Перечень документов по 152-ФЗ: полный список для бизнеса 2026 — ПдПро
ПдПро
Документы
1 мин чтения·

Перечень документов по 152-ФЗ: полный список для бизнеса 2026

Перечень документов по 152-ФЗ: полный список для бизнеса 2026
Перечень документов по 152-ФЗ: полный список для бизнеса 2026

Для соответствия требованиям 152-ФЗ бизнесу необходимо разработать комплект из 18 обязательных и ряда условных документов под специфику деятельности. Без полного пакета компания нарушает закон даже при отсутствии реальных утечек данных — это признанная позиция РКН при плановых проверках.

Важно: С 01.09.2022 (266-ФЗ) требования к документированию существенно расширились: добавились обязательная оценка вреда субъектам, перечень угроз, план мероприятий по безопасности ИСПДн, журнал инцидентов и ряд других документов. Список «из 5 документов» образца 2018 года — устарел.

Цена вопроса: штрафы за отсутствие документов

Прежде чем разбирать состав пакета — несколько цифр из КоАП ст. 13.11 (в ред. 420-ФЗ, действует с 30.05.2025):

Нарушение Штраф для юрлица
Обработка ПД без основания (нет документов) 150 000 — 300 000 ₽
Неуведомление РКН об инциденте/утечке 1 000 000 — 3 000 000 ₽
Утечка данных 1–10 тыс. субъектов 3 000 000 — 5 000 000 ₽
Утечка данных >100 тыс. субъектов 10 000 000 — 15 000 000 ₽
Повторная утечка 1–3% годовой выручки

Скидка 50% при оплате штрафа для составов ст. 13.11 не применяется.

Оформить весь пакет документов под ваш бизнес через конструктор ПдПро: 10 минут и 2 990 ₽ против 15 000 — 50 000 ₽ за юриста и 3–14 рабочих дней ожидания. Получить полный комплект на pd-pro.ru/wizard →

Структура документов: три уровня

Документы по 152-ФЗ делятся на три уровня по назначению:

  1. Публичные — размещаются в открытом доступе для субъектов ПД
  2. Внутренние организационные — регламентируют работу внутри компании
  3. Операционные — используются в ежедневной работе (формы согласий, акты, журналы)

Блок I: Обязательные документы (18 штук — для всех операторов)

Все 18 документов ниже являются обязательными вне зависимости от типа бизнеса, наличия сайта или найма сотрудников. Основание — ст. 18.1, ст. 19, ст. 21, ст. 22 152-ФЗ и подзаконные НПА.

1. Политика в отношении обработки персональных данных

Основание: ч. 2 ст. 18.1 152-ФЗ

Что должна содержать:

  • Цели и правовые основания обработки
  • Перечень категорий ПД и категорий субъектов
  • Порядок и условия обработки, сроки хранения
  • Порядок уничтожения
  • Права субъектов и порядок их реализации
  • Контакты ответственного лица

Где размещать: на сайте в открытом доступе (обязательная ссылка в подвале). Если сайта нет — на информационном стенде.

Кто утверждает: руководитель организации.

2. Положение об обработке персональных данных

Основание: ст. 87 ТК РФ (для работодателей), ст. 18.1 152-ФЗ (в целом)

Внутренний документ — детальнее политики. Описывает процессы изнутри: перечень должностей с доступом, информационные системы, порядок хранения, уничтожения, реагирования на запросы субъектов и инциденты. С 01.07.2025 (23-ФЗ) должен содержать пункт о локализации баз данных с ПД граждан РФ на серверах в России.

3. Приказ о назначении ответственного за организацию обработки ПД

Основание: ч. 1 ст. 22.1 152-ФЗ

С 01.09.2022 (266-ФЗ) назначение ответственного — обязательное требование. Приказ должен содержать ФИО и должность назначаемого, перечень обязанностей и контактные данные для субъектов.

4. Перечень ПД и ИСПДн (реестр обрабатываемых персональных данных)

Основание: ст. 18.1 152-ФЗ, ПП РФ № 687

Внутренняя «карта» всех ПД в компании: категории данных, категории субъектов, цели обработки, правовые основания, место хранения, сроки, получатели (третьи лица). Является обязательным документом — не «рекомендуемым».

5. Регламент обращений субъектов

Основание: ст. 14–22 152-ФЗ

Описывает, как принимать и обрабатывать запросы субъектов: на доступ к данным, исправление, удаление, ограничение обработки. Закон устанавливает жёсткие сроки ответа (10–30 рабочих дней), нарушение которых фиксируется при проверках.

