Распространяется ли 152-ФЗ на мой небольшой сайт?

Да, если на сайте есть любая форма с именем, email или телефоном — даже простая «Связаться с нами» или подписка на рассылку. Закон не делает исключений для малого бизнеса, ИП или самозанятых.

У меня уже есть политика конфиденциальности. Этого достаточно?

Не всегда. Роскомнадзор проверяет не только наличие политики, но и её содержание. Документ должен включать 17 обязательных пунктов (статья 18.1 152-ФЗ) и соответствовать тому, что вы указали в реестре операторов. Если политика — это шаблон из интернета без ваших реквизитов и без описания всех собираемых данных, штраф возможен.

Использую Яндекс Метрику — это нарушение?

Яндекс Метрика — российский сервис, использовать можно. Но её нужно задекларировать в политике и в cookie-уведомлении на сайте. Google Analytics и Meta Pixel передают данные за рубеж — для них нужно отдельное согласие пользователя и заявление в Роскомнадзор о передаче данных за границу. Дешевле и проще убрать Google Analytics и поставить Яндекс Метрику.

Какие сейчас штрафы за нарушения 152-ФЗ?

С 30 мая 2025 года штрафы выросли в 10 раз. Для ИП и для ООО суммы одинаковые: первичное нарушение — 300 000 – 700 000 ₽, повторное — 1 000 000 – 1 500 000 ₽. За утечку 1–10 тысяч записей — 3–5 миллионов ₽. За отсутствие уведомления в Роскомнадзор — 100 000 – 300 000 ₽. Точные суммы по каждому нарушению — в нашем отчёте.

Что такое «автоматический сканер РКН» и при чём тут я?

С ноября 2025 года Роскомнадзор запустил автоматическую проверку сайтов. Бот заходит на сайт, ищет формы, политику, согласие, иностранные счётчики — и если что-то не так, выписывает предписание. После предписания у вас 10 рабочих дней на исправление, иначе штраф. Наша проверка работает по той же логике — вы узнаете о проблемах раньше Роскомнадзора.

Проверяете ли соответствие закону о русском языке (168-ФЗ)?

Да. С 1 марта 2026 года вся потребительская информация на сайте должна быть на русском языке (ФЗ-168). Мы находим иностранные слова без русского перевода рядом — например кнопки «Sale», «Buy», «Checkout» — сверяясь со словарями РАН и отсеивая зарегистрированные бренды и общепринятые термины. Результат — сигнал к проверке с указанием штрафов по ст. 14.8 КоАП (5 000–10 000 ₽ для юрлиц, 500–1 000 ₽ для ИП).

Нужно ли подавать заявление (уведомление) в Роскомнадзор?

Если на сайте есть форма с персональными данными (имя, email, телефон) — да, нужно. Подаётся через Госуслуги бесплатно, занимает 20-30 минут. Без подачи — штраф 100 000 – 300 000 ₽. После заявления вас включают в реестр операторов персональных данных.

Что я получу в платном тарифе кроме отчёта?

В тарифе «Полный пакет» (490 ₽): подробный PDF с анализом каждого нарушения, политика конфиденциальности и согласие на обработку персональных данных под ваши реквизиты, cookie-уведомление с готовым кодом для вставки, инструкции по установке для Tilda, WordPress, Webasyst, Битрикс, Wix, OpenCart, MODX. Всё на email после оплаты.

Что входит в тариф «Под ключ» за 9 900 ₽?

Всё что в «Базовом» плюс мы сами поставим cookie-уведомление и политику на ваш сайт по SSH (или вы дадите доступ в админку). Дополнительно: договор оказания услуг через электронный документооборот, счёт, акт выполненных работ. Подходит если вы ИП или ООО и хотите чтобы за вас всё сделали.

Что такое мониторинг и зачем он мне?

Сразу после оплаты 990 ₽/мес вы получаете полный пакет документов под ваш сайт — как в тарифе «Базовый» (политика, согласие, cookie-баннер, инструкции, PDF-отчёт). Дальше раз в 7 дней мы перепроверяем сайт и присылаем diff на email: что добавилось из нарушений, что исправилось. Критичные — с приоритетным заголовком. Отмена в любой момент.

