Документы по персональным данным (ПДн) в 2026 году — это не «папка для проверки», а управляемая система. Она связывает процессы, людей, информационные технологии и контроль в единый механизм. При проверках критичнее всего не наличие отдельных «бумажек», а доказуемость того, что оператор выполняет меры по 152‑ФЗ: издал локальные акты, назначил роли, выстроил контроль и обучил персонал.

Часть 1: Исчерпывающий перечень необходимых документов по персональным данным

Классификация документов по целям и блокам

Набор документов по ПДн — это система. Она строится вокруг «ядра» (приказы + политика/положение), затем «режима» (перечни, доступ, контроль), затем «операционки» (инструкции, журналы), затем «оценки» (акты), затем «оснований» (согласия), затем «встраивания в HR/договоры», затем «контура РКН», затем «форм и рекомендаций».

Блок 1. Запуск процесса организации обработки ПДн

1.1. Приказ об организации обработки ПДн → Запускает контур ПДн: роли, документы, контроль.

1.2. План работ по организации обработки ПДн → Превращает комплаенс в проект со сроками и ответственными.

1.3. Положение об обработке и защите ПДн → Внутренние правила обработки и защиты (особенно для работников).

1.4. Политика в отношении обработки ПДн → Публичные правила оператора (обычно размещается на сайте).

Блок 2. Режим обработки и обеспечения безопасности

2.1. Приказ о персональных данных → Закрепляет режим ПДн и вводит «комплект» в действие.

2.2. Перечень ПДн, обрабатываемых оператором → «Источник правды»: какие ПДн и для чего.

2.3. Перечень информационных систем персональных данных (ИСПДн) → Фиксирует, где именно обрабатываются ПДн (ИТ‑контур).

2.4. Перечень допущенных к обработке ПДн → Ограничивает доступ по принципу «только тем, кому нужен для исполнения должностных обязанностей».

2.5. Система разграничения доступа к ИСПДн → Описывает роли, права, выдачу и отзыв доступов.

2.6. Регламент внутреннего контроля → Процедура проверок соблюдения ПДн и устранения нарушений.

2.7. Инструкция по уничтожению ПДн → Порядок уничтожения по срокам и целям, с фиксацией.

2.8. Приказ о выделении помещений ПДн → Физические места хранения и обработки, а также режим доступа.

Блок 3. Операционные регламенты и журналы

3.1. Регламент по защите ПДн в ИСПДн → Правила безопасной работы пользователей и администраторов.

3.2. Инструкция администратора безопасности ИСПДн → Обязанности и процедуры технической роли.

3.3. Регламент реагирования на компьютерные инциденты → Порядок выявления, учета и устранения инцидентов.

3.4. Журнал учета машинных носителей ПДн → Учет выдачи, возврата и движения носителей.

3.5. Журнал учета обращений субъектов ПДн → Контроль сроков и результатов ответов субъектам.

3.6. Журнал внутреннего контроля → Фиксация проверок и корректирующих действий.

Блок 4. Оценка риска и уровня защиты

4.1. Акт оценки вреда субъектам ПДн → Оценка потенциального вреда для выбора мер защиты.

4.2. Акт определения уровня защищенности ПДн → Определение уровня защищенности (УЗ) в ИСПДн как база мер защиты.

Блок 5. Согласия

5.1. Согласие работника на обработку ПДн → Согласие, когда оно требуется по выбранному основанию.

5.2. Модульное согласие работника на передачу третьим лицам → Конкретизация получателей, целей и данных.

5.3. Разовое согласие на передачу третьему лицу → Точечная передача под конкретный кейс.

5.4. Согласие на распространение ПДн → Отдельный режим публичного раскрытия.

5.5. Согласие соискателя на обработку ПДн → Легализация обработки на этапе подбора.

5.6. Согласие для сайта → Согласие пользователя через формы и чек‑боксы.

Блок 6. Встраивание в HR и договоры

6.1. Изменения в должностную инструкцию ответственного за ПДн → Фиксирует полномочия DPO/ответственного.

6.2. Изменения в ДИ допущенного работника → Правила и ответственность «на земле».

6.3. Изменения в ДИ администратора безопасности → Технический контур обязанностей по защите.

6.4. Обязательство о неразглашении ПДн → Персональная конфиденциальность под подпись.

6.5. Изменения трудового договора для доступа к ПДн → Закрепляет режим ПДн в трудовых условиях.

6.6. Изменения в договор ГПХ с внештатным работником → Режим ПДн для подрядчиков‑физлиц.

6.7. Договор поручения обработки ПДн → Обязательные условия для обработчика.

6.8. Соглашение о конфиденциальности (NDA) → Режим конфиденциальности с контрагентами.

Блок 7. Уведомления Роскомнадзора

7.1. Уведомление об обработке ПДн (инструкция) → Как подать уведомление по ст. 22 152‑ФЗ.

7.2. Уведомление о внесении изменений в реестр (инструкция) → Как актуализировать запись в реестре операторов.

7.3. Уведомления о трансграничной передаче (инструкция + формы) → Запуск трансграничной передачи до её начала.

Блок 8. Формы и рекомендации

8.1. Акт приема‑передачи носителей ПДн → Документирует передачу носителей.

8.2. Акт об уничтожении носителей ПДн → Подтверждает уничтожение носителей.

8.3. Рекомендации для сайтов и приложений → Практические правила для взаимодействия онлайн.