6. Регламент реагирования на инциденты (утечки ПД)

Основание: ст. 21 ч. 3.1 152-ФЗ, Приказ РКН № 187 от 14.11.2022

Введён с 01.09.2022 (266-ФЗ). Содержит: порядок обнаружения инцидента, принятие решения о его признании, подачу первичного уведомления в РКН через портал pd.rkn.gov.ru в течение 24 часов, подачу итогового уведомления с результатами расследования в течение 72 часов. Без готового регламента выдержать сроки практически невозможно.

Штраф за неуведомление об инциденте — 1–3 млн ₽ (ч. 11 ст. 13.11 КоАП).

7. Акт уничтожения персональных данных

Основание: ст. 21 ч. 7 152-ФЗ, Приказ РКН № 179 от 28.10.2022

Составляется при плановом уничтожении данных по истечении срока хранения или по требованию субъекта. Приказ РКН № 179 устанавливает обязательный состав акта: наименование и адрес оператора, дата, ФИО+должность уничтожившего, наименование ИСПДн, материальный носитель.

8. Перечень угроз безопасности (модель угроз ИСПДн)

Основание: ст. 19 152-ФЗ, ПП РФ № 1119 от 01.11.2012

Обязательный документ технической защиты. Определяет актуальные угрозы 1-го, 2-го или 3-го типа для информационных систем, в которых обрабатываются ПД, и устанавливает уровень защищённости (УЗ-1 — УЗ-4). От выбранного уровня зависит весь комплекс технических мер защиты.

9. Журнал учёта обращений субъектов

Основание: ст. 20–22 152-ФЗ

Фиксирует все запросы от субъектов ПД: дату обращения, суть запроса, принятое решение, дату ответа. При проверке РКН позволяет доказать соблюдение сроков.

10. Форма отзыва согласия на обработку ПД

Основание: ст. 9 ч. 2 152-ФЗ

Субъект вправе отозвать согласие в любой момент. Оператор обязан прекратить обработку и (или) уничтожить ПД в течение 30 дней. Наличие утверждённой формы отзыва — обязательное условие выполнения этого требования.

11. Оценка вреда субъектам ПД

Основание: ст. 18.1 ч. 1 п. 5 152-ФЗ, Приказ РКН № 178 от 27.10.2022

Обязательный документ, введённый с 01.03.2023. Оператор определяет степень вреда (высокая / средняя / низкая), который может быть причинён субъектам при нарушении закона. Результат оформляется актом оценки вреда с подписью ответственного.

12. Акт внутренней проверки обработки ПД

Основание: ст. 18.1 п. 4 152-ФЗ

Фиксирует результаты внутреннего контроля соответствия обработки ПД требованиям закона. Периодичность — не реже 1 раза в 3 года (по аналогии с требованиями к ИСПДн). Является доказательством системной работы оператора при проверке РКН.

13. Чеклист уведомления в РКН

Основание: ст. 22 152-ФЗ, Приказ РКН № 180 от 28.10.2022

Большинство операторов обязаны подать уведомление в РКН до начала обработки ПД (или при изменении данных). Приказ № 180 устанавливает три формы уведомлений. Чеклист обеспечивает полноту и корректность подачи.

14. Чеклист внедрения пакета документов

Основание: ст. 18.1 152-ФЗ (меры по внутреннему контролю)

Операционный документ контроля: фиксирует, какие документы разработаны, утверждены, доведены до сотрудников, размещены публично. Позволяет отслеживать статус соответствия и быстро выявлять пробелы.

15. Журнал учёта инцидентов с ПД

Основание: ст. 21 ч. 3.1 152-ФЗ, Приказ РКН № 187

Ведётся оператором для учёта всех зафиксированных инцидентов с ПД. Является доказательным документом при проверке: подтверждает, что оператор выявил инцидент, провёл расследование и уведомил РКН в установленные сроки.

16. Перечень лиц с доступом к ПД

Основание: ст. 18.1 152-ФЗ, ПП РФ № 1119 п. 13(в)

Утверждается руководителем. Определяет, какие должности имеют доступ к персональным данным и в каком объёме. Является основанием для разграничения прав в информационных системах. ПП РФ № 1119 прямо требует наличие этого документа уже при 4-м (базовом) уровне защищённости.

17. План мероприятий по безопасности ИСПДн

Основание: ст. 19 152-ФЗ, Приказ ФСТЭК № 21 от 18.02.2013

Обязательный документ технической защиты. Описывает комплекс организационных и технических мер защиты ПД в информационных системах в соответствии с установленным уровнем защищённости (УЗ-1 — УЗ-4). Разрабатывается на основании модели угроз (документ № 8 выше).

18. Журнал учёта машинных носителей ПД

Основание: ст. 19 152-ФЗ, ПП РФ № 687, Приказ ФСТЭК № 21

Ведётся учёт всех машинных носителей (флешки, жёсткие диски, съёмные накопители), на которых хранятся ПД. Требование распространяется как на автоматизированную, так и на неавтоматизированную обработку.