Как вы получаете данные о сайте? Это безопасно?

Мы заходим на сайт как обычный посетитель и смотрим публичные страницы (главная, политика, форма контактов). К базе данных, админке или коду на сервере мы не подключаемся. Никаких логинов и паролей не нужно. Это полностью безопасно — то же самое делает любой посетитель сайта.

Полный пакет документов по 152-ФЗ — приказы, положения, журналы

Полный пакет документов по 152-ФЗ для ИП и ООО — список с обоснованием

Q: Нужны ли все 30+ документов микро-бизнесу?

Нет. Для типичного ИП без сотрудников минимально нужны около 20 документов из базового пакета. При найме сотрудников добавляются 5-8 документов. При наличии бумажных носителей, флешек, офиса — ещё по 1-3 на каждое. Полный пакет 36+ — для ООО с расширенной безопасностью или организаций с УЗ-3.

Q: Я уже подал уведомление в РКН. Нужны ли мне ещё документы?

Да. Уведомление в Роскомнадзор — это первичная регистрация оператора, а внутренние документы — операционная часть. Их проверяют отдельно. Подача уведомления не отменяет необходимости приказов, положений, инструкций.

Q: Что входит в наш пакет за 490 рублей?

Все базовые документы из этой статьи плюс опциональные по вашему выбору. Реквизиты автоматически подставляются из реестра РКН по ИНН. Формат — PDF и DOCX. Скачивается сразу после заполнения короткого опросника.

Если у вашей организации есть хоть один сотрудник или сайт с формой захвата, вы обязаны вести внутренние документы по обработке персональных данных. Это не только политика на сайте, которую видит посетитель. По 152-ФЗ оператор обязан иметь набор приказов, положений, актов, инструкций и журналов — десятки документов, которые проверяет Роскомнадзор при визите.

В этой статье разберу полный список документов, что обязательно по закону и какая статья требует, что желательно для смягчения проверок, и что зависит от структуры бизнеса (есть ли сотрудники, бумажные носители, флешки, филиалы).

Цель — чтобы вы понимали, зачем каждый документ нужен, а не просто скачивали типовой шаблон из интернета. Лишних документов в нашем списке нет — только то что реально проверяется.

Что такое ОРД по 152-ФЗ

Краткий ответ. ОРД — это организационно-распорядительная документация. Набор внутренних документов оператора (приказы, положения, инструкции, журналы), которые подтверждают что в организации реально выполняются требования закона о персональных данных, а не только написана политика на сайте.

Логика проверок Роскомнадзора простая. Инспектор приходит и спрашивает: «Вы оператор персональных данных по 152-ФЗ. Покажите документы». Если у вас есть только политика на сайте — это первый уровень, видимый посетителю. Но 152-ФЗ требует второй уровень — внутренние документы оператора, которые описывают как именно у вас защищаются ПДн.

Эти документы — обязательны по закону в той или иной части:

Статья 18.1 152-ФЗ требует «принимать меры, необходимые для выполнения обязанностей» — а конкретные документы перечислены в части 1 этой же статьи.
Статья 19 — техническая защита, описанная через инструкции и регламенты.
Статья 22.1 — назначение ответственного, оформляется приказом.
Приказ ФСТЭК №21 — требования к защите в ИСПДн.
Постановление Правительства РФ №1119 — уровни защищённости.

При проверке Роскомнадзор просит:

Политику обработки ПДн (на сайте — видимая часть)
Приказ о назначении ответственного
Положение об обработке ПДн (внутренний документ оператора)
Перечень обрабатываемых ПДн
Перечень ИСПДн (информационных систем персональных данных)
Акт определения уровня защищённости

И ещё около 15-25 документов в зависимости от структуры организации. Их отсутствие — основание для штрафа.

Кому какие документы нужны

Краткий ответ. Минимальный набор — около 20 документов для любого оператора. Чем сложнее структура (есть сотрудники / офис / бумажные носители / филиалы), тем больше документов добавляется.

