8. Вы знаете, как и в какие сроки уничтожать данные после отзыва согласия?

Результат:

  • Если вы ответили «да» на все 8 пунктов → ваша документация в порядке.
  • Если хотя бы один ответ «нет» → у вас есть пробелы, которые нужно закрыть. Начните с самого слабого места.
  • При трёх и более «нет» → вы в зоне высокого риска при проверке Роскомнадзора.

Для медицинских организаций: дополнительный тест

На нашем сайте есть отдельный углублённый тест для больниц, поликлиник, диагностических центров, лабораторий. Он учитывает специальный режим работы с медицинскими данными и ответственность за утечки в 2026 году.

Как пройти тест:

Шаг 1. Перейдите по ссылке:
https://synlawtech.ru/security/pd-test

Шаг 2. Ответьте на 12 вопросов — это займёт не больше 3 минут.

Шаг 3. Получите результат и персональные рекомендации.

Шаг 4. Оставьте заявку на бесплатную консультацию.

Подписывайтесь на канал «Синтез закона и технологий»

В следующих статьях цикла «Персональные данные на практике: от хаоса к системе»:

  • реестр операторов: кому подавать уведомление в РКН и как избежать ошибок;
  • медицинские данные: особый режим и врачебная тайна;
  • алгоритм действий при утечке — 24 часа на спасение;
  • чек-листы, шаблоны и дорожные карты для малого бизнеса.

Подпишитесь, чтобы не пропустить практические материалы. Если остались вопросы — задавайте в комментариях.

Вам нравится контент на моём канале? Теперь у вас есть возможность поблагодарить автора. 50 рублей, 100 рублей или любую другую сумму. Спасибо!

Изображение сгенерировано ИИ
Изображение сгенерировано ИИ