8.4. Рекомендации по трансграничной передаче → Организационный процесс трансграничной передачи.

8.5. Лист ознакомления с законодательством → Доказательство обучения или ознакомления под подпись.

Часть 2: Детальное описание каждого документа по ПДн

1. Первичные организационно-распорядительные документы в области персональных данных

1.1. Приказ об организации обработки персональных данных

Назначение
Это стартовый «рубильник». После подписания приказа вы формально запускаете систему: назначаете ответственных, вводите локальные акты, задаете контроль исполнения.

Что внутри
Обязательные пункты: назначение ответственного за организацию обработки ПДн; перечень поручений (разработать/утвердить ЛНА, провести инвентаризацию, настроить доступы, организовать обучение); введение в действие ключевых документов (обычно Положение 1.3 и/или Политику 1.4); контроль исполнения и сроки.

На что опирается в законе
Прямая привязка к п. 2 ч. 1 ст. 18.1 152‑ФЗ: оператор обязан издавать документы (политику и локальные акты) и обеспечивать процедуры, а приказ — управленческая форма запуска этих мер.

Практическая польза
Приказ отвечает на вопрос проверяющего «кто за что отвечает» и «когда вы это внедрили». Он же «легитимизирует» работу ИТ и HR: доступы, инструкции, ознакомления становятся исполнением приказа, а не «самодеятельностью».

1.2. План работ по организации обработки персональных данных

Назначение
Сделать комплаенс измеримым: задачи, сроки, ответственные, отметки выполнения.

Что внутри
Табличный план на год: мероприятия (документы, инвентаризация ИСПДн, назначение ролей, проведение комиссий/проверок), сроки и ответственные, статус выполнения.

На что опирается в законе
Как и приказ 1.1, закрывает требование о мерах оператора по п. 2 ч. 1 ст. 18.1 152‑ФЗ: «меры должны быть организованы», а план — форма управляемости.

Практическая польза
План — ваш щит от «у вас есть документы, но они не работают». Он также связывает разделы: например, инвентаризация из Недели 1 в алгоритме (см. раздел 3.2) превращается в пункты плана с реальными сроками.

1.3. Положение об обработке и защите персональных данных

Назначение
Установить внутренние правила обработки и защиты ПДн, особенно в трудовой части (работники, доступы, ответственность).

Что внутри
Термины и принципы; цели обработки; состав ПДн; порядок сбора, хранения, использования, передачи; правила доступа и конфиденциальности; права и обязанности работников и оператора; меры защиты и ответственность; контроль и порядок реагирования.

На что опирается в законе
Это «локальный каркас» мер по ст. 18.1 152‑ФЗ, который не должен ограничивать права субъектов и должен описывать процедуры по целям, срокам, уничтожению.

Практическая польза
Положение — главный внутренний документ для HR и подразделений: на него ссылаются изменения в трудовых договорах (6.5), обязательства о неразглашении (6.4), листы ознакомления (8.5). Без него согласия и журналы часто становятся «висящими» и несогласованными с реальностью (см. раздел 3.4 про ошибки).

1.4. Политика в отношении обработки персональных данных (политика обработки ПДн)

Назначение
Публично объяснить, как оператор обрабатывает ПДн: цели, категории, основания, сроки, права субъектов, меры защиты, контакты.

Что внутри
Структура: категории субъектов и ПДн; цели обработки; правовые основания; сроки хранения; порядок реализации прав субъектов; меры защиты; реквизиты оператора и порядок обращений.

На что опирается в законе
Ч. 2 ст. 18 152‑ФЗ закрепляет обязанность оператора обеспечить доступ к политике при сборе ПДн, в том числе через Интернет.

Практическая польза
Политика — первый документ, который смотрят заявители и РКН в «публичной» части. Но она должна опираться на реальные перечни (2.2, 2.3) и процессы, иначе противоречия легко доказываются журналами, формами сайта и договорами.

2. Документы, определяющие режим обработки и защиты персональных данных

2.1. Приказ о персональных данных

Назначение
Закрепить режим ПДн в действии: утвердить комплекс документов, назначить администрирование, определить контроль.

Что внутри
Список утверждаемых/вводимых документов и перечней; назначение административных ролей; контроль исполнения; ссылка на нормативные основания режима.

На что опирается в законе
Логика та же, что у 1.1: меры оператора по ст. 18.1 152‑ФЗ должны быть оформлены документально и введены в действие.

Практическая польза
Это «приказ‑склейка»: он юридически соединяет все документы в единый комплект и позволяет показать проверяющему дату ввода системы в эксплуатацию. В связке с 1.1 он разделяет «старт проекта» и «режим функционирования».

2.2. Перечень персональных данных, обрабатываемых оператором

Назначение
Зафиксировать, какие именно ПДн вы обрабатываете, и исключить лишнее.

Что внутри
Табличная структура: категории субъектов (работники, кандидаты, клиенты, посетители сайта и т.д.); категории/перечень ПДн; цели; способы; сроки хранения; основания; кому передаете.

На что опирается в законе
В ст. 18.1 152‑ФЗ прямо указано, что локальные акты должны определять для каждой цели категории и перечень ПДн, категории субъектов, способы, сроки и порядок уничтожения.