Распределение по сегментам:

Сегмент	Сколько документов
ИП без сотрудников, только сайт с формой	~20
ИП с 1-3 сотрудниками, есть офис	~28
ООО с сотрудниками и стандартной IT-инфраструктурой	~33
ООО с расширенной безопасностью (УЗ-3 и выше)	~36
Медицина / образование / госуслуги (УЗ-1, УЗ-2)	~40+

В этой статье разбираем базу для типичного оператора УЗ-4 — это микро и малый бизнес: ИП и небольшие ООО без специальных категорий ПДн (медицина, биометрия, банковские карты), без КИИ и без необходимости лицензии ФСТЭК. Это 80% наших клиентов.

Если у вас медицинская организация, образовательное учреждение, государственная услуга или вы храните биометрические данные — список документов длиннее, нужна индивидуальная модель угроз и часто лицензия ФСТЭК. Это другая история, в этой статье её не разбираем.

Приказы — 8 документов

Краткий ответ. Приказы — это распоряжения директора (или ИП), которыми вводятся в действие основные документы и закрепляются ответственные лица. Без приказов остальная документация юридически «висит в воздухе» — её ввели некогда никто.

1. Приказ о назначении ответственного за обработку ПДн

Обоснование. Часть 1 статьи 22.1 152-ФЗ: «Оператор, являющийся юридическим лицом, назначает ответственного за организацию обработки персональных данных». У ИП ответственный — сам ИП, но приказ всё равно должен быть оформлен письменно (для проверки и для трудоустройства, если ИП в будущем наймёт). Без этого приказа Роскомнадзор не сможет понять с кого спрашивать — а это нарушение.

Кому нужен: всем операторам.

2. Приказ о мерах по обеспечению безопасности ПДн

Обоснование. Часть 2 статьи 19 152-ФЗ: «обеспечение безопасности персональных данных достигается, в частности, определением угроз безопасности, применением организационных и технических мер». Приказ фиксирует какие именно меры приняты у оператора. Без него нет доказательства что вообще что-то делалось.

Кому нужен: всем.

3. Приказ об утверждении Положения об обработке ПДн

Обоснование. Само Положение об обработке (см. ниже) — это базовый внутренний документ. Чтобы документ имел силу, его нужно «ввести в действие» приказом. Это стандартная корпоративная практика и требование Роскомнадзора.

Кому нужен: всем.

4. Приказ об утверждении перечня обрабатываемых ПДн

Обоснование. Пункт 1 части 1 статьи 18.1 152-ФЗ требует «определять состав и категории обрабатываемых персональных данных». Этот перечень и есть фиксация того состава, утверждённая приказом руководителя.

Кому нужен: всем.

5. Приказ об утверждении перечня ИСПДн

Обоснование. Постановление Правительства РФ №1119 от 01.11.2012 требует определить уровень защищённости каждой информационной системы персональных данных. Чтобы это сделать, нужно сначала перечислить все ИСПДн. ИСПДн — это любая программа или система где хранятся персональные данные: 1С, CRM, Excel-файл со списком клиентов, банк-клиент, электронная почта, кадровый учёт.

Кому нужен: всем (даже если только Excel — это уже ИСПДн).

6. Приказ о допуске к обработке ПДн

Обоснование. Часть 1 статьи 18.1 152-ФЗ требует «определять круг лиц, имеющих доступ к персональным данным». Этот приказ фиксирует список конкретных сотрудников с правом обработки и их зоны ответственности.

Кому нужен: организациям с сотрудниками (для ИП без сотрудников — пропускаем).

7. Приказ об определении контролируемой территории

Обоснование. Приказ ФСТЭК №21 от 18.02.2013, пункт 8.3: «применение мер по контролю доступа в помещения, в которых ведётся обработка персональных данных». Контролируемая территория — это помещение, в которое посторонние не могут попасть без сопровождения. Для онлайн-бизнеса без офиса (фрилансер на дому) этот приказ менее критичен, но Роскомнадзор всё равно может спросить.

Кому нужен: организациям с физическим офисом.

8. Приказ о хранении бумажных носителей ПДн

Обоснование. Постановление Правительства РФ №687 от 15.09.2008 «Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» требует определить порядок хранения бумажных носителей. Если у вас на бумаге заявки от клиентов, договоры, кадровые документы — нужен приказ о их хранении (в каком сейфе, кто имеет доступ).

Кому нужен: при наличии бумажных носителей. Для чисто онлайн-бизнеса — пропускаем.

