Разработка локальных актов по 152-ФЗ
Документы по 152-ФЗ для вашего бизнеса (2026)
Оформим персональные данные ИП или юрлица правильно — с учетом специфики вашего бизнеса.
Выберите формат:
Шаблонный комплект — от 10–12 тыс ₽, получите сразу после оплаты (docx + инструкция)
Индивидуальная разработка — от 40 тыс ₽, срок 5–7 рабочих дней, под ваши процессы и системы
Комплексные решения от Победы права для каждой ситуации
У нас есть решения для каждого запроса: разработки индивидуального решения или предоставление оптимального решения с готовыми документами.
| Шаблонный комплект | Индивидуальная разработка | |
|---|---|---|
| Срок | сразу после оплаты | 5–7 рабочих дней |
| Цена | 10–12 тыс ₽ | от 40 тыс ₽ |
| Подойдёт | типовые процессы, нужно быстро | сложные процессы/несколько систем/нестандарт |
| Результат | docx + инструкция, внедряете сами | “под ключ” под ваш бизнес + сопровождение |
Услуга по подготовке локальных актов по персональным данным
Выберете удобный для вас формат - подготовка локальных актов индивидуально под ваш вид деятельности или использование шаблонных актов, подготовленных в строгом соответствие с требованиями Федерального закона №152-ФЗ.
Шаблоны документов по персональным данным для юрлица, подготовленные в соответствии с Федеральным законом №152-ФЗ (2026 год)
Формат: docx, zip
Доставка: сразу на email
Поддержка: 10 дней в чате
12 000 ₽
Шаблоны документов по персональным данным для ИП без работников, подготовленные в соответствии с Федеральным законом №152-ФЗ (2026 год)
Формат: docx, zip
Доставка: сразу на email
Поддержка: 10 дней в чате
10 000 ₽
Шаблоны по персональным данным для ИП с работниками подготовленные в соответствии с Федеральным законом №152-ФЗ (2026 год)
Формат: docx, zip
Доставка: сразу на email
Поддержка: 10 дней в чате
10 000 ₽
Документы по обработке персональных данных (ФЗ 152): полный список и требования 2026 года
Для законной обработки персональных данных в 2026 году организациям необходимо иметь актуальный комплект документов в соответствии с требованиями Федерального закона № 152-ФЗ.
Все документы должны быть адаптированы под конкретную деятельность компании и соответствовать актуальным требованиям Роскомнадзора, Закона о защите персональных данных.
Содержание по составу документов
1. Политика обработки персональных данных
Согласно статье 18.1 Закона №152-ФЗ оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, в том числе: издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных.
Как правило может быть внешним актом - для размещения на сайте, так и внутренним - определение процессов внутри организации.
2. Приказ о назначении ответственного за обработку персональных данных
Согласно статье 18.1 Закона №152-ФЗ оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, в том числе: назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных.
ИП же может: или никого не назначать - является он сам. Или назначить ответственного за обработку данных. Рекомендуется издать приказ.
3. Согласие на обработку персональных данных
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
4. Положение об обработке персональных данных
Положение об обработке персональных данных — это внутренний документ, который оформляется во исполнение требований ст. 18.1 и ст. 19 закона № 152-ФЗ, а также может быть необходим при проверках Роскомнадзора, чтобы подтвердить выполнение оператором своих обязанностей по организации обработки и защите персональных данных.
5. Положение по организации обработки и обеспечению безопасности персональных данных
Положение по организации обработки и обеспечению безопасности персональных данных предусмотрено следующими нормативными правовыми актами:
1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
- Статья 18.1, часть 2, пункт 2:Оператор обязан принять локальный акт, определяющий политику в отношении обработки персональных данных, а также реализуемые требования к защите персональных данных.
- Статья 19:Оператор обязан принимать необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных.
В числе таких мер прямо указано:
принятие локальных актов, устанавливающих процедуры, направленные на предотвращение нарушений законодательства...
2. Приказ Роскомнадзора от 14.02.2023 № 19
(Методические рекомендации по выполнению требований в сфере ПДн)
В нем указано, что одним из доказательств выполнения оператором своих обязанностей является наличие локальных нормативных документов, таких как:
- политика/положение о ПДн,
- положение о защите персональных данных,
- порядок доступа, обработки, хранения и уничтожения ПДн и т.д.
3. Требования к защите персональных данных (утвержденные ФСТЭК России)
(например, приказ ФСТЭК России от 18.02.2013 № 21 – для ИСПДн)
Для операторов, обрабатывающих ПДн с использованием средств автоматизации, регулятором (ФСТЭК/ФСБ) прямо предусмотрена необходимость документирования мер по защите данных, в том числе — в форме положений, инструкций, регламентов.