Итого 18 обязательных документов. Сформировать их автоматически под специфику вашего бизнеса: pd-pro.ru/wizard →10 минут, 2 990 ₽ (6 месяцев) или 4 990 ₽ (навсегда). Для сравнения: юрист — 15 000–50 000 ₽ и 3–14 рабочих дней.

Сводная таблица: 18 обязательных документов

# Документ Основание Публичный
1 Политика обработки ПД ч. 2 ст. 18.1 152-ФЗ Да
2 Положение об обработке ПД ст. 18.1, ст. 87 ТК РФ Нет
3 Приказ о назначении ответственного ч. 1 ст. 22.1 152-ФЗ Нет
4 Перечень ПД и ИСПДн ст. 18.1, ПП № 687 Нет
5 Регламент обращений субъектов ст. 14–22 152-ФЗ Нет
6 Регламент инцидентов (24ч/72ч) ст. 21 ч. 3.1, Приказ РКН № 187 Нет
7 Акт уничтожения ПД ст. 21 ч. 7, Приказ РКН № 179 Нет
8 Перечень угроз безопасности (ИСПДн) ст. 19, ПП РФ № 1119 Нет
9 Журнал обращений субъектов ст. 20–22 152-ФЗ Нет
10 Форма отзыва согласия ст. 9 ч. 2 152-ФЗ Нет
11 Оценка вреда субъектам ПД ст. 18.1 п. 5, Приказ РКН № 178 Нет
12 Акт внутренней проверки ст. 18.1 п. 4 152-ФЗ Нет
13 Чеклист уведомления в РКН ст. 22, Приказ РКН № 180 Нет
14 Чеклист внедрения пакета ст. 18.1 152-ФЗ Нет
15 Журнал учёта инцидентов ст. 21 ч. 3.1, Приказ РКН № 187 Нет
16 Перечень лиц с доступом к ПД ст. 18.1, ПП № 1119 п. 13(в) Нет
17 План мероприятий по безопасности ИСПДн ст. 19, Приказ ФСТЭК № 21 Нет
18 Журнал учёта машинных носителей ПД ст. 19, ПП № 687, ФСТЭК № 21 Нет

Блок II: Обязательный для всех — согласие клиента

Согласие клиента на обработку ПД — отдельный документ, необходимый при любом способе сбора данных (форма на сайте, бумажный договор, устный запрос).

Важно с 01.09.2025 (156-ФЗ от 24.06.2025): согласие оформляется отдельным документом — его нельзя включать в состав договора, оферты или иного документа. Встроенное согласие в договоре больше не соответствует требованиям.

Блок III: Условные документы (по специфике бизнеса)

ПдПро генерирует до 38 документов в зависимости от ответов на вопросы мастера. Ниже — условные документы, которые добавляются автоматически при наличии соответствующих факторов.

Если есть сотрудники

  • Согласие сотрудника на обработку ПД — для данных, выходящих за рамки ТК РФ
  • Обязательство о неразглашении ПД — подписывают все лица с доступом к ПД
  • Положение о ПД сотрудников — ст. 87 ТК РФ (глава 14)
  • Лист ознакомления сотрудников — подтверждает, что сотрудники ознакомлены с требованиями

Если есть сайт

  • Согласие для сайта (чекбокс) — для форм обратной связи, регистрации, заявок

Если есть сайт с аналитикой / счётчиками

  • Cookie-политика — требование законодательства ЕС (GDPR) и российской практики; формально не 152-ФЗ, но стандарт рынка

Если передаёте ПД подрядчикам/сервисам (поручение обработки)

Соглашение о поручении обработки ПД заключается с каждым сервисом, которому передаются ПД:

  • Договор поручения (CRM)
  • Договор поручения (доставка)
  • Договор поручения (рассылки)
  • Договор поручения (платежи)
  • Договор поручения (хостинг/облако) — ст. 6 ч. 3 152-ФЗ: передача ПД на серверы хостинг-провайдера требует договора поручения

С 01.07.2025 (23-ФЗ): хранение ПД граждан РФ в базах данных за рубежом запрещено. Если используете зарубежный хостинг — вопрос требует срочного решения.

