Назад к блогу
  1. Главная
  2. Блог
  3. Для бизнеса
  4. Пакет документов по 152-ФЗ
23.04.26

Пакет документов по 152-ФЗ

В статье разберем, какие документы по 152-ФЗ обычно нужны бизнесу, что действительно обязательно, а что зависит от способа обработки персональных данных и структуры компании
Елена Астахова
Автор, юрист с опытом 5+

7 (22).png

Пакет документов по 152-ФЗ нужен почти каждому бизнесу, который работает с персональными данными: получает заявки с сайта, ведет базу клиентов, хранит данные работников, использует CRM, мессенджеры, рассылки или видеонаблюдение. Одной политики на сайте для этого недостаточно. Обычно нужен комплект документов: локальные акты, согласия, приказы, внутренние регламенты, а в ряде случаев — еще и уведомление в Роскомнадзор.

На практике у многих компаний есть только шаблонная политика, но нет остальных обязательных документов. Это создает риск претензий и штрафов, потому что проверяют не формальное наличие одного документа, а то, как в компании реально организована обработка персональных данных. Закон не дает одного закрытого списка бумаг, поэтому пакет всегда собирается под конкретный бизнес и его процессы.

В статье разберем, какие документы по 152-ФЗ обычно нужны, что обязательно почти всегда, а что зависит от специфики работы компании. Если не хотите разбираться в этом самостоятельно, оставьте заявку на бесплатную консультацию: юрист DestraLegal поможет определить, какой пакет документов нужен именно вашему бизнесу.

%%type:widget, id:business, name:quiz%%

Оглавление

Что такое пакет документов по 152-ФЗ и кому он нужен

Пакет документов по 152-ФЗ — это набор внутренних и внешних документов, которыми компания или ИП оформляет работу с персональными данными. Речь не об одном шаблоне политики на сайте, а о системе документов: политике обработки персональных данных, локальных актах, согласиях, приказах, формах для работников и клиентов, а в ряде случаев — еще и уведомлении в Роскомнадзор. Закон прямо обязывает оператора принимать меры, необходимые и достаточные для соблюдения требований о персональных данных, а также публиковать политику обработки персональных данных.

Такой пакет нужен любому оператору персональных данных. Оператором считается не только крупная компания, но и практически любой бизнес, который сам организует обработку данных: собирает заявки с сайта, ведет клиентскую базу, хранит данные работников, использует CRM, мессенджеры, видеонаблюдение, пропускную систему или email-рассылки. Сам факт того, что вы получаете, храните, передаете или удаляете данные людей, уже может означать, что на вас распространяются требования 152-ФЗ.

На практике пакет документов нужен, чтобы подтвердить, что обработка данных организована по правилам. Роскомнадзор прямо указывает среди обязанностей оператора:

  • до начала обработки уведомить ведомство в предусмотренных законом случаях;
  • опубликовать политику;
  • принять локальные акты и иные документы, регулирующие обработку и защиту персональных данных;
  • а также назначить ответственных и обеспечить меры защиты.

Поэтому этот вопрос касается почти любого бизнеса. Отличается не сам принцип, а состав пакета: обязательный минимум есть почти у всех, а дополнительные документы зависят от того, какие именно данные вы обрабатываете, кому их передаете и какие процессы используете внутри бизнеса.

Какие документы по персональным данным обязательны почти для каждого оператора

Универсального закрытого списка в 152-ФЗ нет. Но обязательный минимум у большинства операторов все же есть. Роскомнадзор прямо указывает, что оператор должен опубликовать политику обработки персональных данных, принять меры для соблюдения закона, а в предусмотренных случаях — до начала обработки уведомить Роскомнадзор.

Обычно в базовый пакет входят:

  • политика в отношении обработки персональных данных. Это внешний документ, который публикуют на сайте или иным образом делают доступным;
  • локальный акт по вопросам обработки персональных данных. На практике это часто положение об обработке и защите персональных данных;
  • приказ о назначении ответственного за организацию обработки персональных данных, если оператор — юридическое лицо;
  • формы согласий на обработку персональных данных, если обработка строится на согласии;
  • документы, которые подтверждают внутренний контроль, порядок доступа к данным, правила работы сотрудников с персональными данными и меры защиты. Требование о принятии таких мер вытекает из статьи 18.1 Закона о персональных данных.

Если у бизнеса есть сайт с формой заявки, личный кабинет, кадровый учет, CRM, рассылки или видеонаблюдение, пакет обычно расширяется. Появляются отдельные согласия, регламенты доступа, документы по хранению и уничтожению данных, а также уведомление в Роскомнадзор, если нет исключений.

Поэтому правильнее смотреть на пакет документов как на обязательный минимум плюс документы под конкретные процессы бизнеса.

Политика обработки персональных данных: что это и что в ней писать

Политика обработки персональных данных — это основной документ по 152-ФЗ, который показывает, как оператор работает с персональными данными. Закон прямо требует опубликовать такую политику или иным образом обеспечить к ней неограниченный доступ. А если данные собираются через сайт, политика должна быть размещена именно там, где идет сбор данных.