6. Перечень информационных систем персональных данных (ИСПДн)
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных…»
В документе содержится прямое требование к оператору:
Пункт 7.1.1 — составить перечень ИСПДн, обрабатывающих персональные данные, с указанием:
цели обработки;
категории обрабатываемых данных;
уровня защищённости;
количества субъектов;
состава используемых программно-технических средств и т.д.
7. Модель угроз безопасности персональных данных
Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн»
- Пункт 4 (Общие положения):
Меры по обеспечению безопасности персональных данных должны определяться на основании модели угроз безопасности персональных данных для конкретной ИСПДн.
- Пункт 7.2 (Организационные меры):
Оператор обязан обеспечить разработку модели угроз, учитывающей возможные каналы утечки информации, нарушителей и последствия реализации угроз.
8. Приказ о перечне лиц, допускаемых к персональным данным
Приказ ФСТЭК России от 18.02.2013 № 21
(Организационные меры по защите ПДн):
Пункт 7.1.2:
В целях организации управления доступом оператор должен:
– определить перечень лиц, которым предоставляются права доступа к персональным данным,
– назначить порядок предоставления, изменения и аннулирования прав.
9. Инструкции для сотрудников, осуществляющих обработку персональных данных
приказ ФСТЭК России от 18.02.2013 № 21
«Об утверждении состава и содержания организационных и технических мер…»
Пункт 7.3.1 — Организационные меры должны включать:
обеспечение информирования и обучения сотрудников оператора, допущенных к ПДн, в том числе ознакомление с инструкциями по обеспечению безопасности персональных данных.
10. Акт определения уровня защищенности персональных данных
Статья 7. Конфиденциальность персональных данных: Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено законом.
2. Статья 19 ФЗ-152: Организационные меры
Оператор обязан:
Установить правила доступа к персональным данным и обеспечить регистрацию всех действий с ними. Ознакомить работников с положениями законодательства и локальными актами под роспись.
Один из способов выполнения этого требования — обязательство о неразглашении (возможно как отдельный документ или часть инструкции/договора).
11. Согласие на распространение персональных данных
Распространение персональных данных допускается только с отдельного согласия субъекта персональных данных, данного в письменной форме, отдельно от других согласий. Основание: статья 10.1 Федерального закона № 152-ФЗ.
12. Обязательство о неразглашении персональных данных
Статья 19 Федерального закона № 152-ФЗ: Оператор обязан обеспечить безопасность персональных данных в соответствии с установленным уровнем защищенности — т.е. такой уровень должен быть официально определён.
Приказ ФСТЭК России от 18.02.2013 № 21:
- Прямо требует определения уровня защищенности ИСПДн.
- Приложение № 1 описывает 4 уровня защищенности ИСПДн (1 – максимальный, 4 – минимальный).
13. Категории персональных данных, обрабатываемых без использования средств автоматизации
Статья 19 №152-ФЗ — Обеспечение безопасности ПДн: Оператор обязан:
принимать необходимые правовые, организационные и технические меры для защиты персональных данных…
В рамках этих организационных мер оператор формирует локальные акты, включая перечень (категории) обрабатываемых ПДн в бумажной форме.
14. Матрица доступа к информационной системе персональных данных (ИСПДН)
Приказ ФСТЭК России от 18.02.2013 № 21
Пункт 7.1.2:
Оператор обязан:
– определить перечень лиц, которым предоставляются права доступа к персональным данным в ИСПДн,
– назначить порядок предоставления, изменения и аннулирования прав доступа.
На практике это реализуется через матрицу распределения прав доступа (матрицу доступа), которая содержит:
список пользователей или ролей,
перечень ресурсов или типов данных,
права (доступ на чтение, запись, удаление и др.).
15. Правила осуществления внутреннего контроля за персональными данными
Статья 18.1, часть 2, пункт 4 Федерального закона № 152-ФЗ: Оператор обязан осуществлять внутренний контроль и/или аудит соответствия обработки персональных данных требованиям законодательства и принятым локальным актам, а также принимать меры по устранению выявленных нарушений.
16. Акт оценки вреда, который может быть причинен субъектам, персональные данные которых обрабатываются Оператором
Приказ ФСТЭК России от 18.02.2013 № 21:
Один из первых этапов построения защиты ИСПДн — это: оценка возможного вреда субъектам ПДн в случае нарушения безопасности, определение уровня защищенности, разработка модели угроз.
Без этой оценки невозможно корректно установить уровень защищенности ИСПДн (1–4), а значит — и выполнить требования закона.
17. Правила рассмотрения обращений субъектов ПДн
Статья 18.1, часть 2 ФЗ-152: Оператор обязан принять локальный акт, определяющий политику обработки ПДн и реализуемые требования к защите прав субъектов ПДн.