Положения и Правила — 3 документа

Краткий ответ. Положения — основные внутренние документы оператора. В отличие от приказов (которые что-то утверждают), положения описывают как именно организация работает с ПДн. Их три, и все три обязательны.

9. Положение об обработке ПДн

Обоснование. Часть 2 статьи 18.1 152-ФЗ: «Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к политике в отношении обработки персональных данных». Внимание: Политика — это публичный документ для сайта. А Положение — это внутренний документ, более подробный, для оператора и его сотрудников. Они разные.

В Положении фиксируется: цели обработки, перечень категорий ПДн, перечень субъектов, принципы и условия обработки, права субъектов, меры защиты, порядок реагирования на запросы. Этот документ Роскомнадзор просит первым при проверке.

Кому нужен: всем.

10. Правила осуществления внутреннего контроля

Обоснование. Пункт 4 части 1 статьи 18.1 152-ФЗ: «Оператор обязан осуществлять внутренний контроль соответствия обработки персональных данных требованиям закона». Правила описывают как именно этот контроль проводится: кто, когда, по каким параметрам, как фиксируются результаты.

Кому нужен: всем.

11. Правила рассмотрения запросов субъектов ПДн

Обоснование. Статья 14 152-ФЗ даёт субъекту право требовать от оператора информацию о его данных. Статья 21 152-ФЗ обязывает оператора уничтожить ПДн при отзыве согласия. Правила описывают как именно оператор принимает и обрабатывает такие запросы: куда субъект должен писать, в какой срок ответят, что приложить к запросу.

Кому нужен: всем.

Акты — 4 документа

Краткий ответ. Акты — однократные фиксирующие документы. Два из них (оценка вреда и уровень защищённости) составляются один раз и потом обновляются при изменениях, остальные два — шаблоны на случай реального уничтожения ПДн.

12. Акт оценки потенциального вреда субъектам

Обоснование. Часть 5 статьи 18.1 152-ФЗ требует оценить «возможный вред субъектам персональных данных в случае нарушения настоящего Федерального закона». Это формальная оценка — что может произойти если из вашей CRM утекут данные клиентов. Акт нужен чтобы показать что вы об этом думали и приняли меры пропорциональные риску.

Кому нужен: всем.

13. Акт определения уровня защищённости (УЗ)

Обоснование. Постановление Правительства РФ №1119 от 01.11.2012 устанавливает 4 уровня защищённости информационных систем персональных данных (УЗ-1 — максимум, УЗ-4 — минимум). Уровень определяется типом ПДн (специальные, биометрические, иные, общедоступные), количеством субъектов и актуальностью угроз. Акт фиксирует к какому УЗ относится каждая ИСПДн оператора.

Для типичного микро/малого бизнеса с обычными ПДн (ФИО, телефон, email) и менее 100 000 субъектов — это УЗ-4, самый низкий уровень с минимальными требованиями к защите.

Кому нужен: всем (для каждой ИСПДн отдельно).

14. Шаблон акта об уничтожении ПДн в информационной системе

Обоснование. Часть 1 статьи 21 152-ФЗ требует уничтожить ПДн при достижении целей обработки или отзыве согласия. Акт фиксирует факт уничтожения (что именно, когда, кем, на каком основании). Сам шаблон в пакете нужен — будете использовать когда возникнет необходимость.

Кому нужен: всем как шаблон.

15. Шаблон акта об уничтожении ПДн без использования автоматизации

Обоснование. Аналогично предыдущему, но для бумажных носителей (например, уничтожение картотеки клиентов). Постановление Правительства РФ №687 требует фиксировать каждый случай уничтожения бумажных ПДн отдельно.

Кому нужен: при наличии бумажных носителей.

Инструкции — 9 документов

Краткий ответ. Инструкции описывают процедуры — как сотрудники должны действовать в конкретных ситуациях. Для микро/малого бизнеса базовые 3 обязательны, остальные 6 — по чек-листу.

16. Инструкция пользователя ИСПДн

Обоснование. Приказ ФСТЭК №21 пункт 8.4: «применение мер по разграничению доступа». Инструкция описывает что разрешено и запрещено пользователю каждой информационной системы — что можно делать с базой клиентов в 1С, что нельзя. На неё ссылается каждый трудовой договор.

