Полный комплект документов по защите персональных данных — одно из первых, что проверяет Роскомнадзор при плановых и внеплановых проверках. Минимальный набор для типовой коммерческой организации составляет 12-15 документов: приказы, положения, согласия, модель угроз, уведомление в РКН. Для регулируемых отраслей (медицина, финансы, КИИ) перечень расширяется до 20-25 документов.
В этой статье — полный перечень документов по защите ПДн с указанием нормативного основания, обязательности, ответственного за утверждение и периодичности обновления. Каждый документ описан с пояснением, зачем он нужен и что должен содержать.
Зачем нужен полный комплект документов по защите ПДн
Требования 152-ФЗ и подзаконных актов
Обязанность оператора документировать процессы обработки и защиты ПДн закреплена в нескольких нормах:
- Ст. 18.1 152-ФЗ — оператор обязан принять документы, определяющие политику в отношении обработки ПДн, и ознакомить с ними сотрудников.
- Ст. 19 152-ФЗ — оператор обязан принимать организационные и технические меры, что подразумевает их документальную фиксацию.
- Ст. 22 152-ФЗ — обязанность уведомить Роскомнадзор до начала обработки ПДн.
- ПП-1119 — требует определить и задокументировать уровень защищённости ИСПДн.
- Приказ ФСТЭК №21 — требует документировать выбор и реализацию мер защиты.
Каждое из этих требований порождает конкретный документ или группу документов.
Что проверяет Роскомнадзор в первую очередь
При проверке Роскомнадзор запрашивает и анализирует:
- Уведомление об обработке ПДн в реестре РКН.
- Положение (политику) об обработке ПДн.
- Приказ о назначении ответственного за обработку ПДн.
- Согласия субъектов (выборочная проверка).
- Соответствие заявленных целей обработки фактическим.
- Порядок реагирования на обращения субъектов ПДн.
- Соблюдение сроков хранения и уничтожения ПДн.
- Публикацию политики обработки ПДн на сайте.
Самая частая претензия Роскомнадзора — несоответствие содержания документов реальным процессам обработки. Документы «для галочки», скопированные из интернета без адаптации, выявляются при первом же вопросе проверяющих.
Штрафы за отсутствие документации (2026)
| Нарушение | Штраф для должностных лиц | Штраф для юридических лиц |
|---|---|---|
| Отсутствие политики обработки ПДн | 6 000 — 12 000 руб. | 30 000 — 60 000 руб. |
| Неуведомление Роскомнадзора | 3 000 — 5 000 руб. | 30 000 — 50 000 руб. |
| Обработка без согласия субъекта | 20 000 — 40 000 руб. | 30 000 — 150 000 руб. |
| Непредоставление информации субъекту | 4 000 — 8 000 руб. | 20 000 — 40 000 руб. |
| Утечка ПДн (с 2025 года) | до 800 000 руб. | до 18 000 000 руб. |
| Повторная утечка (оборотный штраф) | — | до 3% годовой выручки |
Организационно-распорядительные документы (приказы)
Приказ о назначении ответственного за обработку ПДн
Основание: ст. 22.1 152-ФЗ.
Обязательный приказ, которым руководитель назначает лицо, ответственное за организацию обработки ПДн. Ответственный контролирует выполнение требований 152-ФЗ, рассматривает обращения субъектов, взаимодействует с Роскомнадзором.
Ответственным обычно назначается руководитель или сотрудник подразделения ИБ, юрист или руководитель кадровой службы. В приказе указывается ФИО, должность и перечень обязанностей.
Приказ об утверждении положения об обработке ПДн
Основание: ст. 18.1 152-ФЗ.
Приказ вводит в действие положение об обработке и защите ПДн — основной внутренний документ организации. Содержит дату введения, указание на обязательность ознакомления сотрудников, ответственного за контроль исполнения.
Приказ об утверждении перечня лиц, допущенных к ПДн
Основание: ст. 18.1 152-ФЗ, п. 13 ПП-1119.
Определяет перечень сотрудников, которые имеют доступ к персональным данным. Для каждого сотрудника указывается: ФИО, должность, подразделение, перечень ИСПДн и категории ПДн, к которым предоставлен доступ.