Практическая польза
Это «источник правды» для всего: Политики 1.4, форм согласий раздела 5, договоров поручения (6.7), актов (4.1–4.2), регламентов ИСПДн (3.1–3.3). Как указано в разделе 3.2, именно с 2.2 удобно начинать внедрение, потому что без перечня вы не сможете корректно описать цели, данные и сроки нигде дальше.

2.3. Перечень информационных систем персональных данных (ИСПДн)

Назначение
Понять и зафиксировать, где реально хранятся ПДн: CRM, 1С, кадровые системы, почта, файловые ресурсы, облака.

Что внутри
Список ИСПДн: название системы, назначение, место размещения, ответственные, категории данных, пользователи/роли, интеграции.

На что опирается в законе
Требование о мерах защиты и контролируемости обработки в ИСПДн вытекает из ст. 19 152‑ФЗ, а документ прямо «привязан» к мерам по защите.

Практическая польза
Перечень ИСПДн — вход для ИТ: без него невозможно корректно сделать акт уровня защищенности (4.2) и систему разграничения доступа (2.5). Он также помогает выявить «теневые» каналы: личные почты, мессенджеры, Excel‑таблицы на общих дисках.

2.4. Перечень должностных лиц, допущенных к обработке персональных данных

Назначение
Ограничить доступ к ПДн по принципу «кому нужно — тому можно» и закрепить персональную ответственность.

Что внутри
Список должностей/ролей с допуском; иногда — список систем/процессов, к которым допуск предоставляется, и основание допуска (функции).

На что опирается в законе
Логика мер защиты и ограничения доступа следует из ст. 19 152‑ФЗ (контроль доступа и предотвращение несанкционированного доступа).

Практическая польза
Документ связывает HR и ИТ: должность попадает в перечень → ИТ выдает роль/права в ИСПДн (2.5) → сотрудник подписывает обязательство (6.4) и ознакомление (8.5). При расследовании инцидента он отвечает на вопрос «кто вообще имел право видеть эти данные».

2.5. Система разграничения доступа к ИСПДн

Назначение
Описать модель доступа в ИСПДн: роли, права, правила выдачи и отзыва.

Что внутри
Ролевой перечень; матрица прав; процедура создания учетной записи; смена/блокировка; периодический пересмотр; правила администрирования и регистрации действий.

На что опирается в законе
Ст. 19 152‑ФЗ требует организационные и технические меры, включая управление доступом и предотвращение несанкционированного доступа.

Практическая польза
Это документ, который превращает «перечень допущенных» (2.4) в исполнимую ИТ‑процедуру. Он также поддерживает регламент по защите в ИСПДн (3.1) и обязанности администратора безопасности (3.2, 6.3).

2.6. Регламент осуществления внутреннего контроля

Назначение
Сделать внутренний контроль регулярным и доказуемым: что, кто, как и как устраняем нарушения.

Что внутри
Периодичность; объекты контроля (ЛНА, согласия, журналы, доступы, уничтожение, сайт); чек‑вопросы; оформление результатов; корректирующие меры и сроки.

На что опирается в законе
П. 4 ч. 1 ст. 18.1 152‑ФЗ прямо требует внутренний контроль и/или аудит соответствия обработки ПДн и ЛНА.

Практическая польза
Регламент — «мозг», а журнал внутреннего контроля (3.6) — «память». Вместе они показывают, что система не замерла после утверждения документов.

2.7. Инструкция по уничтожению ПДн

Назначение
Регламентировать законное уничтожение ПДн по истечении сроков или при достижении целей, включая электронные и бумажные носители.

Что внутри
Основания уничтожения; роли и комиссия; способы уничтожения для разных носителей; сроки и порядок оформления результатов (акт/журнал); контроль выполнения.

На что опирается в законе
Ч. 7 ст. 21 152‑ФЗ устанавливает обязанность уничтожения ПДн при достижении цели обработки или при утрате необходимости, если иное не предусмотрено законом.

Практическая польза
Инструкция закрывает типовую «дыру»: компании собирают данные, но никогда не уничтожают. В связке с актом уничтожения носителей (8.2) и журналом носителей (3.4) она создает замкнутый цикл.

2.8. Приказ о выделении помещений (мест хранения и обработки) ПДн

Назначение
Зафиксировать физические зоны, где обрабатываются/хранятся ПДн, и режим доступа в них.

Что внутри
Перечень помещений (адрес/кабинет); режим доступа; ответственные; контроль исполнения; порядок ознакомления.

На что опирается в законе
Требование физической защиты и организационного режима, в т.ч. по местам хранения, отражено в подзаконных требованиях к обработке ПДн (в файле указано ПП РФ № 687).

Практическая польза
Это быстрый документ для закрытия «офисных» рисков: шкафы с личными делами, архивы, места приема посетителей, рабочие места HR. Он также помогает обосновать меры доступа при проверке (ключи, журналы посещений, пропускной режим).

3. Инструкции по работе в ИСПДн и журналы учета

3.1. Регламент по защите персональных данных в ИСПДн

Назначение
Дать пользователям и ИТ единые обязательные правила безопасной работы с ПДн в системах.

Что внутри
Правила паролей и смены; требования к блокировке рабочих мест; запреты на простые пароли; правила работы с носителями; требования к сетевой дисциплине; общие правила информационной безопасности при обработке ПДн.

На что опирается в законе
Ст. 19 152‑ФЗ: оператор обязан принимать необходимые меры для защиты ПДн от несанкционированного доступа, утечек, модификации и т.д.

