Гладиаторы - меню

Перечень документов по защите персональных данных в 2026 году

Защита персональных данных в 2026 году окончательно перестала быть формальностью «для проверки». Усиление надзорной практики, рост количества утечек, развитие цифровых сервисов и удаленных форм работы сделали документальное обеспечение обработки персональных данных обязательным элементом устойчивости бизнеса.

В России требования к обработке и защите персональных данных регулируются Федеральным законом № 152-ФЗ «О персональных данных», подзаконными актами, разъяснениями Роскомнадзора и судебной практикой. При этом подход регулятора стал более прикладным: оценивается не только наличие документов, но и их фактическое применение.

Важно понимать, что требования и практика в сфере персональных данных активно развиваются: поправки и разъяснения выходят регулярно, поэтому комплект документов и подходы к защите ПДн нужно периодически актуализировать (как минимум раз в год или при изменении бизнес-процессов).

Организация обязана иметь оформленный и актуальный пакет документов, подтверждающих законность обработки, защиту, хранение и уничтожение персональных данных на всех этапах жизненного цикла информации.

Содержание:

Какие документы по персональным данным должны быть в организации
Документы на обработку персональных данных
Документы, направляемые в Роскомнадзор
Документы, которые подтвердят уничтожение персональных данных
Меры по защите и управление рисками
Контроль и взаимодействие с регулятором
Ответственность
Особенности для отдельных сфер
Итоговый перечень документов

Команда редакторов "Гладиаторы ИБ"

Дата публикации: 10.04.2026
Время прочтения 8 минут

Какие документы по персональным данным должны быть в организации

В 2026 году регулятор ожидает от операторов персональных данных (то есть организаций) системного подхода. Документы должны быть не разрозненными файлами, а взаимосвязанной системой, охватывающей кадровые, клиентские, маркетинговые и ИТ-процессы.

Минимальный практический набор документов включает:

Политику обработки персональных данных (в открытом доступе);
Локальные нормативные акты (ЛНА) по обработке и защите ПДн;
Документы по согласиям субъектов и иным правовым основаниям обработки;
Договоры с сотрудниками и контрагентами, включая договоры поручения обработки ПДн;
Документы об уничтожении данных;
Документы для взаимодействия с Роскомнадзором (уведомление, ответы на запросы);
Документы по информационной безопасности (включая модель угроз и оценку рисков);
Документы, регулирующие порядок рассмотрения обращений субъектов ПДн и фиксацию таких обращений;
Документы по трансграничной передаче и (при наличии) обработке биометрических персональных данных.

Важно: регулятор оценивает не только наличие документов, но и их фактическое применение, а также соответствие принятых мер масштабу и рискам обработки.

Документы на обработку персональных данных

Политика обработки персональных данных

Это публичный документ, который размещается на официальном сайте организации либо предоставляется иным доступным способом.

В политике фиксируются:

цели обработки персональных данных;
категории и состав обрабатываемых данных (в том числе, при наличии, специальные и биометрические данные);
категории субъектов персональных данных;
правовые основания обработки (согласие, договор, закон, законные интересы и т. д.);
способы, а также сроки обработки и хранения;
порядок передачи данных третьим лицам и трансграничной передачи (если применяется);
порядок уничтожения данных по достижении целей обработки или истечении сроков хранения;
права субъектов персональных данных и порядок их реализации.

Согласие на обработку персональных данных

Оформляется до начала обработки данных в тех случаях, когда закон требует согласия, и подтверждает волеизъявление субъекта.

Согласие должно содержать:

ФИО субъекта и его подпись (либо идентифицирующие данные и реквизиты электронной фиксации);
сведения об операторе (наименование, реквизиты, адрес);
перечень обрабатываемых данных;
цели и правовые основания обработки;
способы обработки (включая автоматизированные), в том числе, при наличии, передачу третьим лицам и трансграничную передачу;
перечень получателей данных (при наличии);
срок действия согласия и порядок его отзыва;
указание на возможность отзыва и последствия такого отзыва;
дату подписания.

Согласие требуется не во всех случаях. Оно не требуется, если обработка осуществляется, например:

для исполнения договора по инициативе субъекта или договора, стороной которого является субъект (п. 5 ч. 1 ст. 6 152-ФЗ);
для исполнения обязанностей оператора, установленных законом;
в иных случаях, прямо предусмотренных законом.

Важно: согласие не является универсальным условием обработки. Закон выделяет и другие правовые основания (исполнение договора, выполнение обязанностей по закону, защита жизненно важных интересов, законные интересы оператора и т. д.), по которым обработка допускается без согласия при соблюдении установленных условий.