Если используете зарубежные сервисы (трансграничная передача)

  • Согласие на трансграничную передачу ПД
  • Уведомление о трансграничной передаче в РКН — Приказ РКН № 128 (перечень 89 стран с адекватной защитой)

Если есть видеонаблюдение

  • Положение о видеонаблюдении
  • Табличка/уведомление о ведении видеозаписи

Если обрабатываете данные детей (несовершеннолетних)

  • Согласие родителя (законного представителя)

Если обрабатываете данные о здоровье (спецкатегории)

  • Согласие на обработку специальных категорий ПД — строго в письменной форме (ст. 10 152-ФЗ)

Если используете биометрию (СКУД, голос, лицо)

  • Согласие на обработку биометрических ПД — ст. 11 152-ФЗ, также в письменной форме

Если публикуете ПД в открытом доступе

  • Согласие на распространение ПД — ст. 10.1 152-ФЗ, Приказ РКН № 18

Актуальные изменения 2025–2026

Норма Суть Дата
266-ФЗ Масштабная реформа: инциденты 24/72ч, оценка вреда, трансграница через РКН 01.09.2022
23-ФЗ Запрет хранения ПД граждан РФ в БД за рубежом 01.07.2025
156-ФЗ Согласие — только отдельный документ, нельзя включать в договор 01.09.2025
420-ФЗ Новая редакция штрафов ст. 13.11 КоАП (до 15 млн ₽ и % выручки) 30.05.2025

Типичные ошибки при формировании пакета документов

Ошибка 1: Документы 2018–2020 года без обновления После 266-ФЗ (2022) добавились 6+ новых обязательных документов. Старый пакет формально неполный.

Ошибка 2: «Реестр ПД — необязателен» Перечень обрабатываемых ПД (pd_registry) — обязательный документ. Ошибочная трактовка как «рекомендуемого» приводит к нарушению ст. 18.1.

Ошибка 3: Нет оценки вреда и модели угроз Два технических документа — harm_assessment и threat_assessment — вошли в перечень обязательных с 01.03.2023 (Приказы РКН № 178, ПП № 1119). Большинство пакетов шаблонов 2022 года их не включают.

Ошибка 4: Нет соглашений с обработчиками CRM, сервисы рассылок, платёжные системы, хостинг — для каждого нужен договор поручения обработки ПД. Без него передача данных нарушает ст. 6 ч. 3 152-ФЗ.

Ошибка 5: Согласие встроено в договор С 01.09.2025 (156-ФЗ) это нарушение. Согласие должно быть отдельным документом с отдельной подписью.

Ошибка 6: Регламент инцидентов написан «для галочки» Без реальных контактов РКН, процедуры проверки и шаблона уведомления — при реальном инциденте 24-часовой срок будет нарушен.

Как навести порядок за 30 дней: план

Неделя 1: Аудит

  • Выявите все виды ПД, которые вы обрабатываете
  • Определите, где они хранятся и кто имеет доступ
  • Проверьте, какие документы уже есть, а каких не хватает из списка 18 обязательных

Неделя 2: Базовые документы

  • Назначьте ответственного (приказ)
  • Разработайте или обновите Политику
  • Разместите Политику на сайте

Неделя 3: Технические и операционные документы

  • Подготовьте перечень угроз (модель угроз ИСПДн) и оценку вреда
  • Разработайте план мероприятий по безопасности ИСПДн
  • Разработайте регламент инцидентов с реальными контактами РКН

Неделя 4: Финальные штрихи

  • Подпишите соглашения с обработчиками (CRM, хостинг, рассылки)
  • Получите подписи сотрудников под обязательствами о неразглашении
  • Проверьте, что согласие клиента оформлено отдельным документом (156-ФЗ)
  • Убедитесь, что ПД граждан РФ хранятся в БД на серверах в России (23-ФЗ)

ПдПро: все 18 обязательных и до 38 документов за 10 минут

Конструктор ПдПро автоматически формирует полный пакет документов под специфику вашего бизнеса: вы отвечаете на вопросы мастера (~10 минут), система определяет нужный набор из 18 обязательных + условных документов и генерирует готовые файлы Word.

Что входит:

  • Все 18 обязательных документов (актуальны на 2025–2026 г.)
  • Условные документы по типу бизнеса: сотрудники, сайт, аналитика, биометрия, трансграница, дети, здоровье, видеонаблюдение, хостинг
  • Документы соответствуют актуальным НПА: Приказы РКН № 178, 179, 187; ПП № 1119; Приказ ФСТЭК № 21; 156-ФЗ, 23-ФЗ

Стоимость: 2 990 ₽ (6 месяцев) или 4 990 ₽ (бессрочный доступ)

Для сравнения: юридическая консультация по 152-ФЗ — 15 000–50 000 ₽, срок — 3–14 рабочих дней. И это без гарантии, что юрист учтёт изменения 2025 года.

Получить все эти документы автоматически на pd-pro.ru/wizard →

Нужны документы по 152-ФЗ?

Проверьте свой бизнес бесплатно — узнайте какие документы нужны

Мы используем cookie для работы сервиса и аналитики. Подробнее