Перечень обновляется при каждом кадровом изменении: приём, увольнение, перевод сотрудника. Это один из самых «подвижных» документов в комплекте.
Приказ о назначении администратора безопасности ИСПДн
Основание: Приказ ФСТЭК №21.
Администратор безопасности отвечает за техническую эксплуатацию средств защиты информации в ИСПДн: настройку, мониторинг, обновление, реагирование на инциденты. Роль может совмещаться с ответственным за обработку ПДн в небольших организациях.
Политики и положения
Положение об обработке ПДн (внутренний документ)
Основание: ст. 18.1 152-ФЗ.
Основной локальный нормативный акт, регламентирующий все аспекты обработки и защиты ПДн. Подробная структура и примеры формулировок описаны в статье Положение о защите ПДн: образец и структура.
Положение включает:
- цели и правовые основания обработки;
- категории обрабатываемых ПДн;
- порядок сбора, хранения, передачи и уничтожения;
- права субъектов и обязанности оператора;
- меры по обеспечению безопасности;
- ответственность за нарушения.
Политика обработки ПДн (публичный документ для сайта)
Основание: ст. 18.1 ч. 2 152-ФЗ.
Публичный документ, который оператор обязан разместить на сайте в общедоступной форме. Предназначен для субъектов ПДн — клиентов, посетителей сайта, партнёров.
Отличие от положения: политика — краткий документ (3-7 страниц), информирующий субъектов о целях обработки, правах и контактах ответственного. Положение — детальный внутренний документ (15-30 страниц).
Отсутствие политики на сайте — одно из самых частых нарушений, выявляемых Роскомнадзором. Штраф: до 60 000 руб. для юридических лиц.
Инструкция по обработке ПДн для сотрудников
Основание: ст. 18.1 152-ФЗ.
Практическое руководство для сотрудников, допущенных к обработке ПДн. Описывает конкретные действия: как получать согласие, как хранить документы с ПДн, как реагировать на запросы субъектов, что делать при обнаружении утечки.
Инструкция дополняет положение: если положение описывает «что делать», инструкция описывает «как делать». Сотрудники ознакамливаются под подпись.
Согласия субъектов персональных данных
Согласие на обработку ПДн (базовое)
Основание: ст. 9 152-ФЗ.
Согласие субъекта на обработку его ПДн — один из правовых оснований обработки. Согласие должно быть конкретным, информированным и сознательным. Обязательные реквизиты (ст. 9 ч. 4):
- ФИО, адрес субъекта, реквизиты документа, удостоверяющего личность;
- наименование и адрес оператора;
- цель обработки ПДн;
- перечень ПДн, на обработку которых даётся согласие;
- перечень действий с ПДн, на которые даётся согласие;
- срок действия согласия и порядок отзыва.
Организации, как правило, используют несколько форм согласий: для сотрудников, для клиентов, для посетителей сайта. Каждая форма адаптирована под конкретные цели обработки.
Согласие на распространение ПДн (ст. 10.1)
Основание: ст. 10.1 152-ФЗ (введена в 2021 году).
Отдельное согласие на предоставление ПДн неограниченному кругу лиц: публикация на сайте организации, в каталогах, социальных сетях, пресс-релизах. Требования:
- оформляется отдельно от других согласий;
- содержит конкретный перечень ПДн, разрешённых к распространению;
- субъект вправе установить условия и запреты на распространение отдельных категорий ПДн.
Одного общего согласия на обработку ПДн недостаточно для публикации данных. Согласие на распространение — обязательный отдельный документ.
Согласие на трансграничную передачу
Основание: ст. 12 152-ФЗ.
Если организация передаёт ПДн за пределы Российской Федерации (например, использует зарубежные облачные сервисы, отправляет данные в зарубежные офисы), необходимо оформить отдельное согласие на трансграничную передачу с указанием страны и получателя.
С 2023 года Роскомнадзор ведёт реестр стран, обеспечивающих адекватную защиту ПДн. Передача в страны за пределами реестра требует дополнительных оснований.
Технические и аналитические документы
Перечень ИСПДн (акт классификации)
Основание: ПП-1119.