Также важно учитывать:

специальные условия обезличивания персональных данных без согласия (п. 9, 9.1 ч. 1 ст. 6 152-ФЗ);
требования к фиксации согласия (в том числе в электронном виде и через информационные системы);
необходимость отдельного согласия для обработки специальных и биометрических персональных данных, а также в ряде случаев для трансграничной передачи.

Обработка специальных и биометрических персональных данных

Если организация обрабатывает:

данные о состоянии здоровья, национальности, политических взглядах и другие специальные категории;
биометрические персональные данные (например, фото/видео для идентификации, отпечатки, голос, шаблоны лица и т. п.),

то для такой обработки, как правило, требуется отдельное согласие, усиленные меры защиты и более детальная регламентация процессов.

Рекомендуется:

выделить обработку специальных и биометрических ПДн в отдельные разделы политики и ЛНА;
описать цели такой обработки, сроки хранения и порядок уничтожения;
предусмотреть отдельные формы согласий и уведомлений;

Особое внимание: если у вас СКУД (система контроля и управления доступом), которая распознает людей с помощью видеокамер, то вы попадаете под категорию оператора, обрабатывающего биометрические ПДн и вам необходимо выполнить рекомендации этого раздела!

Трансграничная передача персональных данных

Если данные передаются за пределы Российской Федерации:

необходимо учитывать правовой режим страны-получателя;
в ряде случаев требуется отдельное согласие субъекта на трансграничную передачу;
на оператора ложится обязанность обеспечить надлежащий уровень защиты данных при передаче и обработке за рубежом.

Для таких случаев рекомендуется:

описать трансграничную передачу в политике и ЛНА;
оформить отдельные или расширенные согласия;
документировать перечень стран и получателей.

Положение о защите персональных данных

Внутренний документ, регулирующий:

доступ к данным;
порядок обработки и хранения;
распределение ролей и ответственности;
порядок передачи третьим лицам и трансграничной передачи;
действия при инцидентах и нарушениях.

Дополнительно рекомендуется включить в положение или связанные с ним ЛНА:

порядок рассмотрения обращений субъектов ПДн (сроки, ответственные лица, формы ответов);
порядок идентификации субъектов при обращении;
перечень каналов взаимодействия (почта, электронная форма, личный кабинет и т. д.).

Также могут разрабатываться:

частные политики (например, по ИБ, управлению доступом, защите информации в конкретных системах);
модель угроз безопасности персональных данных;
инструкции для отдельных процессов (работа с бумажными носителями, выгрузки из ИСПДн, взаимодействие с подрядчиками и т. д.).

Приказ о назначении ответственного за обработку персональных данных

Документ, которым назначается ответственное лицо за организацию работы с персональными данными.

В нем закрепляются его функции, в том числе:

контроль соблюдения требований законодательства и локальных актов;
информирование и обучение сотрудников;
организация рассмотрения обращений субъектов персональных данных;
взаимодействие с Роскомнадзором и другими органами;
инициирование внутренних проверок и корректирующих мероприятий.

Приказ об утверждении перечня ИСПДн

Документ, в котором фиксируются:

все используемые информационные системы персональных данных;
перечни персональных данных, обрабатываемых в каждой системе;
основные цели обработки по каждой системе;
ответственные за эксплуатацию и безопасность.

Обязательство о неразглашении персональных данных

Подписывается сотрудниками, имеющими доступ к персональным данным.

Может быть оформлено:

как отдельный документ;
либо включено в трудовой договор или дополнительное соглашение.

Рекомендуется также:

предусмотреть ответственность за нарушения (дисциплинарную, материальную в рамках закона);
прописать порядок возврата или уничтожения носителей при увольнении или смене должности.

Регламент рассмотрения обращений субъектов ПДн

Это внутренний документ (ЛНА), который устанавливает:

порядок приема обращений (формы, каналы, набор обязательных реквизитов);
сроки рассмотрения;
порядок идентификации заявителя;
перечень возможных решений (предоставление копии данных, уточнение, блокирование, уничтожение и т. д.);
формы и способы направления ответов;
ответственность за соблюдение сроков и качества ответов.

На практике наличие такого регламента помогает снизить риски штрафов за нарушение прав субъектов.

Документы по персональным данным, направляемые в Роскомнадзор

Уведомление о начале обработки ПДн

Оператор обязан направить уведомление в Роскомнадзор (ст. 22 152-ФЗ):

до начала обработки;
при изменении сведений (ч. 7 ст. 22) - например, целей, категорий данных, мер защиты, контактных данных, перечня ИСПДн.