Проще говоря, задача политики — объяснить субъектам персональных данных, какие данные вы собираете, зачем это делаете, на каком основании, как долго храните данные, кому можете их передавать и какие права есть у человека, чьи данные обрабатываются. Именно отсутствие такой политики или формальный шаблон без содержания часто становится одной из первых претензий при проверках.

Обычно в политике указывают:

  • оператора и его контакты;
  • цели обработки персональных данных;
  • категории субъектов и категории данных;
  • правовые основания обработки;
  • перечень действий с персональными данными;
  • сроки обработки и хранения;
  • условия передачи данных третьим лицам;
  • права субъекта персональных данных;
  • сведения о мерах защиты данных;
  • порядок направления запросов и обращений.

При этом важно, чтобы политика совпадала с тем, как бизнес реально работает. Если у вас есть сайт с формой заявки, CRM, кадровый учет, мессенджеры, рассылки или видеонаблюдение, это должно быть отражено в документе.

Локальные акты, приказы и формы согласий

Одной политики обработки персональных данных для бизнеса обычно недостаточно. Помимо нее, оператору нужны внутренние документы, которые описывают, как именно компания работает с персональными данными на практике: кто имеет к ним доступ, кто отвечает за организацию обработки, по каким правилам данные получают, хранят, передают и уничтожают. Закон прямо требует принимать меры, необходимые и достаточные для соблюдения требований 152-ФЗ, а для юридических лиц — назначать ответственного за организацию обработки персональных данных.

На практике в этот блок обычно входят:

  • локальный акт об обработке и защите персональных данных;
  • приказ о назначении ответственного;
  • документы о разграничении доступа к данным;
  • внутренние правила для работников и формы обязательств о неразглашении.

Конкретное название документа может отличаться, но смысл один: у компании должны быть не только общие декларации, но и рабочие правила. Роскомнадзор в своих методических материалах прямо пишет, что закон не содержит закрытого перечня документов, но позволяет сформировать обязательный минимум, который должен быть у каждого оператора.

Отдельный блок — согласия на обработку персональных данных. Они нужны не всегда, а только когда обработка действительно строится на согласии, а не на ином законном основании. Если согласие используется, его форма должна быть оформлена корректно: в нем обычно указывают оператора, цель обработки, перечень данных, перечень действий с ними, способы обработки и срок действия согласия.

На практике это хорошо видно на примере согласия, которое мы готовили для ИП, оказывающего дизайнерские услуги. Задача была аконно оформить ситуацию, при которой исполнитель хочет размещать данные клиента в портфолио и маркетинговых материалах.

Поэтому в документе мы отдельно указали, кто дает согласие, кто является оператором, какие именно данные могут распространяться — ФИО, электронная почта, изображения и фотографии, где именно они будут размещаться — на конкретном сайте, а также для каких целей это делается: исполнение обязательств по договору и маркетинговое продвижение услуг.

18 - 2026-04-23T021726.794.png

18 - 2026-04-23T021921.230.png

Кроме того, в согласии были предусмотрены срок действия, порядок отзыва и даже варианты условий распространения данных — от разрешения только доступа к данным до возможности установить индивидуальные ограничения. То есть документ был составлен не абстрактно, а под конкретную модель использования персональных данных в бизнесе.

18 - 2026-04-23T021946.535.png

Образец документа: согласие на обработку персональных данных.
Скачать шаблон

Поэтому пакет документов по 152-ФЗ почти всегда не ограничивается политикой обработки персональных данных.

Нужно ли уведомлять Роскомнадзор

Во многих случаях — да. Общее правило такое: оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о намерении их обрабатывать, если не применяется одно из исключений, прямо указанных в законе. Это следует из статьи 22 Закона о персональных данных.

На практике это означает, что большинству компаний и ИП, которые собирают данные клиентов, работников, соискателей или пользователей сайта, уведомление обычно нужно. Сам Роскомнадзор прямо пишет, что операторы должны уведомлять о начале или осуществлении любой обработки персональных данных, кроме случаев из части 2 статьи 22.

Исключения есть, но их немного. Без уведомления допускается обработка, например, исключительно без средств автоматизации, а также отдельные специальные случаи, перечисленные в законе, связанные с безопасностью государства, общественным порядком и транспортной безопасностью.

Подать уведомление можно через портал персональных данных Роскомнадзора по утвержденной форме. Причем обязанность не заканчивается на одной подаче: если сведения меняются, оператор должен сообщить об изменениях не позднее 15-го числа месяца, следующего за месяцем таких изменений, а при прекращении обработки — уведомить Роскомнадзор в течение 10 рабочих дней. Сам Роскомнадзор вносит сведения в реестр операторов в течение 30 дней с даты поступления уведомления.

Поэтому вопрос об уведомлении лучше проверять в самом начале, когда вы собираете пакет документов по 152-ФЗ.

Какие ошибки в документах встречаются чаще всего

Самая частая ошибка — считать, что для соблюдения 152-ФЗ достаточно одной политики на сайте. На практике этого мало. У оператора должны быть не только публичная политика, но и внутренние документы, которые реально регулируют обработку и защиту персональных данных: локальные акты, приказы, формы согласий, правила доступа и иные меры, предусмотренные статьей 18.1 Закона о персональных данных.