Одним из таких требований как раз является порядок рассмотрения обращений.
18. Журналы по обработке персональных данных
Можно вести, как в бумажном виде, так и в электронном виде.
1.Журнал регистрации обращений субъектов персональных данных
Основание: ст. 14, 20 ФЗ-152
2. Журнал учета лиц, допущенных к обработке ПДн
Основание: ст. 19 ФЗ-152, Приказ ФСТЭК № 21
3. Журнал учета носителей ПДн (при неавтоматизированной обработке)
Основание: ПП РФ № 687
4. Журнал регистрации инцидентов (нарушений режима ПДн)
Основание: ст. 19 ФЗ-152
5. Журнал инструктажей по обработке ПДн
Основание: ст. 19, ст. 18.1 ФЗ-152
6. Журнал уничтожения персональных данных
Основание: ст. 5, 21 ФЗ-152, ПП РФ № 687
7. Журнал учета и предоставления доступов к ИСПДн
Основание: Приказ ФСТЭК № 21
Необязательные, но рекомендованные журналы:
Журнал проверок соблюдения требований ФЗ-152 (внутренний аудит)
Журнал согласий на обработку ПДн
Журнал передачи ПДн третьим лицам
Журнал учета согласий на распространение ПДн
19. Акты в рамках обработки персональных данных
Акт уничтожения персональных данных
Основание: ст. 5, 21 ФЗ-152, ПП РФ № 687
- Оформляется при уничтожении ПДн по истечении срока хранения или по требованию субъекта
- Фиксирует способ уничтожения, дату, состав данных и ответственных лиц
Акт обезличивания персональных данных
Основание: ст. 3, 5 ФЗ-152
- Подтверждает проведение операции по обезличиванию
- Может оформляться при передаче данных в статистику, исследовательские проекты и др.
Акт передач персональных данных третьему лицу
Основание: ст. 6, 8 ФЗ-152
- Подтверждает факт законной передачи ПДн (например, в бухгалтерию, облачный сервис, стороннему оператору)
- Включает основание (договор, согласие), состав переданных данных, подписи сторон
Акт внутренней проверки соблюдения требований ФЗ-152
Основание: ст. 18.1 ФЗ-152
- Результат внутреннего контроля/аудита
- Отражает соответствие обработки требованиям законодательства и выявленные нарушения
Акт выявления и анализа инцидента, связанного с нарушением ПДн
Основание: ст. 19 ФЗ-152
- Составляется при утечке, потере, несанкционированном доступе к ПДн
- Включает обстоятельства, последствия, принятые меры
Акт инвентаризации носителей ПДн (для бумажной обработки)
Основание: ПП РФ № 687
- Используется для ручной обработки — фиксирует актуальность, расположение и состояние документов, содержащих ПДн
20. Запросы по персональным данным
1.Форма запроса о наличии и ознакомлении с персональными данными
Основание: статья 14 ФЗ-152
Субъект имеет право получить от оператора информацию, касающуюся обработки его персональных данных.
2.Форма запроса на уточнение персональных данных
Основание: статья 14 и статья 21 ФЗ-152
Субъект вправе требовать от оператора уточнения своих персональных данных, если они являются неполными, неточными или устаревшими.
3. Форма запроса на уничтожение персональных данных
Основание: статья 14 и статья 21 ФЗ-152
Субъект может требовать уничтожения персональных данных:
если достигнута цель обработки;
если субъект отозвал согласие;
если данные были получены/обрабатываются с нарушением закона.
4. Форма запроса на блокирование персональных данных
Основание: статья 21 ФЗ-152
Оператор обязан заблокировать персональные данные, если субъект подал запрос на уточнение, уничтожение или в случае выявления неправомерных действий до момента их устранения.
5. Форма запроса с отзывом согласия на обработку персональных данных
Основание: статья 9 ФЗ-152
Субъект имеет право в любое время отозвать ранее данное согласие на обработку своих персональных данных.
После получения отзыва оператор обязан прекратить обработку и уничтожить данные, если иное не предусмотрено законом.
6. Форма уведомления об устранении неправомерных действий с персональными данными
Основание: статья 21, часть 5 ФЗ-152
В случае выявления неправомерной обработки персональных данных, оператор обязан в течение 7 рабочих дней устранить нарушение, и в течение 3 рабочих дней после устранения уведомить субъекта.
21. Инструкции в рамках обработки персональных данных
1. Инструкция по проведению инструктажа, допущенных к работе в ИСПДн
Основание: ст. 19 ФЗ-152, Приказ ФСТЭК № 21
– Подтверждает, что сотрудники проходят инструктаж и ознакомлены с режимом обработки ПДн.