Перечень случаев, когда уведомление не требуется, закрытый и установлен законом.

Исключения: уведомление, в частности, не требуется:

при обработке данных работников в рамках трудового законодательства и при условии, что данные не используются для других целей;
при обработке данных, не подлежащих распространению и передаче третьим лицам без согласия, в строго ограниченных случаях, предусмотренных законом.

На практике большинство организаций, обрабатывающих данные клиентов, пользователей и даже только сотрудников, подпадают под обязанность уведомления и регистрации в реестре операторов. Отсутствие уведомления и включения в реестр - один из типичных поводов для штрафов.

Взаимодействие с Роскомнадзором

Роскомнадзор вправе:

направлять запросы о предоставлении информации;
требовать ответы в установленный срок;
проводить плановые и внеплановые проверки;
выдавать предписания об устранении нарушений.

Оператор обязан своевременно и полно отвечать на запросы. Для этого целесообразно:

назначить контактное лицо (как правило, ответственного по ПДн);
иметь шаблоны ответов;
вести учет полученных запросов и отправленных ответов.

Документы, подтверждающие уничтожение персональных данных

Контроль уничтожения - один из ключевых элементов проверок.

Рекомендуемые документы:

приказ об уничтожении;
акт об уничтожении;
журнал (реестр) учета уничтожения;
при необходимости - технические отчеты или логи, подтверждающие выполнение операций.

Факт уничтожения должен быть подтвержден документально, а не только технически. Важно описать способы уничтожения (для бумажных и электронных носителей) и зафиксировать ответственных.

Меры по защите персональных данных и управление рисками

Согласно Федеральному закону № 152-ФЗ «О персональных данных» (ст. 18.1):

оператор самостоятельно определяет состав и перечень мер защиты персональных данных;
при этом такие меры должны быть достаточными и соразмерными рискам, связанным с обработкой ПДн, и обеспечивать выполнение требований законодательства.

На практике это означает, что формальный набор документов или технических средств не считается достаточным - организация должна выстроить работающую систему защиты, основанную на оценке рисков.

Ключевые элементы системы защиты

Система защиты персональных данных должна быть выстроена как управляемый процесс, а не набор формальных мер. Ключевые элементы:

1. Оценка рисков

определение состава и чувствительности обрабатываемых данных;
анализ мест хранения и способов обработки;
выявление угроз (утечки, несанкционированный доступ, утрата, модификация);
оценка возможного ущерба для субъектов и для бизнеса.

2. Модель угроз

описание потенциальных источников угроз;
выявление уязвимостей систем и процессов;
обоснование выбора мер защиты;
документирование результатов и периодическая актуализация.

3. Организационные меры

разграничение прав доступа сотрудников;
назначение ответственных лиц;
утверждение регламентов обработки ПДн;
обучение и инструктаж персонала;
оформление обязательств о неразглашении;
установление порядка работы с подрядчиками и партнерами.

4. Технические меры

системы контроля и управления доступом;
использование паролей и средств аутентификации;
антивирусная защита и средства защиты от вредоносного кода;
резервное копирование данных с проверкой возможности восстановления;
журналирование действий пользователей и администраторов;
защита каналов передачи данных (шифрование, VPN и т. д.).

5. Контроль и аудит

утверждение плана внутреннего контроля безопасности ПДн;
регулярные внутренние проверки;
фиксация результатов и выявленных нарушений;
разработка и реализация корректирующих мероприятий.

Конкретные формы контроля (журналы, отчеты, чек-листы, акты проверок) оператор определяет самостоятельно. Важно, чтобы можно было документально подтвердить, что проверки реально проводились и по их результатам принимались меры.

6. Реагирование на инциденты

выявление и фиксация инцидента;
локализация последствий;
восстановление данных и процессов;
анализ причин и предотвращение повторений.

Для инцидентов, которые могут привести к нарушению прав и законных интересов субъектов (например, утечки больших объемов данных), важно предусмотреть порядок:

анализа масштаба и последствий;
информирования руководства;
при необходимости - обращения в компетентные органы и информирования субъектов.

По мере развития регулирования могут появляться более конкретные требования к срокам и формату уведомлений о нарушениях безопасности ПДн, к этому также стоит быть готовым.

Ответственность за нарушения

Нарушение требований законодательства о персональных данных влечёт административную ответственность, которая на практике применяется достаточно активно.