Кому нужен: всем.

17. Инструкция по антивирусной защите

Обоснование. Приказ ФСТЭК №21 пункт 8.5: «применение мер по антивирусной защите». Инструкция фиксирует какой антивирус используется, как часто обновляется, что делать при срабатывании.

Кому нужен: всем (у кого есть компьютер).

18. Инструкция по резервному копированию и восстановлению

Обоснование. Часть 2 статьи 19 152-ФЗ требует «восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа». Без резервных копий восстановить ничего невозможно. Инструкция описывает регулярность бэкапа, где хранится копия, как восстановиться.

Кому нужен: всем.

19. Инструкция ответственного за организацию обработки ПДн

Обоснование. Описывает обязанности человека, назначенного приказом №1 (см. выше). Чтобы ответственный понимал что именно он отвечает: контроль соблюдения, рассмотрение запросов субъектов, отчётность перед руководством.

Кому нужен: при наличии отдельного ответственного (не самого ИП).

20. Инструкция ответственного за обеспечение безопасности ПДн в ИСПДн

Обоснование. Описывает обязанности человека, отвечающего за техническую защиту (обычно системного администратора). Для УЗ-3 и выше обязательна, для УЗ-4 — желательна.

Кому нужен: при наличии IT-ответственного отдельно от ИП/директора.

21. Инструкция по учёту и хранению съёмных носителей

Обоснование. Если используете флешки, внешние диски, SD-карты для переноса данных между компьютерами — инструкция описывает порядок учёта, маркировки, хранения и уничтожения этих носителей.

Кому нужен: при использовании съёмных носителей.

22. Инструкция по учёту лиц, допущенных к ПДн

Обоснование. Связана с Приказом о допуске (см. №6). Описывает как ведётся учёт сотрудников с доступом, как вносятся изменения при найме/увольнении.

Кому нужен: организациям с сотрудниками.

23. Инструкция по проведению инструктажа работников

Обоснование. Часть 6 статьи 18.1 152-ФЗ: «оператор обязан ознакомить работников с положениями законодательства о персональных данных». Инструкция описывает как именно проводится первичный и повторный инструктаж новых сотрудников.

Кому нужен: при найме сотрудников.

24. Инструкция пользователя при возникновении нештатной ситуации

Обоснование. Описывает что делать сотруднику при подозрении на утечку, обнаружении вируса, потере носителя. Без такой инструкции — паника и хаос, ускоряющие утечку.

Кому нужен: всем для безопасности, для УЗ-3+ обязательна.

Журналы — 7 документов

Краткий ответ. Журналы — это постоянно ведущиеся записи событий. Их не «создают один раз», а заполняют в реальном времени по мере появления событий. Шаблоны журналов нужны как форма для заполнения.

25. Журнал учёта прохождения первичного инструктажа

Обоснование. Связан с Инструкцией №23. Фиксирует факт прохождения каждым сотрудником инструктажа по защите ПДн. Без подписи в журнале сотрудник формально не знает требований — и оператор не выполнил обязанность по ч.6 ст.18.1.

Кому нужен: при найме сотрудников.

26. Журнал учёта прав доступа к ИСПДн

Обоснование. Приказ ФСТЭК №21 пункт 8.2: «применение мер по идентификации и аутентификации субъектов доступа». Журнал ведёт администратор системы: кто, когда, какие права получил, когда отозвали.

Кому нужен: организациям с несколькими ИСПДн и сотрудниками с разными правами.

27. Журнал учёта проверок контролирующими органами

Обоснование. Регистрирует визиты Роскомнадзора, ФСТЭК, прокуратуры — когда приходили, что проверяли, что выявили. Полезен для понимания истории организации и при последующих проверках (новый инспектор увидит что предыдущий не нашёл нарушений).

Кому нужен: всем как шаблон.

28. Журнал учёта съёмных носителей

Обоснование. Связан с Инструкцией №21. Регистрирует поступление, выдачу, возврат, уничтожение флешек и дисков с ПДн.

Кому нужен: при использовании съёмных носителей.

29. Журнал учёта мобильных технических средств

Обоснование. Аналогично — для рабочих ноутбуков, планшетов, телефонов сотрудников, на которых обрабатываются ПДн.