Практическая польза
Это документ, который реально меняет поведение пользователей. Он также дает основу для дисциплинарной ответственности: «правило было, сотрудник был ознакомлен» (см. 8.5).

3.2. Инструкция администратора безопасности ИСПДн

Назначение
Закрепить операционные обязанности администратора безопасности: доступы, настройки, учет событий, взаимодействие при инцидентах.

Что внутри
Перечень функций: контроль конфигураций, управление доступом, учет событий, работа с носителями, действия при нарушениях, взаимодействие с ответственным за ПДн и ИТ.

На что опирается в законе
Ст. 19 152‑ФЗ про меры защиты и организацию их применения в ИСПДн.

Практическая польза
Убирает «бесхозность» ИБ‑задач. При проверке вы показываете: есть роль, есть инструкция, есть фактические журналы/контроль (3.4–3.6).

3.3. Регламент реагирования на компьютерные инциденты

Назначение
Описать порядок выявления, регистрации, классификации и устранения инцидентов, затрагивающих ПДн.

Что внутри
Определения инцидентов; роли; последовательность действий; формы регистрации; сроки и документирование; взаимодействие между ИТ, безопасностью, ответственным за ПДн.

На что опирается в законе
Меры защиты и реагирования на нарушения следуют из ст. 19 и 21 152‑ФЗ (обеспечение безопасности и устранение последствий).

Практическая польза
Позволяет действовать по сценарию, а не «в панике». Документ снижает риск вторичных нарушений: когда инцидент случился, а доказательств действий нет.

3.4. Журнал учета машинных носителей ПДн

Назначение
Учет оборота носителей (флешки, диски, съемные HDD), чтобы минимизировать утечки через «железо».

Что внутри
Табличная форма: носитель, дата выдачи/возврата, кому выдан, где хранится, основание, отметка об уничтожении/возврате.

На что опирается в законе
В файле журнал привязан к п. 5 ч. 2 ст. 19 152‑ФЗ (контроль мер защиты, включая учет носителей как часть контроля).

Практическая польза
На проверке это простой и сильный артефакт «контролируемости». Он также закрывает связку с актами 8.1–8.2 и инструкцией уничтожения 2.7.

3.5. Журнал учета обращений субъектов ПДн

Назначение
Фиксировать обращения субъектов (доступ/уточнение/удаление и т.п.), сроки и результаты рассмотрения.

Что внутри
Дата обращения; кто обратился; содержание запроса; ответственный; срок; результат; дата ответа.

На что опирается в законе
Ст. 14 152‑ФЗ закрепляет права субъекта на получение информации и доступ к своим данным, а журнал помогает доказать соблюдение сроков.

Практическая польза
Журнал позволяет не «пропускать» запросы и не уходить в просрочку. Он также помогает обновлять Политику и процедуры (см. 2.6 и 3.6): повторяющиеся обращения показывают слабые места.

3.6. Журнал внутреннего контроля соблюдения законодательства и локальных актов

Назначение
Документировать факт внутренних проверок по ПДн: что проверили, что нашли, что исправили.

Что внутри
Таблица: дата проверки; объект; выявленные несоответствия; мероприятия; ответственные; сроки устранения; отметка выполнения.

На что опирается в законе
П. 4 ч. 1 ст. 18.1 152‑ФЗ про внутренний контроль/аудит.

Практическая польза
Это «доказательство жизни» системы, особенно если документы обновляются по итогам контроля. Он также снижает риск штрафов по 13.11 КоАП РФ, потому что вы показываете профилактику, а не реакцию.

4. Акты: уровень защищенности и оценка вреда

4.1. Акт оценки вреда субъектам ПДн

Назначение
Формализовать оценку потенциального вреда субъектам при нарушениях, чтобы обосновать приоритет мер защиты.

Что внутри
Таблицы оценки по категориям ПДн и субъектов; критерии; итоговые выводы; подписи ответственных.

На что опирается в законе
Привязка к мерам по ст. 19 152‑ФЗ: выбор и достаточность мер защиты должны быть обоснованы, а оценка вреда — практическое обоснование.

Практическая польза
Помогает объяснить, почему вы усиливаете защиту в HR‑контуре сильнее, чем, например, в маркетинговых подписках. Используется как вход для акта уровня защищенности (4.2) и для планирования мероприятий (1.2).

4.2. Акт определения уровня защищенности ПДн

Назначение
Определить уровень защищенности (УЗ) ПДн в ИСПДн как основу выбора мер защиты.

Что внутри
Карточки/таблицы по ИСПДн: размещение, категории ПДн, масштабы обработки, особенности инфраструктуры; итоговый вывод по УЗ; подписи.

На что опирается в законе
Ст. 19 152‑ФЗ и подзаконные требования к защите в ИСПДн (в файле указана привязка к ПП РФ № 1119).

Практическая польза
Это документ‑основание для того, чтобы ваши меры защиты были «адресными», а не формальными. Он связывает перечень ИСПДн (2.3) с регламентами ИТ‑защиты (3.1–3.3) и обязанностями админа безопасности (3.2, 6.3).

5. Формы согласий субъектов ПДн

5.1. Согласие работника на обработку ПДн (форма)

Назначение
Получить согласие работника в тех случаях, когда обработка строится на согласии или требуется отдельное согласие под конкретную операцию.

Что внутри
Идентификация субъекта; цели; перечень ПДн; операции обработки; срок; порядок отзыва; подтверждение ознакомления с правами и политикой/положением.