Основные составы:

ст. 13.11 КоАП РФ - нарушения в сфере обработки ПДн

К ним относятся:

обработка персональных данных без законных оснований или согласия субъекта (при его необходимости);
несоблюдение условий хранения и защиты данных;
отсутствие обязательных документов (политики, согласий, ЛНА);
нарушение прав субъектов (например, непредоставление информации или отказ в доступе к данным);
незаконная передача данных третьим лицам;
нарушение требований к локализации ПДн.

Санкции:

предупреждение или штраф;
для должностных лиц и организаций - значительные административные штрафы (в ряде составов для юрлиц - до сотен тысяч рублей и выше);
возможны повторные штрафы при выявлении аналогичных нарушений;
при нескольких одновременно допущенных нарушениях возможно применение нескольких частей статьи.

ст. 19.7 КоАП РФ - непредставление сведений

Применяется, если организация:

не отвечает на запросы регулятора;
предоставляет неполную или недостоверную информацию;
нарушает сроки предоставления сведений в Роскомнадзор.

Практика применения

Судебная и надзорная практика показывает:

ответственность наступает даже за формальные нарушения (например, отсутствие ответа на запрос или несвоевременное уведомление);
не требуется доказательство утечки или ущерба - достаточно факта нарушения процедуры;
Роскомнадзор активно инициирует проверки и привлекает к ответственности;
часто выносятся предписания об устранении нарушений, обязательные к исполнению.

Невыполнение предписаний может привести к повторным санкциям и усилению контроля.

Особенности для отдельных сфер

Для ряда отраслей (прежде всего банковской и финансовой, операторов связи, крупных онлайн-сервисов) действуют повышенные требования к защите персональных данных и информационной безопасности.

Ключевые особенности:

Углублённое управление рисками

разработка частной (детализированной) модели угроз;
регулярная актуализация рисков с учётом новых угроз и изменений инфраструктуры.

Расширенные меры защиты

применение дополнительных технических средств защиты информации;
более строгие требования к доступу и аутентификации;
усиленный контроль операций с данными и администраторской активности.

Документирование и учет

ведение учета средств защиты информации;
фиксация всех значимых изменений в ИТ-инфраструктуре;
документирование инцидентов и мер реагирования.

Контроль и аудит

формирование и реализация подробного плана контроля безопасности;
регулярные внутренние и внешние проверки;
повышенные требования к отчетности и метрикам.

Практическое значение

Для таких организаций характерно:

более частое взаимодействие с регулятором;
повышенное внимание при проверках;
более строгая оценка достаточности мер защиты.

В результате требования к документам и фактической защите данных здесь существенно выше, чем в большинстве других отраслей.

Итоговый перечень документов

Важно: приведенный ниже перечень носит практический характер. Часть документов вытекает напрямую из закона (политика, уведомление, ЛНА и т. д.), часть - из риск-ориентированного подхода и примерных перечней регулятора. Конкретный набор и формы документов организация (оператор) определяет с учетом масштаба и рисков обработки.