Вторая типичная проблема — шаблонные документы, которые не совпадают с реальными процессами бизнеса. Например, в политике написано одно, а фактически компания собирает данные через сайт, CRM, мессенджеры, рассылки и видеонаблюдение, но это нигде не отражено. Закон требует, чтобы обработка была ограничена конкретными, заранее определенными и законными целями, а документы должны это показывать.

Отдельный блок ошибок связан с согласиями. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. На практике проблемы возникают, когда в одном тексте смешивают несколько целей, не указывают перечень данных, не объясняют, какие действия с ними будут совершаться, или оформляют согласие так, что человек не может ясно выразить волю. Роскомнадзор прямо относит к типовым нарушениям отсутствие возможности волеизъявления согласия субъекта.

Еще одна распространенная ошибка — проблемы с уведомлением Роскомнадзора. Операторы либо вообще не подают уведомление, хотя должны, либо делают это с неточностями. Роскомнадзор отдельно публикует типичные ошибки при заполнении уведомлений: неполные сведения об операторе, расплывчатое описание категорий данных, использование формулировок вроде «и др.» или «иная информация», отсутствие четкого указания целей и способов обработки.

Наконец, часто забывают, что документы по персональным данным должны не просто существовать, а применяться на практике. Если приказ о назначении ответственного есть, но никто не понимает, кто отвечает за запросы субъектов, кто выдает доступ сотрудникам и как уничтожаются данные, такой пакет документов остается формальным.

Если вы не уверены, какие документы по 152-ФЗ нужны именно вашему бизнесу, оставьте заявку на бесплатную консультацию. Юрист DestraLegal поможет определить обязательный минимум, выявит пробелы в документах и подскажет, как оформить обработку персональных данных без лишних рисков.

%%type:widget, id:business, name:quiz%%

Отстаивайте свои права с DestraLegal. Это просто 💙

%%type:compensation, id:business%%

Помощь юриста
Юрист решит вашу проблему под ключ. Узнайте шансы на успех и задайте вопросы бесплатно.

Задать вопрос

Помощь юриста
Юрист проконсультирует, составит документы за вас и подаст их. Узнайте шансы на успех и задайте вопросы бесплатно.
lawyers
Юристы DestraLegal.ru готовы помочь

Задать вопрос

lawyers
Юристы DestraLegal.ru готовы помочь
Остались вопросы? Спросите юриста
Вам ответит автор статьи
Имя
Телефон *
Задать вопрос
Читайте другие статьи
Смотреть все
Пакет документов по 152-ФЗ
23.04.26
Публичная оферта для интернет-магазина
23.04.26
Как составить досудебную претензию контрагенту
22.04.26
Смотреть все
4.95 57
+7 800 775 78 24
Бесплатная консультация
DestraLegal.ru — ведущий legaltech сервис России. Наша технологическая платформа делает правовую защиту доступной для широкого потребителя, и позволяет решать тысячи споров в месяц на порядок дешевле классических юристов. В большинстве случаев платформа полностью заменяет юриста и за счет этого мы можем решать тысячи споров в месяц в десятки раз дешевле конкурентов.
Партнерская программа
Контакты
Наши авторы
Решить ситуацию
Вернуть товар
Оспорить штраф за нарушение масочного режима
Оспорить штраф за нарушение ПДД
Вернуть трудовую книжку
Взыскать заработную плату
Незаконное увольнение
Взыскать компенсацию по ДДУ с застройщика
Взыскать ущерб с соседей
документы
Жалоба за нарушение режима ношения масок
Претензия виновнику ДТП
Претензия к застройщику о соразмерном уменьшении цены ДДУ
Претензия продавцу о возврате дистанционно приобретённого товара
Заявление об отказе от страховки по кредиту
Иск к исполнителю в связи с некачественно оказанной услугой
Жалоба в Роспотребнадзор о перерасчете платы за некачественные коммунальные услуги
Претензия работодателю при незаконном увольнении
блог
Вернуть деньги за онлайн-курсы Skillbox
Как вернуть покупку в магазин?
Возврат страховки при досрочном погашении кредита
Как вернуть деньги за онлайн-курсы
Вернуть деньги за подписку
Как оспорить штраф за парковку в Москве
Возврат денег за онлайн-курсы
Банкротство физических лиц
калькуляторы
Неустойка за невыплату страхового возмещения по ОСАГО
Расчёт алиментов в твёрдой денежной сумме
Расчет неустойки при расторжении ДДУ
Расчет неустойки за недостатки квартиры по ДДУ
Расчет неустойки за просрочку по ДДУ
Расчет компенсации за задержку зарплаты
Расчет компенсации за задержку выдачи трудовой книжки
Неустойка за невыполнение требования покупателя
Неустойка за непредоставление подменного товара
Политика конфиденциальности
ООО "ДЕСТРА ЛИГАЛ ТЕХ" ИНН: 9717074771 ОГРН: 5187746027442
Пользовательское соглашение
Карта сайта
Поддержка