Документы по 152-ФЗ: полный перечень для организации в 2026 году
Полный список документов, которые обязана иметь каждая организация, обрабатывающая персональные данные. Разбираем 12 ключевых документов, последствия их отсутствия и стоимость разработки.
Документы по 152-ФЗ: полный перечень для организации в 2026 году
Проверка Роскомнадзора начинается с запроса документов. Не с осмотра серверной, не с анализа сайта — именно с бумаг. И если нужного документа нет, объяснение «мы всё делаем правильно, просто не оформили» не сработает. Разберём, какие документы обязательны для каждой организации, обрабатывающей персональные данные, и что грозит за их отсутствие.
Полный перечень обязательных документов
1. Политика обработки персональных данных
Публичный документ, который должен быть размещён на сайте организации. Описывает цели, правовые основания, категории данных, сроки хранения и права субъектов. Без неё — штраф от 30 000 до 60 000 рублей для юридических лиц.
2. Приказ о назначении ответственного за обработку ПДн
Конкретное лицо, которое отвечает за соблюдение требований закона. Без приказа Роскомнадзор фиксирует нарушение, даже если фактически кто-то этим занимается.
3. Согласия на обработку персональных данных
Важно: С сентября 2025 года согласия должны быть отдельными на каждую цель обработки. Включать согласие в трудовой договор «заодно» — нарушение. Каждая цель — отдельный документ.
4. Перечень информационных систем персональных данных (ИСПДн)
Реестр всех систем, в которых обрабатываются ПДн: 1С, CRM, кадровые системы, сайт, почта. Подробнее о классификации ИСПДн читайте в нашем материале об ИСПДн.
5. Модель угроз безопасности ПДн
Обязательна для организаций, которые обязаны обеспечивать безопасность ПДн по требованиям ФСТЭК. Описывает актуальные угрозы для каждой ИСПДн.
6. Акт определения уровня защищённости ПДн
Документ, фиксирующий установленный уровень защищённости (УЗ-1 — УЗ-4) для каждой ИСПДн. От уровня зависит набор обязательных мер защиты.
7. Положение об обработке персональных данных
Внутренний регламент: кто, какие данные, на каком основании и как обрабатывает. Доводится до сведения всех сотрудников под подпись.
8. Журнал учёта обращений субъектов ПДн
Фиксирует запросы граждан на доступ, уточнение и удаление их данных. Ответить на запрос нужно в течение 10 рабочих дней.
9. Приказ о допуске сотрудников к обработке ПДн
Перечень сотрудников, имеющих доступ к персональным данным. Все остальные — не должны иметь доступа.
10. Обязательства о неразглашении ПДн
Каждый сотрудник, работающий с персональными данными, подписывает обязательство. Действует и после увольнения.
11. Уведомление в Роскомнадзор
Уведомление об обработке персональных данных подаётся через портал РКН. Есть исключения (обработка только по трудовому законодательству), но большинство организаций обязаны уведомить.
12. Акт уничтожения персональных данных
Фиксирует факт уничтожения данных после достижения цели обработки или по запросу субъекта.
Сводная таблица: документы и последствия
| Документ | Кому обязателен | Последствие отсутствия |
|---|---|---|
| Политика обработки ПДн | Всем | Штраф 30 000–60 000 ₽ |
| Приказ об ответственном | Всем | Нарушение при проверке |
| Согласия (отдельные) | Всем, кто собирает ПДн | Штраф до 300 000 ₽ (повторно — до 500 000 ₽) |
| Перечень ИСПДн | Всем | Невозможно определить меры защиты |
| Модель угроз | Операторам с ИСПДн | Предписание ФСТЭК |
| Акт уровня защищённости | Операторам с ИСПДн | Предписание ФСТЭК |
| Положение об обработке | Всем | Нарушение при проверке |
| Журнал обращений | Всем | Штраф за нарушение прав субъектов |
| Приказ о допуске | Всем | Нарушение требований безопасности |
| Обязательства о неразглашении | Всем | Утечка без правовых последствий для виновного |
| Уведомление в РКН | Большинству | Штраф 5 000–10 000 ₽ |
| Акт уничтожения | Всем | Невозможно подтвердить уничтожение |
Минимальный набор для малого бизнеса
Если у вас небольшая компания (до 50 сотрудников, нет специальных категорий ПДн), минимальный комплект включает:
- Политику обработки ПДн (на сайт)
- Приказ об ответственном
- Согласия на обработку
- Положение об обработке
- Приказ о допуске сотрудников
- Обязательства о неразглашении
- Уведомление в РКН
Этого достаточно для прохождения базовой проверки. Стоимость разработки — от 15 000 ₽.
Полный комплект для средних и крупных организаций
Для компаний с несколькими ИСПДн, специальными категориями данных или подпадающих под требования ФСТЭК необходим расширенный комплект:
- Все 12 документов из перечня выше
- Регламент реагирования на инциденты
- Порядок оценки вреда субъекту ПДн
- Правила рассмотрения запросов субъектов
- Инструкции администраторов ИСПДн
Стоимость полного комплекта — от 60 000 ₽. Это инвестиция, которая окупается при первой же проверке.
Важно: Документы — не формальность. Роскомнадзор в 2025 году провёл более 1 000 плановых проверок, и отсутствие документов было самым частым основанием для штрафов. Готовые шаблоны для самостоятельной работы доступны в нашем разделе шаблонов.
Как мы помогаем
В рамках услуги комплаенс по 152-ФЗ мы разрабатываем полный пакет документов, адаптированный под специфику вашей организации. Это не шаблоны из интернета — каждый документ учитывает ваши ИСПДн, бизнес-процессы и отраслевые требования. Начать можно с экспресс-аудита, чтобы оценить текущий уровень соответствия.
Не уверены, все ли документы у вас в порядке? Пройдите экспресс-аудит за 2 минуты или свяжитесь с нами — проведём бесплатную консультацию и составим перечень недостающих документов.