Кому нужен: при использовании рабочих мобильных устройств.

30. Журнал учёта средств защиты информации (СЗИ)

Обоснование. Для УЗ-3 и выше — обязательно. Регистрирует все сертифицированные средства защиты (антивирус, межсетевой экран, СЗИ). Для УЗ-4 не критично.

Кому нужен: для УЗ-3+ или продвинутой безопасности.

31. Журнал регистрации нарушений и восстановления работоспособности

Обоснование. Фиксирует инциденты безопасности: сбои, утечки, восстановления. Помогает анализировать слабые места и реагировать в будущем.

Кому нужен: всем для системности, обязателен для УЗ-3+.

Согласия — 5 документов

Краткий ответ. Согласия — это документы, которые подписывают субъекты ПДн (работники, клиенты, контрагенты). Каждое согласие — для конкретного типа субъекта и для конкретных целей.

32. Согласие на обработку ПДн работника

Обоснование. Статья 9 152-ФЗ и статья 88 Трудового кодекса требуют согласия работника на обработку его ПДн. Без такого согласия любой найм нарушает закон.

Кому нужен: при найме сотрудников.

33. Согласие на обработку ПДн соискателя

Обоснование. То же что и работника, но для кандидатов которые ещё не приняты. Они присылают резюме (это уже сбор ПДн) — нужно их согласие.

Кому нужен: при HR-найме.

34. Согласие на обработку ПДн клиентов

Обоснование. Статья 9 152-ФЗ. Это то самое согласие которое вы публикуете на сайте через форму с чекбоксом. Базовый документ для любого сайта.

Кому нужен: всем у кого есть сайт с формой.

35. Согласие на обработку ПДн, разрешённых для распространения

Обоснование. Статья 10.1 152-ФЗ (введена в 2021 году) — отдельное согласие если оператор хочет публиковать ПДн (фото клиентов, отзывы с ФИО, дипломы участников). Обычное согласие на обработку не покрывает распространение.

Кому нужен: при публикации ФИО или фото клиентов/сотрудников.

36. Соглашение о неразглашении ПДн (NDA)

Обоснование. Статья 88 Трудового кодекса: «работники, осуществляющие получение, обработку и защиту персональных данных работников, должны быть ознакомлены под роспись с положениями законодательства о персональных данных, а также взять на себя письменное обязательство о соблюдении требований». Это и есть обязательство о неразглашении.

Кому нужен: с каждым сотрудником имеющим доступ к ПДн.

Документы для сайта — 3 документа

Краткий ответ. Это публичные документы, которые видит посетитель сайта. По сути воронка из 3 файлов: что собираем (политика), на что вы согласны (согласие), правила использования сайта (пользовательское соглашение).

37. Политика конфиденциальности

Обоснование. Часть 2 статьи 18.1 152-ФЗ: «оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к политике в отношении обработки персональных данных». Должна содержать 17 обязательных пунктов из ст. 18.1.

Кому нужен: всем у кого есть сайт.

38. Информированное согласие пользователя сайта

Обоснование. Статья 9 152-ФЗ. Текст согласия, с которым посетитель соглашается через чекбокс в формах. С сентября 2025 года требование стало строже — согласие должно быть отдельным документом, не разделом политики.

Кому нужен: всем у кого есть сайт.

39. Пользовательское соглашение

Обоснование. Хотя 152-ФЗ напрямую не требует пользовательское соглашение, оно регулирует отношения между сайтом и посетителем: правила использования, ограничение ответственности, интеллектуальные права. По 38-ФЗ «О рекламе» и Закону о защите прав потребителей — желательно для коммерческих сайтов.

Кому нужен: коммерческим сайтам и сайтам с регистрацией пользователей.

Приложения к Положению — 7 форм запросов

Краткий ответ. Это формы, которые субъект ПДн использует для обращения к оператору. По статьям 14, 20, 21 152-ФЗ субъект имеет права запрашивать информацию, уточнять, удалять, отзывать согласие. Готовые формы упрощают и оператору и субъекту.