Документ, фиксирующий все информационные системы, в которых обрабатываются ПДн. Для каждой ИСПДн указывается:
- наименование и назначение;
- категории обрабатываемых ПДн;
- количество субъектов;
- тип актуальных угроз;
- определённый уровень защищённости.
Акт подписывается комиссией, назначенной приказом руководителя.
Модель угроз безопасности ПДн
Основание: ст. 19 152-ФЗ, Приказ ФСТЭК №21.
Модель угроз — технический документ, описывающий актуальные угрозы безопасности ПДн для конкретной ИСПДн. На основании модели угроз определяются необходимые меры защиты.
Модель разрабатывается по методике ФСТЭК (2021) и включает:
- описание ИСПДн и инфраструктуры;
- перечень возможных источников угроз;
- перечень актуальных угроз с оценкой вероятности;
- выводы о необходимых мерах нейтрализации.
Техническое задание на систему защиты ПДн
Основание: Приказ ФСТЭК №21.
ТЗ на систему защиты ПДн определяет: перечень мер защиты, подлежащих реализации; требования к средствам защиты информации; порядок внедрения; требования к эксплуатации. ТЗ разрабатывается на основании модели угроз и уровня защищённости.
Акт оценки вреда субъектам ПДн
Основание: ст. 18.1 152-ФЗ.
Документ, в котором оператор оценивает возможный вред субъектам ПДн при нарушении безопасности. Результаты оценки используются при определении уровня защищённости и выборе мер защиты.
Учётные и регистрационные документы
Уведомление в Роскомнадзор
Основание: ст. 22 152-ФЗ.
Оператор обязан уведомить Роскомнадзор до начала обработки ПДн. Уведомление подаётся электронно через портал pd.rkn.gov.ru и содержит:
- сведения об операторе;
- цели и правовые основания обработки;
- категории субъектов и персональных данных;
- описание мер по обеспечению безопасности;
- сведения о трансграничной передаче;
- дата начала обработки.
Исключения из обязанности уведомления предусмотрены ч. 2 ст. 22 152-ФЗ, однако на практике большинство организаций обрабатывают ПДн по нескольким основаниям и подпадают под обязанность уведомления.
Журнал учёта обращений субъектов ПДн
Основание: ст. 14, 20, 21 152-ФЗ.
Оператор обязан вести учёт обращений субъектов ПДн: запросов на предоставление информации, требований об уточнении, блокировании, уничтожении ПДн, отзывов согласий. Для каждого обращения фиксируется:
- дата поступления;
- ФИО и контакты субъекта;
- суть обращения;
- принятые меры;
- дата ответа.
Срок ответа на обращение — 10 рабочих дней (ст. 14 152-ФЗ).
Обязательство о неразглашении ПДн
Основание: ст. 7 152-ФЗ.
Каждый сотрудник, допущенный к обработке ПДн, подписывает обязательство о неразглашении. Документ содержит:
- перечень обязательств (не разглашать ПДн, не передавать третьим лицам, не использовать в личных целях);
- срок действия (как правило, в течение трудовых отношений и 3-5 лет после увольнения);
- ответственность за нарушение.