На что опирается в законе
Ст. 9 152‑ФЗ про согласие субъекта и его требования к форме/содержанию.

Практическая польза
Удобно для «дополнительных» действий, которые не всегда закрываются трудовым законодательством, и для спорных кейсов (например, публикации фото, расширенные проверки).

5.2. Модульное согласие работника на передачу ПДн третьим лицам (форма)

Назначение
Разделить согласия по получателям/целям: работник может согласиться на один модуль и отказать в другом.

Что внутри
Блоки «получатель → цель → перечень данных → срок/условия».

На что опирается в законе
Ст. 9 152‑ФЗ: согласие должно быть конкретным и информированным.

Практическая польза
Снижает риск признания согласия «слишком общим». И упрощает жизнь HR: не нужно «переподписывать все», если меняется один контрагент — меняется модуль.

5.3. Согласие работника на передачу ПДн третьему лицу (в отдельных случаях)

Назначение
Закрыть разовую передачу конкретному третьему лицу под конкретный кейс.

Что внутри
Конкретный получатель; цель; состав ПДн; срок; отзыв.

На что опирается в законе
Ст. 9 152‑ФЗ.

Практическая польза
Это «нештатный» инструмент: когда передача не заложена в стандартные модули или возникла разовая потребность. Он защищает организацию от обвинения в «передаче без основания».

5.4. Согласие субъекта на распространение ПДн (форма)

Назначение
Оформить именно распространение (публичное раскрытие) как отдельный режим.

Что внутри
Перечень распространяемых данных; площадки/способы; срок; условия/ограничения; отзыв.

На что опирается в законе
Ст. 9 152‑ФЗ (согласие), а также выделение распространения как особого режима в логике 152‑ФЗ (в файле это подчеркнуто как отдельная форма).

Практическая польза
Отделяет «публикацию» (например, на сайте) от обычной обработки и снижает риск претензий по публичному раскрытию данных.

5.5. Согласие соискателя (кандидата) на обработку ПДн (форма)

Назначение
Легализовать обработку ПДн кандидата на этапе подбора.

Что внутри
Цели (подбор персонала, коммуникации, оценка); перечень данных из резюме/интервью; срок (часто до закрытия вакансии/определенный период); отзыв; возможные передачи.

На что опирается в законе
Ст. 9 152‑ФЗ.

Практическая польза
Закрывает риск «мы храним резюме годами без основания». Связывается с Перечнем ПДн (2.2) и сроками уничтожения (2.7).

5.6. Согласие для сайта (форма)

Назначение
Получить согласие пользователя сайта на обработку ПДн, оставляемых через формы (заявки, обратная связь), и/или другие операции, где это нужно.

Что внутри
Ссылка на Политику (1.4); цели обработки (обработка обращения, обратный звонок, регистрация); перечень собираемых данных; срок; отзыв; способ фиксации (чек‑бокс).

На что опирается в законе
Ст. 9 152‑ФЗ (согласие) и обязанность обеспечить доступ к Политике при сборе через Интернет по ч. 2 ст. 18 152‑ФЗ.

Практическая польза
Уменьшает риск претензий к «цифровым» точкам сбора. Как указано в 8.3, согласие для сайта должно быть встроено в UX (чек‑бокс, логирование, связь с политикой), иначе оно не доказуемо.

6. Рекомендации по изменению должностных инструкций, договоров, обязательств и договоров поручения

6.1. Должностная инструкция ответственного за ПДн (изменения)

Назначение
«Привязать» функцию комплаенса к роли: контроль, актуализация ЛНА, обращения субъектов, взаимодействие с госорганами.

Что внутри
Права (инициировать изменения ЛНА, запрашивать сведения, инициировать проверки) и обязанности (внутренний контроль; доведение требований; обработка обращений субъектов; взаимодействие при проверках; мониторинг изменений; актуализация уведомлений; согласование доступов; контроль реагирования на инциденты).

На что опирается в законе
Ст. 18.1 152‑ФЗ как основа обязанностей оператора по организационным мерам.

Практическая польза
Делает ответственность персональной, а не «коллективной». Помогает руководителю доказать, что функция назначена и исполняется, что критично при проверках и инцидентах.

6.2. ДИ работника, допущенного к обработке ПДн (изменения)

Назначение
Закрепить обязанности рядового работника: конфиденциальность, предотвращение несанкционированного доступа, сообщения об инцидентах.

Что внутри
Права (предлагать улучшения) и обязанности (не раскрывать; пресекать несанкционированный доступ; сообщать о фактах НСД; соблюдать ЛНА; взаимодействовать при проверках по своим вопросам).

На что опирается в законе
Ст. 18.1 152‑ФЗ (организационные меры) и логика ст. 19 152‑ФЗ (меры защиты через персонал).

Практическая польза
Уменьшает «человеческий фактор». В связке с 8.5 позволяет применять дисциплинарные меры не «на эмоциях», а на основании обязательных правил.

6.3. ДИ администратора безопасности (изменения)

Назначение
Закрепить технические обязанности: конфигурации, контроль, разграничение доступа, расследование атак/инцидентов.

Что внутри
Права (запрашивать сведения, инициировать проверки, предлагать изменения) и обязанности (планы проверок, привлечение подрядчиков, отчетность руководству, мониторинг законодательства, актуализация ОРД, утверждение конфигураций, разграничение доступа, выявление НСД, ликвидация последствий, расследование инцидентов).

На что опирается в законе
Ст. 19 152‑ФЗ (обязанность обеспечивать безопасность ПДн).

Практическая польза
Убирает «серую зону» между ИТ и юристами: кто делает что в защите ПДн. Позволяет строить доказательства выполнения 3.1–3.3 и 4.2.

6.4. Обязательство работника о неразглашении персональных данных

Назначение
Под подпись закрепить обязанность конфиденциальности ПДн и ответственность за разглашение.

Что внутри
Запреты на разглашение; правила обращения с ПДн; подтверждение ознакомления с ЛНА; ответственность; подпись и дата.

На что опирается в законе
Ст. 7 152‑ФЗ о конфиденциальности персональных данных.

Практическая польза
Это персональный «якорь» режима ПДн для каждого сотрудника, имеющего доступ. Особенно важно для HR, бухгалтерии, службы безопасности и подразделений поддержки.

6.5. Изменения трудового договора с работником, имеющим доступ к ПДн

Назначение
Встроить режим ПДн в трудовой договор: обязанность соблюдать ЛНА, конфиденциальность, ответственность.

Что внутри
Допсоглашение/изменения: ссылка на Положение/Политику/инструкции; обязанность соблюдения режима; запреты на передачу; ответственность в пределах применимого права.

На что опирается в законе
В файле привязка дана к ст. 7, 18.1, 19 152‑ФЗ как к обязанностям по конфиденциальности и мерам защиты.

Практическая польза
Закрывает спорный вопрос: «это было требование работодателя или рекомендация». Как указано в разделе 3.2 (Неделя 4), это финальный этап внедрения: сначала правила (1–3), потом закрепление в договорах.

6.6. Изменения в договор ГПХ с внештатным работником

Назначение
Распространить режим ПДн на подрядчиков‑физлиц, если им дают доступ к ПДн.

Что внутри
Условия конфиденциальности; обязанность соблюдать ЛНА; порядок работы с ПДн; ответственность; возврат/уничтожение данных.

На что опирается в законе
В файле — ст. 7, 18.1, 19 152‑ФЗ как базовые требования конфиденциальности и защиты.

Практическая польза
Закрывает частую «дыру»: внешний специалист работает с базой клиентов, но юридически режим ПДн на него не распространен. В связке с 2.4–2.5 это помогает управлять доступом внешних пользователей.

6.7. Договор поручения обработки персональных данных третьему лицу

Назначение
Оформить поручение обработки обработчику (провайдеру, аутсорсеру) с обязательными условиями: предмет, состав ПДн, цели, меры безопасности, контроль, уничтожение.

Что внутри
Предмет поручения; перечень ПДн; допустимые операции; обязанности обработчика по конфиденциальности и безопасности; локализация баз данных РФ; субподрядчики; порядок прекращения и уничтожения; право проверок; уведомления об инцидентах и сроки.

На что опирается в законе
Ч. 3 ст. 6 152‑ФЗ прямо регулирует поручение обработки и необходимость закрепить условия поручения в договоре.

Практическая польза
Это главный документ для аутсорса: бухгалтерия, HR‑сервисы, облачные CRM, контакт‑центры. Он также должен совпадать с 2.2 (какие данные) и 1.4 (какие цели/основания), иначе риск несоответствий.

6.8. Соглашение о конфиденциальности (NDA)

Назначение
Установить договорный режим конфиденциальности с контрагентами, включая ПДн, при переговорах/проектах.

Что внутри
Определение конфиденциальной информации; ограничения; исключения; меры защиты; возврат/уничтожение; срок; ответственность/штраф.

На что опирается в законе
В файле — ст. 7 152‑ФЗ (конфиденциальность).

Практическая польза
NDA полезен, когда еще нет поручения обработки (6.7), но уже есть обмен данными/доступ к документам. Он снижает риск утечек на стадии пресейла и пилотов.

7. Инструкции по уведомлению Роскомнадзора

7.1. Уведомление об обработке персональных данных (инструкция)

Назначение
Дать пошаговую инструкцию подачи уведомления и корректного заполнения формы.

Что внутри
Каналы подачи (бумага/электронно); рекомендации подачи через ЕСИА; перечень полей: цели, категории субъектов/ПДн, основания, способы обработки, меры по ст. 18.1 и 19, сведения о размещении баз данных и трансграничной передаче; фиксация номера/ключа уведомления.

На что опирается в законе
Ст. 22 152‑ФЗ: обязанность уведомления, сроки внесения в реестр, общедоступность сведений.

Практическая польза
Убирает хаос при заполнении: вы подаете ровно те сведения, которые согласованы с 2.2 и 2.3. И снижаете риск ситуации «в реестре одно, в Политике другое, в системах третье».

7.2. Уведомление о внесении изменений в реестр операторов (инструкция)

Назначение
Правильно обновлять сведения в реестре, когда меняются цели, системы, адреса, ответственные и т.д.

Что внутри
Пошаговая инструкция обновления сведений по аналогии с 7.1: какие поля менять, как оформлять изменения, как хранить подтверждения.

На что опирается в законе
Ст. 22 152‑ФЗ регулирует состав сведений и корректность данных, а также право РКН требовать уточнения при неполных/недостоверных данных.

Практическая польза
Помогает держать реестр «живым», особенно когда компания растет и появляются новые ИСПДн, сервисы и подрядчики (см. 6.7).

7.3. Уведомления о трансграничной передаче ПДн (инструкция + формы)

Назначение
Законно запустить трансграничную передачу: собрать сведения о зарубежном контрагенте и подать уведомление до начала передачи.

Что внутри
Сбор сведений о мерах защиты у контрагента; условия прекращения обработки; контакты; порядок подачи уведомления; сроки взаимодействия; логика «адекватных стран» и действий при отрицательном решении.

На что опирается в законе
В файле привязка дана к ч. 3–4 ст. 12 152‑ФЗ (трансграничная передача).

Практическая польза
Это «передний край» рисков: облака, зарубежные SaaS, поддержка, аналитика. В связке с 8.4 документ превращает разовую подачу уведомления в управляемый процесс.

8. Дополнительные рекомендации и формы документов

8.1. Акт приема‑передачи носителей персональных данных (форма)

Назначение
Фиксировать передачу носителей между ответственными лицами (выдача, возврат, перемещение).

Что внутри
Описание носителей; стороны; дата; подписи; примечания по комплектности/состоянию.

На что опирается в законе
Это прикладная форма реализации мер защиты по ст. 19 152‑ФЗ (контроль носителей как часть контроля доступа и предотвращения утечек).

Практическая польза
Закрывает спор «кто потерял флешку». Используется вместе с журналом носителей (3.4) и приказом/режимом помещений (2.8).

8.2. Акт об уничтожении носителей персональных данных (форма)

Назначение
Подтвердить уничтожение носителей и невозможность восстановления данных.

Что внутри
Основание уничтожения; перечень носителей; способ уничтожения; комиссия; подписи.

На что опирается в законе
Логика уничтожения по ст. 21 152‑ФЗ и процедурность, закрепленная в вашей инструкции 2.7.

Практическая польза
Это документ‑"замок" для цикла уничтожения: есть инструкция (2.7) → есть факт уничтожения (8.2) → есть учет в журнале (3.4).

8.3. Рекомендации для сайтов и приложений

Назначение
Дать практические требования для digital‑каналов: информирование, согласия, формы, хранение, безопасность.

Что внутри
Рекомендации по текстам и размещению Политики (1.4), по согласиям для сайта (5.6), по минимизации собираемых данных, по безопасной обработке в веб‑формах и логированию.

На что опирается в законе
Ч. 2 ст. 18 152‑ФЗ про доступность политики при сборе через Интернет, а также общая логика мер защиты по ст. 19.

Практическая польза
Снимает основной риск публичных интерфейсов: «сайт собирает больше, чем описано», или «согласие не доказуемо». Как указано в разделе 5.6, важно заранее определить, где фиксируется факт согласия и как он хранится.

8.4. Рекомендации по организации трансграничной передачи ПДн

Назначение
Описать устойчивый процесс трансграничной передачи: оценка контрагента → уведомление → контроль условий.

Что внутри
Чек‑лист сведений о контрагенте; требования к договорной базе (связь с 6.7); контроль прекращения обработки и уничтожения; внутренняя ответственность.

На что опирается в законе
Ст. 12 152‑ФЗ (трансграничная передача) и требование организационных мер по ст. 18.1.

Практическая польза
Помогает не «забыть» про передачу персональных данных на территории иностранных государств. Связывает юридическую часть (7.3, 6.7) с ИТ‑частью (2.3, 4.2).

8.5. Лист ознакомления с законодательством

Назначение
Зафиксировать под подпись, что работники ознакомлены с законодательством и локальными актами по ПДн.

Что внутри
Таблица: ФИО, должность, дата, подпись, перечень документов/тем, с которыми ознакомили.

На что опирается в законе
П. 6 ч. 1 ст. 18.1 152‑ФЗ прямо требует ознакомление работников (или обучение) с законодательством, требованиями к защите и локальными актами.

Практическая польза
Это «доказательство доведения правил». Без него почти невозможно уверенно защищать позицию в дисциплинарных кейсах и при проверках, когда вопрос звучит так: «как вы обеспечили исполнение ваших регламентов».

Часть 3: Практика внедрения документов по персональным данным в 2026 году

3.1. Как связаны документы: схема документооборота ПДн

Схема 1: Ядро системы документов по ПДн.

• Приказ 1.1 запускает контур: назначает ответственных, ставит задачи и вводит базовые ЛНА.

• Параллельно формируется «карта обработки»: Перечень ПДн 2.2 и Перечень ИСПДн 2.3.

• На основе 2.2 вы настраиваете публичную и внутреннюю нормативку: Политика 1.4 (для сайта/внешних) и Положение 1.3 (для сотрудников/процессов).

• Приказ 2.1 вводит режим в действие и «прошивает» комплект документов как единое целое.

• Из 2.3 вытекают ИТ‑документы: система разграничения доступа 2.5, регламент защиты 3.1, инструкция админа 3.2, инциденты 3.3, а также акты 4.2 (уровень защищенности) и 4.1 (оценка вреда).

• Из 1.3/1.4 + 2.2 формируются правовые основания: согласия раздела 5 и договорная база 6.7/6.8, плюс «встройка» в HR: 6.1–6.6.

• Для доказательства исполнения включаются журналы и формы: 3.4–3.6, 8.1–8.2, и обязательное обучение/ознакомление 8.5.