– Требуется при проверках, фиксируется в журнале.
2. Инструкция пользователя при нештатной ситуации
Основание: Приказ ФСТЭК № 21, пункт 7.3.2
– Регламентирует действия сотрудника при сбоях, инцидентах, утечках и других аварийных ситуациях.
3. Инструкция по организации антивирусной защиты в ИСПДн
Основание: Приказ ФСТЭК № 21, пункт 7.4.1
– Устанавливает порядок использования антивирусного ПО, обновлений, проверок.
4. Инструкция по резервному копированию и восстановлению
Основание: Приказ ФСТЭК № 21, пункт 7.4.3
– Требуется для обеспечения устойчивости ИСПДн и восстановления ПДн после сбоев.
5. Инструкция пользователя информационных систем персональных данных
Основание: Приказ ФСТЭК № 21
– Содержит права, обязанности и ограничения для пользователей ИСПДн.
– Является базовой инструкцией для любого сотрудника, работающего с ПДн через ИТ-системы.
6. Инструкция по учёту и хранению съёмных носителей
Обязательна при использовании съёмных носителей (флешки, диски и т. д.)
Основание: Приказ ФСТЭК № 21, пункт 7.1.4
– Регламентирует допуск, учет, маркировку, хранение, уничтожение носителей.
7. Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн
Обязательна
Основание: Приказ ФСТЭК № 21, пункт 7.1.2
– Устанавливает, кто и в каком порядке получает доступ к ИСПДн, ведение перечня лиц, изменение и отзыв прав.
8. Инструкция по обеспечению безопасности персональных данных в ИСПДн
Основание: ст. 19 ФЗ-152, Приказ ФСТЭК № 21
– Обобщающая инструкция, описывающая весь комплекс организационных и технических мер защиты ПДн в ИСПДн.
22. Приказ об определении границ контролируемой зоны и требований к ее безопасности
Приказ ФСТЭК России от 18.02.2013 № 21
Пункт 7.1.4: Оператор должен определить границы контролируемой зоны, в которой осуществляется обработка ПДн, и обеспечить её физическую защиту.
Также указано, что должны быть:
установлены режимы доступа в зону;
перечень и правила использования средств защиты (двери, замки, охрана и т.д.);
меры по учёту и контролю перемещений носителей.
2. Статья 19 ФЗ-152:
Оператор обязан принимать организационные и технические меры, направленные на защиту ПДн от несанкционированного доступа, включая физическую защиту помещений.
23. Приказ об утверждении мест хранения материальных носителей персональных данных
1. Федеральный закон от 27.07.2006 № 152-ФЗ, ст. 19:
Оператор обязан принимать меры по защите ПДн, включая предотвращение несанкционированного доступа.
2. Постановление Правительства РФ от 15.09.2008 № 687
(о неавтоматизированной обработке персональных данных):
Требует ограничения доступа к персональным данным, ведения учета носителей, а также соблюдения режима хранения.
3. Приказ ФСТЭК России от 18.02.2013 № 21, п. 7.1.4:
Оператор обязан организовать физическую защиту ПДн, включая учет и хранение материальных носителей в контролируемых зонах.
24. Акт оценки эффективности принимаемых мер по обеспечению безопасности персональных данных в ИСПДн
1. Статья 19 Федерального закона № 152-ФЗ
Оператор обязан применять меры, направленные на обеспечение выполнения обязанностей, включая:
предотвращение несанкционированного доступа,
своевременное обнаружение фактов нарушения,
оценку соответствия принимаемых мер уровню угроз.
2. Приказ ФСТЭК России от 18.02.2013 № 21 (Организационные и технические меры безопасности ПДн)
Пункт 7.3.4 прямо обязывает: оператор должен осуществлять оценку эффективности принимаемых мер по обеспечению безопасности персональных данных в ИСПДн.
25. Разъяснение субъекту персональных данных юридических последствий отказа от предоставления
1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
Статья 6 — «Условия обработки персональных данных»;
Статья 9 — «Согласие субъекта персональных данных на обработку его персональных данных».
В п. 3 ст. 9 прямо указано, что в случае, если предоставление персональных данных является обязательным, субъекту персональных данных должны быть разъяснены возможные последствия отказа от их предоставления.
2. Практика Роскомнадзора
Роскомнадзор, как уполномоченный орган, требует, чтобы при получении согласия субъекта персональных данных (например, при оформлении согласия в письменной форме) субъект был проинформирован о правовых последствиях отказа. Это также входит в содержание информирования субъекта (см. Положение об особенностях обработки ПД, утв. ПП РФ № 687 от 15.09.2008, и др.).