Сводная таблица: все документы по защите ПДн
| № | Документ | Основание | Обязательность | Утверждает | Обновление |
|---|---|---|---|---|---|
| 1 | Приказ о назначении ответственного за обработку ПДн | ст. 22.1 152-ФЗ | Обязательно | Руководитель | При смене ответственного |
| 2 | Приказ об утверждении положения | ст. 18.1 152-ФЗ | Обязательно | Руководитель | При обновлении положения |
| 3 | Приказ об утверждении перечня допущенных лиц | п. 13 ПП-1119 | Обязательно | Руководитель | При кадровых изменениях |
| 4 | Приказ о назначении администратора безопасности | Приказ ФСТЭК №21 | Обязательно | Руководитель | При смене лица |
| 5 | Положение об обработке и защите ПДн | ст. 18.1 152-ФЗ | Обязательно | Руководитель | Ежегодно |
| 6 | Политика обработки ПДн (для сайта) | ст. 18.1 ч. 2 152-ФЗ | Обязательно | Руководитель | Ежегодно |
| 7 | Инструкция по обработке ПДн | ст. 18.1 152-ФЗ | Рекомендовано | Руководитель / CISO | Ежегодно |
| 8 | Согласие на обработку ПДн (формы) | ст. 9 152-ФЗ | Обязательно | — | При изменении целей |
| 9 | Согласие на распространение ПДн | ст. 10.1 152-ФЗ | При распространении | — | При изменении состава |
| 10 | Согласие на трансграничную передачу | ст. 12 152-ФЗ | При передаче за рубеж | — | При изменении условий |
| 11 | Перечень ИСПДн (акт классификации) | ПП-1119 | Обязательно | Комиссия | При изменении ИСПДн |
| 12 | Модель угроз безопасности ПДн | Приказ ФСТЭК №21 | Обязательно | Руководитель / CISO | Ежегодно |
| 13 | ТЗ на систему защиты ПДн | Приказ ФСТЭК №21 | Рекомендовано | Руководитель / CISO | При изменении мер |
| 14 | Акт оценки вреда субъектам ПДн | ст. 18.1 152-ФЗ | Рекомендовано | Комиссия | Ежегодно |
| 15 | Уведомление в Роскомнадзор | ст. 22 152-ФЗ | Обязательно | Руководитель | При изменении данных |
| 16 | Журнал учёта обращений субъектов | ст. 14, 20, 21 152-ФЗ | Рекомендовано | — | Постоянно |
| 17 | Обязательство о неразглашении ПДн | ст. 7 152-ФЗ | Обязательно | — | При приёме сотрудника |
| 18 | Акт уничтожения ПДн | ст. 21 152-ФЗ | По факту уничтожения | Комиссия | По факту |
Для организаций из регулируемых отраслей перечень расширяется: банки дополнительно готовят документы по ГОСТ Р 57580, субъекты КИИ — по 187-ФЗ и Приказу ФСТЭК №239, медицинские учреждения — специфические документы по работе с медицинскими ПДн.
Порядок разработки и внедрения документации
Пошаговый алгоритм
Рекомендуемый порядок разработки документов по защите ПДн:
Этап 1. Инвентаризация (1-2 недели). Определить все ИСПДн, категории обрабатываемых ПДн, цели обработки, перечень сотрудников с доступом. Результат — перечень ИСПДн и акт классификации.
Этап 2. Определение уровня защищённости (1-3 дня). По ПП-1119 определить уровень защищённости для каждой ИСПДн. Результат — акт определения уровня защищённости.
Этап 3. Разработка модели угроз (1-3 недели). По методике ФСТЭК разработать модель угроз для каждой ИСПДн. Результат — утверждённая модель угроз.
Этап 4. Организационные документы (1-2 недели). Разработать и утвердить приказы, положение, политику, инструкцию, формы согласий, обязательства о неразглашении.
Этап 5. Технические документы (1-2 недели). ТЗ на систему защиты, акт оценки вреда, документация на средства защиты.
Этап 6. Уведомление в РКН (1-3 дня). Подать уведомление через портал pd.rkn.gov.ru.
Этап 7. Ознакомление и обучение (1 неделя). Ознакомить сотрудников под подпись, провести обучение.
Типичные ошибки при подготовке документов
Копирование без адаптации. Универсальные шаблоны не содержат данные конкретной организации: категории ПДн, ИСПДн, цели обработки. Такие документы выявляются при первом вопросе проверяющих.
Несоответствие документов и практики. Положение описывает один порядок обработки, а на практике действует другой. Роскомнадзор проверяет не только наличие документов, но и их соответствие реальности.
Устаревшие нормативные ссылки. Документы со ссылками на отменённые НПА или устаревшие редакции 152-ФЗ. Необходимо ссылаться на актуальные версии.
Отсутствие контроля версий. Без системы управления документами одновременно циркулируют несколько версий. Разрыв между ИБ и юристами — документы должны готовиться совместно.