Форма запроса о наличии и ознакомлении с ПДн — ст. 14 152-ФЗ
Форма запроса на уточнение ПДн — ст. 14 ч.1 п.5
Форма запроса на уничтожение ПДн — ст. 21
Форма запроса на блокирование ПДн — ст. 21 ч.1
Форма запроса с отзывом согласия на обработку — ст. 9 ч.2
Форма уведомления об устранении неправомерных действий — ст. 21 ч.3 (от оператора субъекту)
Форма уведомления об отказе во внесении изменений — ст. 14 ч.3 (от оператора субъекту)

Эти формы — приложения к Положению об обработке ПДн. Обычно идут единым комплектом.

Штрафы за отсутствие документов

Краткий ответ. Сумма штрафов в 2026 году сильно выросла. Сейчас максимальные штрафы по 152-ФЗ — до 18 миллионов рублей для юрлица при повторной утечке. За отсутствие отдельных документов — до 700 000 ₽ для юрлица.

Нарушение	Норма	ИП	Юрлицо
Не подал уведомление в РКН	ст. 19.7 КоАП	3 000 – 5 000 ₽	30 000 – 50 000 ₽
Обработка без согласия	ст. 13.11 ч.1 КоАП	60 000 – 100 000 ₽	300 000 – 500 000 ₽
Нет политики на сайте	ст. 13.11 ч.3 КоАП	30 000 – 60 000 ₽	60 000 – 200 000 ₽
Передача ПДн без согласия	ст. 13.11 ч.1.1 КоАП	30 000 – 50 000 ₽	350 000 – 700 000 ₽
Нет ответственного за обработку	ст. 19.7 КоАП	до 5 000 ₽	до 200 000 ₽
Утечка ПДн (с 2025)	ст. 13.11 ч.10 КоАП	100 000 – 400 000 ₽	1 000 000 – 6 000 000 ₽
Повторная утечка	ст. 13.11 ч.11 КоАП	300 000 – 800 000 ₽	6 000 000 – 18 000 000 ₽

Штрафы суммируются по каждому нарушению. Стандартная картина при проверке: нет политики (200 тыс) + нет согласия (500 тыс) + Метрика грузится до согласия (300 тыс) + нет ответственного (200 тыс) — почти 1.2 млн ₽ с одного визита инспектора.

Поэтому документация — это не «бумажки для бюрократии», а реальная защита от штрафов.

Что мы автоматически формируем за 490 ₽

Краткий ответ. Полный пакет на pdaudit.ru за 490 ₽ включает архив с готовыми документами под ваши реквизиты. Базовый набор (~20 документов) автоматически адаптирован под ИП/ООО с типичной структурой. Опциональные документы (~13 дополнительных) подключаются по чекбоксам в опроснике после оплаты.

В архиве вы получаете:

Все 20 базовых документов — приказы, положения, акты, инструкции, согласия, документы для сайта, приложения. Реквизиты уже подставлены из реестра РКН по вашему ИНН.
До 16 опциональных — по чекбоксам в опроснике: сотрудники, бумажные носители, съёмные носители, офис, облако, филиалы, распространение, расширенная безопасность.
Каждый документ в двух форматах: PDF (для печати и предъявления) и DOCX (если нужно дописать или скорректировать).
Инструкция по применению — что подписать, где хранить, как обновлять при изменениях.
Дисклеймер: документы автоматически сформированы по статьям 152-ФЗ. Финальная ответственность за их применение лежит на операторе.

В опроснике 8-10 базовых вопросов плюс дозапросы по выбранным опциям. Заполнение — 3-4 минуты. После заполнения архив скачивается мгновенно.

Запустить бесплатную проверку и получить пакет за 490 ₽.

Частые вопросы

Нужны ли все 30+ документов микро-бизнесу?

Нет. Для типичного ИП без сотрудников минимально нужны ~20 документов из базового пакета. При найме сотрудников добавляются 5-8 документов. При наличии бумажных носителей, флешек, офиса — ещё по 1-3 на каждое. Полный пакет 36+ — для ООО с расширенной безопасностью или организаций с УЗ-3.

Что если у меня только сайт без сотрудников?

Минимальный набор — около 20 документов: 6 приказов, 3 положения, 4 акта, 3 базовые инструкции, 1 журнал, 1 согласие клиента, 3 документа для сайта, 7 приложений. Этого достаточно для типичной плановой проверки Роскомнадзора у микро-бизнеса с одним сайтом.

Кто проверяет наличие документов?

Роскомнадзор — основной проверяющий. Может прийти плановой проверкой (по графику) или внеплановой по жалобе. Также документация запрашивается при инцидентах безопасности — если ваши данные утекли, инспектор первым делом просит документы чтобы понять выполнили ли вы свои обязанности.

Я уже подал уведомление в РКН. Нужны ли мне ещё документы?

Да. Уведомление в Роскомнадзор — это первичная регистрация оператора, а внутренние документы — операционная часть. Их проверяют отдельно. Подача уведомления не отменяет необходимости приказов, положений, инструкций. Подробнее — в статье «Регистрация в РКН как оператор персональных данных».

Можно ли вести бизнес без этих документов?

Технически да, физически вас никто не остановит. Юридически — нет. При первой плановой проверке Роскомнадзор найдёт нарушения и выпишет штрафы. Документы — это страховка от ответственности, а не формальность.

Можно скачать готовый шаблон в интернете?

Можно, но риск есть. Бесплатные шаблоны 2018-2021 годов не учитывают изменения 152-ФЗ от 2022 и 2025. Многие шаблоны содержат калькированные с европейского права формулировки (DPO, Privacy Shield), которые в российском законе не применимы. Адаптация под ваши реквизиты — отдельная работа на 5-8 часов даже для подготовленного человека.

Что входит в наш пакет за 490 ₽?

Все базовые документы из этой статьи + опциональные по вашему выбору. Реквизиты автоматически подставляются из реестра РКН по ИНН. Формат — PDF и DOCX. Скачивается сразу после заполнения короткого опросника.

Что в итоге

Ведение документов по 152-ФЗ — это не бюрократия, а реальная защита от штрафов которые с 2025 года достигают 18 миллионов рублей. Минимальный набор для микро-бизнеса — около 20 документов, большинство из них шаблонизируются по реквизитам оператора.

Наш пакет за 490 ₽ закрывает базу и опции под чек-листы. Если у вас сложный случай (медицина, образование, биометрия) — нужен индивидуальный аудит, у нас есть тариф «Под ключ» за 9 900 ₽.

pdaudit.ru — бесплатная проверка за 30 секунд, полный пакет документов за 490 ₽.

Об авторе

Дмитрий Синица. ИП с 2013 года, в разработке с 2010-го.

Направления: сайты (от лендингов до магазинов), чат-боты с ИИ и без, автоматизация процессов в малом бизнесе.

PdAudit.ru сделал, зная боли своих клиентов: кто-то где-то услышал про 152-ФЗ, подумал «потом разберусь», и через год сайт всё ещё без политики и согласия. Сервис за минуту находит проблемы и собирает готовые документы под конкретный сайт.

ИНН 502716306004, ОГРНИП 313502708000051. Запись в реестре операторов ПДн №77-25-358038 от 23.06.2025.

Источники

Федеральный закон №152-ФЗ «О персональных данных» (официальный текст)
Статья 18.1 152-ФЗ — меры по обеспечению выполнения обязанностей (КонсультантПлюс)
Статья 19 152-ФЗ — меры по обеспечению безопасности ПДн
Статья 22.1 152-ФЗ — ответственный за организацию обработки ПДн
Постановление Правительства РФ №1119 от 01.11.2012 — об уровнях защищённости
Постановление Правительства РФ №687 от 15.09.2008 — особенности обработки без автоматизации
Приказ ФСТЭК №21 от 18.02.2013 — состав мер защиты ПДн
Приказ ФСБ №378 от 10.07.2014 — защита ПДн с криптографией
КоАП РФ, статья 13.11 — штрафы за нарушения 152-ФЗ
КоАП РФ, статья 19.7 — штрафы за непредставление уведомлений
Трудовой кодекс РФ, ст. 86-90 — защита ПДн работника

Полный пакет документов по 152-ФЗ для ИП и ООО — список с обоснованием

Содержание

Что такое ОРД по 152-ФЗ

Кому какие документы нужны

Приказы — 8 документов

1. Приказ о назначении ответственного за обработку ПДн

2. