Подготовка документов для работы с персональными данными 2025 для организаций и ИП

Если вы — индивидуальный предприниматель, ООО или акционерное общество — и работаете с личными данными людей (например, собираете информацию о клиентах, сотрудниках или посетителях сайта), то вы попадаете под требования закона № 152-ФЗ «О персональных данных».

Что это значит?
Вы признаётесь оператором персональных данных , даже если не думали об этом раньше. И обязаны:

• защищать личные данные,
• иметь внутренние документы (политику, согласия, инструкции),
• следить за тем, чтобы работать с данными правильно и безопасно.

Примеры, когда 152-ФЗ касается вас:

• Вы берёте паспортные данные клиента для оформления заказа.
• Собираете номера телефонов или почты через сайт или форму.
• Храните данные сотрудников (паспорт, ИНН, СНИЛС и т. д.).

Важно:
Даже маленький бизнес или ИП должен соблюдать этот закон. За нарушения возможны штрафы — от 10 до 75 тысяч рублей для ИП и должностных лиц, до 500 тысяч рублей — для юридических лиц.

Что делать? Убедитесь, что у вас есть:

• политика в отношении обработки персональных данных,
• формы согласий (если собираете данные клиентов),
• внутренний порядок работы с ПДн (персональными данными).

Политика обработки персональных данных — это внутренний документ компании, в котором описано, как она работает с личной информацией. Такой документ обязателен для всех организаций и ИП, которые собирают, хранят или используют данные сотрудников, клиентов или других лиц.

Согласно рекомендациям Роскомнадзора, политика должна содержать следующие разделы:

1. Общие положения

В этом разделе указывают:

• цели создания политики,
• основные термины (оператор, субъект, обработка персональных данных и т. д.),
• права и обязанности оператора и субъектов ПД.

2. Цели обработки персональных данных

Опишите, зачем компания собирает данные:

• для заключения и исполнения договоров,
• для взаимодействия с клиентами,
• для ведения кадрового делопроизводства и т. д.

Важно, чтобы цели были законными и соответствовали требованиям закона.

3. Правовые основания обработки

Перечислите, на каких основаниях компания имеет право работать с данными:

• согласие субъекта,
• условия трудового договора,
• требования законодательства,
• положения гражданского кодекса и другие.

4. Категории персональных данных и субъектов

Укажите:

• какие именно данные вы собираете: ФИО, адрес, телефон, паспортные данные, ИНН, СНИЛС и т. д.,
• кто является субъектом: сотрудники, клиенты, контрагенты, посетители сайта и пр.

5. Порядок и условия обработки

Расскажите, как вы работаете с данными:

• сбор, хранение, изменение, передача, уничтожение и другие операции,
• способы обработки: автоматизированная (через программы) или ручная,
• сроки хранения данных,
• порядок уничтожения информации после окончания использования.

Если ваш бизнес передаёт данные за границу, опишите также процедуру трансграничной передачи.

6. Меры обеспечения безопасности

В этом разделе перечислите меры защиты:

• правовые (документы, приказы),
• организационные (инструктажи, назначение ответственных),
• технические (шифрование, антивирусы, ограничение доступа и т. д.).

7. Права субъектов персональных данных

Объясните, как физические лица могут реализовать свои права:

• получить информацию о своих данных,
• запросить их исправление или удаление,
• отозвать согласие,
• подать жалобу.

Также укажите, как компания будет обрабатывать такие обращения: сроки рассмотрения, контактные данные ответственного лица и т. д.

Рекомендации:

• В политике желательно конкретно указать категории обрабатываемых данных и способы их использования: например, контакты клиентов, данные сотрудников, информация с сайта и т. д.
• Укажите точные сроки хранения и порядок уничтожения ПД.
• Политика должна быть доступна сотрудникам и, при необходимости, другим лицам (например, размещена на сайте).

1. Утверждение внутренних документов компании (политика, регламенты, приказы):
Эти локальные акты утверждаются руководителем организации или другим уполномоченным лицом. Например:

• генеральный директор — в случае ООО или АО,
• индивидуальный предприниматель — в случае ИП.

После утверждения сотрудники компании должны ознакомиться с документами под роспись.

2. Уведомление в Роскомнадзор:
Его направляет оператор (организация или ИП), а подписывает уполномоченное лицо. Обычно это:

• генеральный директор (для ООО, АО),
• сам ИП (для индивидуальных предпринимателей).

3. Согласие на обработку персональных данных:
Такое согласие подписывает непосредственно человек — субъект персональных данных. Это может быть:

• подпись от руки в бумажном бланке,
• электронная подпись,
• проставленная галочка в онлайн-форме на сайте

Важно: Молчание или просто посещение сайта не считается согласием. Для легитимности согласия должно быть явным и добровольным.

Документы, связанные с обработкой персональных данных (например, политика конфиденциальности, согласие, приказы), нужно оформлять как локальные нормативные акты.

1. Общие требования к оформлению:

Каждый документ должен содержать полные реквизиты:

• название организации или ИП,
• дату составления,
• номер или идентификатор документа,
• должность и ФИО ответственного лица,
• подпись руководителя или уполномоченного лица.

2. Политика обработки персональных данных:

Роскомнадзор рекомендует структурировать этот документ следующим образом:

• общие положения,
• цели обработки ПД,
• правовые основания,
• категории данных и субъектов,
• порядок и условия обработки,
• меры безопасности,
• права субъектов.

Такая структура помогает соблюсти все требования закона и показать контролирующим органам, что вы работаете прозрачно.

3. Согласие и уведомление:

• Согласие на обработку персональных данных может быть оформлено:
  • на бумажном носителе (под подпись),
  • в электронном виде (через онлайн-форму),
  • с помощью галочки в чекбоксе на сайте (только если есть дополнительное пояснение и возможность отозвать согласие).

⚠️ Молчание или простой просмотр сайта не считаются согласием .

• Уведомление в Роскомнадзор можно подать:
  • на бумаге,
  • через личный кабинет на сайте Роскомнадзора.

Подписывает его уполномоченное лицо: например, генеральный директор или сам ИП.

4. Приказы и внутренние документы:

• Должны быть оформлены в едином стиле компании.
• Подписаны руководителем.
• Ознакомлены с сотрудниками под роспись.

5. Рекомендации:

• Не используйте готовые шаблоны без доработки. Они должны соответствовать специфике вашего бизнеса.
• Регулярно проверяйте актуальность документов, особенно при изменении законодательства или характера деятельности.

В интернете можно найти множество примеров и шаблонов документов по закону № 152-ФЗ. Прямого запрета на их использование нет, но полностью полагаться на них не стоит.

Каждый бизнес уникален. То, что подходит одной компании, может не соответствовать требованиям другой. Например, политика обработки персональных данных для интернет-магазина отличается от документа для клиники или IT-стартапа.

Использование универсального шаблона без доработки может привести к тому, что документ:

• не будет соответствовать вашему виду деятельности,
• не учтёт специфику сбора и обработки данных,
• вызовет вопросы у проверяющих органов.

А это, в свою очередь, может стать основанием для штрафов.

Что рекомендуется делать?

• Проведите анализ процессов в вашей компании.
• Изучите требования закона и рекомендации Роскомнадзора.
• Адаптируйте шаблон под ваши реальные процессы или составьте документы самостоятельно (или с помощью юриста).

Такой подход поможет создать точные, понятные и законные документы, которые защитят вас в случае проверок.

Мы оказываем комплексную помощь в оформлении документов для операторов персональных данных. В услугу входит:

• Проведение правового аудита вашей деятельности,
• Разработка всех необходимых документов: политика обработки ПДн, уведомление в Роскомнадзор, согласия, локальные регламенты, инструкции,
• Адаптация документов под специфику вашего бизнеса.

Вы получаете готовый пакет документов «под ключ».