Документ	Содержание
Политика обработки ПДн	Цели и правовые основания обработки; категории субъектов и данных (в том числе специальные и биометрические, при наличии); порядок передачи третьим лицам и трансграничной передачи; сроки хранения; порядок уничтожения; общие меры защиты; права субъектов и порядок их реализации
Согласие на обработку ПДн	Волеизъявление субъекта; перечень данных; цели и правовые основания обработки; способы обработки; срок действия; порядок отзыва и последствия; перечень получателей (при наличии); указание на трансграничную передачу (если есть)
Отдельные согласия (специальные, биометрические, трансграничные ПДн)	Подтверждение согласия субъекта на обработку специальных и биометрических ПДн, а также на трансграничную передачу; конкретизация целей, состава данных и получателей; усиленные предупреждения о рисках
Положение о защите ПДн	Общие правила обработки; разграничение доступа; порядок хранения и передачи; меры защиты; ответственность сотрудников; порядок рассмотрения обращений субъектов; действия при инцидентах
Приказ о назначении ответственного	Назначение ответственного лица; его полномочия; обязанности по контролю, обучению сотрудников, рассмотрению обращений субъектов и взаимодействию с регулятором
Инструкции сотрудников	Практические правила работы с ПДн; порядок доступа к системам; требования к хранению и передаче; правила работы с бумажными и электронными носителями; запреты и ограничения; порядок действий при инцидентах
Обязательства о неразглашении ПДн	Подтверждение обязанностей сотрудников по сохранению конфиденциальности; указание на ответственность; связь с иными ЛНА и трудовым договором
Приказ об утверждении перечня ИСПДн	Перечень информационных систем ПДн; категории и состав данных в каждой системе; цели обработки; ответственные за эксплуатацию и безопасность
Договоры с сотрудниками и контрагентами	Обязательства по защите ПДн; условия передачи данных; ответственность сторон; требования конфиденциальности; порядок возврата или уничтожения данных и носителей
Договоры поручения обработки ПДн с контрагентами	Детальное описание действий по обработке, которые выполняет контрагент; цели и объем обработки; требования к защите; запрет (или условия) субпоручения; порядок возврата/уничтожения данных по окончании договора
Регламент рассмотрения обращений субъектов ПДн	Сроки и порядок приема и обработки запросов субъектов; способы идентификации заявителя; ответственные лица; формы ответов; порядок реализации прав на доступ, уточнение, блокирование и уничтожение ПДн
Журналы и реестры учета операций с ПДн, обращений субъектов и мероприятий контроля	Фиксация ключевых операций с данными (например, сбор, передача, уничтожение), обращений субъектов и внутренних проверок; дата и ответственные лица; основания обработки или проверки. Формы и состав таких журналов оператор определяет самостоятельно исходя из рисков и объема обработки
Акт об уничтожении ПДн	Подтверждение факта уничтожения; дата; способ уничтожения; состав комиссии или ответственных лиц; перечень уничтоженных данных или носителей
Журнал (реестр) учета уничтожения ПДн	Учет всех случаев удаления/уничтожения данных или носителей; основания; даты; ответственные лица; ссылки на приказы и акты
Приказ об уничтожении ПДн	Основание для уничтожения (истечение срока, достижение цели, отзыв согласия и т. д.); перечень данных/носителей; назначение ответственных; порядок проведения процедуры
Уведомление в Роскомнадзор	Сведения об операторе; цели обработки; категории данных и субъектов; сведения об ИСПДн; описание мер защиты; контактные данные ответственного; сведения о трансграничной передаче (при наличии)
Ответы на запросы Роскомнадзора	Предоставление информации по запросам; подтверждение соблюдения требований; пояснения по обработке ПДн; приложенные документы; учет сроков и номера исходящих
Планы и отчеты по внутренним проверкам	План мероприятий по внутреннему контролю соблюдения требований; результаты проверок; выявленные нарушения; корректирующие действия. Не являются прямо обязательными, но значительно повышают устойчивость к проверкам
Модель угроз	Описание актуальных угроз безопасности ПДн; источники угроз; уязвимости; сценарии реализации угроз; связь с выбранными мерами защиты
Оценка рисков	Анализ вероятности и последствий инцидентов; оценка возможного ущерба для субъектов и организации; обоснование набора мер защиты и приоритетов внедрения
План контроля безопасности ПДн	Порядок внутреннего контроля; периодичность проверок; ответственные лица; процедуры устранения нарушений; формы отчетности по результатам контроля
Документы по трансграничной передаче ПДн	Перечень стран и получателей; основания и цели трансграничной передачи; ссылки на согласия субъектов; описание применяемых мер защиты и ограничений

Итог

Требования к защите персональных данных в 2026 году базируются на четырех ключевых принципах:

актуальность документов и их соответствие фактическим процессам;
фактическое применение мер защиты, а не формальная «наличие-галочка»;
корректное и своевременное взаимодействие с регулятором;
законность обработки (в том числе без согласия в предусмотренных законом случаях) и уважение прав субъектов.

Отсутствие или формальный характер документов может привести к:

штрафам;
предписаниям и внеплановым проверкам;
ограничениям на обработку данных;
судебным спорам и репутационным потерям.

Для малого и среднего бизнеса разумный подход - не пытаться сразу внедрить «полный ГОСТ-комплект» из десятков журналов и регламентов, а собрать базовый набор документов (политика, положение, приказы, договоры, согласия, акты уничтожения, регламент работы с запросами субъектов, уведомление в РКН) и постепенно наращивать детализацию по мере роста рисков и масштабов обработки.

Заключение

Хотя защита персональных данных может казаться сложной и формальной, на практике она является инструментом управления бизнесом.

Грамотно выстроенная система:

снижает риски утечек, штрафов и конфликтов с субъектами;
повышает доверие клиентов, партнеров и регуляторов;
структурирует внутренние процессы и ответственность;
обеспечивает устойчивость компании в условиях цифровой экономики и растущих требований к безопасности данных.

В цифровой экономике это уже не формальность, а базовый элемент зрелого бизнеса.