Контроль актуальности документации
Документация по ПДн — не разовый проект, а непрерывный процесс. Рекомендуемый график контроля:
| Периодичность | Действия |
|---|---|
| Ежеквартально | Мониторинг изменений в законодательстве о ПДн |
| Ежегодно | Плановый пересмотр положения, политики, модели угроз |
| При кадровых изменениях | Обновление перечня допущенных лиц, подписание обязательств |
| При изменении ИТ-инфраструктуры | Обновление перечня ИСПДн, модели угроз |
| При изменении бизнес-процессов | Обновление целей обработки, форм согласий |
| После проверки РКН/ФСТЭК | Устранение замечаний, обновление документов |
| После инцидента с ПДн | Пересмотр мер защиты, актуализация модели угроз |
Автоматизация документооборота по ПДн
Генерация документов в SGRC-платформе
Ручная подготовка комплекта из 15-18 документов занимает от 2 до 8 недель. При изменениях — процесс повторяется. SGRC-платформа КиберОснова автоматизирует этот процесс.
Модуль документов ИБ позволяет:
- генерировать документы по шаблонам на основе данных из реестра ИСПДн, категорий ПДн и целей обработки;
- формировать весь комплект для проверки Роскомнадзора или ФСТЭК в несколько кликов;
- создавать документы с заполненными данными конкретной организации — не пустые шаблоны, а готовые к утверждению документы.
Контроль версий и сроков обновления
Платформа обеспечивает:
- хранение всех версий каждого документа с историей изменений;
- автоматические уведомления о необходимости пересмотра (по расписанию или при изменении НПА);
- маршруты согласования с уведомлениями для ответственных;
- электронное ознакомление сотрудников с фиксацией даты и ФИО;
- формирование пакета документов для проверки с актуальными версиями.
Управление согласиями субъектов
Отдельная задача — управление согласиями субъектов ПДн: отслеживание статуса (действует / отозвано / истёк срок), контроль наличия согласий для каждой цели обработки. SGRC-платформа ведёт централизованный реестр согласий с привязкой к субъектам, целям обработки и ИСПДн. При отзыве согласия — автоматическое уведомление ответственных.
Запросите демо платформы КиберОснова, чтобы увидеть генератор документов и управление согласиями в действии.
FAQ — Частые вопросы о документации по ПДн
Сколько документов по защите ПДн нужно организации?
Минимальный комплект — 12-15 документов для типовой коммерческой организации. Для регулируемых отраслей (медицина, финансы, КИИ) — до 20-25 документов. Полный перечень с нормативными основаниями приведён в сводной таблице выше.
Какие приказы по защите ПДн обязательны?
Обязательные приказы: о назначении ответственного за обработку ПДн (ст. 22.1 152-ФЗ), об утверждении положения (ст. 18.1), об утверждении перечня допущенных лиц (ПП-1119), о назначении администратора безопасности (ФСТЭК №21). Все приказы подписывает руководитель организации.
Нужно ли подавать уведомление в Роскомнадзор?
Да, согласно ст. 22 152-ФЗ — до начала обработки ПДн. Исключения существуют (ч. 2 ст. 22), но на практике большинство организаций подпадают под обязанность, так как обрабатывают ПДн клиентов, контрагентов и посетителей сайта. Штраф за неуведомление — до 50 000 руб. для юридических лиц.
Чем согласие на обработку отличается от согласия на распространение?
Это два отдельных документа. Согласие на обработку (ст. 9) — разрешение на любые действия с ПДн. Согласие на распространение (ст. 10.1, с 2021 года) — отдельное разрешение на публикацию ПДн для неограниченного круга лиц. Одного общего согласия для публикации данных недостаточно.
Как организовать хранение документации по ПДн?
Бумажные оригиналы — в защищённом месте (сейф, запираемый шкаф) у ответственного за обработку ПДн. Электронные копии — в системе документооборота или SGRC-платформе с ограниченным доступом и контролем версий. Согласия субъектов — в отдельном реестре с отслеживанием статуса. Платформа КиберОснова автоматизирует весь цикл управления документацией.
Что проверяет Роскомнадзор?
В первую очередь: уведомление в реестре РКН, положение (политику) об обработке ПДн, приказ о назначении ответственного, согласия субъектов (выборочно), публикацию политики на сайте. Главная претензия — несоответствие документов реальным процессам обработки. Запросите демо КиберОснова для подготовки к проверке.