• Отдельным контуром — взаимодействие с РКН: 7.1–7.3, которое должно совпадать с 2.2/2.3/1.4.

3.2. Пошаговый алгоритм внедрения системы документов с нуля (за 30 дней)

Цель — за месяц собрать полный перечень документов по персональным данным, утвердить, внедрить и получить доказательства исполнения.

Неделя 1 (Инвентаризация)

• Составьте Перечень ПДн 2.2: процессы → цели → категории субъектов → состав ПДн → основания → сроки → передачи.

• Составьте Перечень ИСПДн 2.3: где обрабатываются ПДн и кто имеет доступ.

• Создайте черновик перечня допущенных 2.4: на базе функций и фактических доступов.

Неделя 2 (Ядро системы)

• Подготовьте и подпишите Приказ 1.1 (запуск и роли).

• Разработайте Положение 1.3 и Политику 1.4, строго по данным из 2.2 и 2.3.

• Составьте План работ 1.2 с мероприятиями по оставшимся документам и внедрению.

Неделя 3 (Регламентация)

• Утвердите Приказ 2.1 (ввод режима и комплекта).

• Сделайте систему разграничения доступа 2.5 и зафиксируйте 2.4 (кто допущен).

• Подготовьте 2.6 (контроль) и операционные документы: 3.1, 3.2, 3.3, и журналы 3.4–3.6.

• Подготовьте документы уничтожения: 2.7, формы 8.1–8.2, привяжите к 3.4.

Неделя 4 (Внедрение и обучение)

• Проведите первичную оценку: 4.1 (вред) и 4.2 (уровень защищенности) по ИСПДн из 2.3.

• Встройте в HR‑контур: 6.1–6.6, обязательства 6.4, допсоглашения 6.5.

• Настройте сайт: 5.6 + 8.3, разместите Политику 1.4.

• Проведите ознакомление под подпись: 8.5 (и хранение листов).

• Проверьте РКН‑контур: при необходимости подготовьте/актуализируйте 7.1–7.2, при трансгранице — 7.3 и 8.4.

3.3. Чек-лист готовности к документарной проверке Роскомнадзора

1. 1.1 Приказ подписан, зарегистрирован, назначены ответственные, указан контроль.

2. 1.2 План работ ведется: есть сроки и отметки выполнения.

3. 1.3 Положение актуально и реально применяется (не противоречит процессам).

4. 1.4 Политика актуальна и доступна (для сайта — размещена на сайте).

5. 2.2 Перечень ПДн заполнен по всем целям и категориям субъектов.

6. 2.3 Перечень ИСПДн отражает фактические системы (включая облака/интеграции).

7. 2.4 Перечень допущенных соответствует фактическим доступам в ИСПДн.

8. 2.5 Разграничение доступа описано, выдача/отзыв доступов управляемы.

9. 2.6 Регламент контроля установлен, периодичность определена.

10. 3.6 Журнал внутреннего контроля ведется, есть корректирующие мероприятия.

11. 3.5 Журнал обращений субъектов ведется, сроки ответов контролируются.

12. 3.1 Регламент защиты в ИСПДн доведен до пользователей, соблюдается.

13. 3.3 Инциденты: есть порядок, есть формы регистрации, ответственные знают роли.

14. 3.4 Носители: учет ведется, выдача/возврат фиксируются.

15. 2.7 Уничтожение: порядок есть, сроки определены, результаты оформляются.

16. 8.1–8.2 Акты применяются (есть примеры заполнения при движении/уничтожении).

17. 5.1–5.6 Согласия соответствуют 2.2 (цели/данные/сроки) и применяются по кейсам.

18. 6.1–6.6 HR‑встройка: ДИ/договоры/обязательства обновлены для допущенных.

19. 6.7 Поручение обработки: по всем обработчикам (аутсорс/облака) условия оформлены.

20. 8.5 Ознакомление: подписные листы есть по всем, кто обрабатывает ПДн.

3.4. Типичные ошибки и как их избежать

1. «Шаблонные документы, не отражающие реальные процессы».

   • Решение: Проведите инвентаризацию (2.2 и 2.3) и сверьте с Политикой 1.4 и согласиями 5.* (см. раздел 3.1).

2. «Отсутствие связи между Положением и формами согласий».

   • Решение: Все формы 5.* должны строиться только из 2.2 и ссылаться на 1.4/1.3 по смыслу (см. раздел 5).

3. «Журналы ведутся формально или не ведутся вообще».

   • Решение: Привяжите журналы к регламентам: 2.6 ↔ 3.6, 2.7 ↔ 8.2 ↔ 3.4, 3.3 ↔ формы регистрации (см. раздел 3.1).

4. «РКН‑реестр живет своей жизнью».

   • Решение: Уведомления 7.1–7.2 должны обновляться при изменениях целей/ИСПДн/ответственных и совпадать с 2.2/2.3/1.4.

Заключение

Комплект документов по ПДн — это живая операционная система: она описывает процессы, распределяет роли, задает контроль и дает доказательства исполнения требований 152‑ФЗ. Качество этой системы влияет не только на риск штрафов по ст. 13.11 КоАП РФ, но и на доверие клиентов/партнеров и устойчивость бизнеса в цифровой среде.

Начните с аудита текущего состояния по алгоритму из раздела 3.2 и закройте разрывы по чек‑листу 3.3 — это самый быстрый путь собрать и внедрить полный комплект документов без «бумажного театра».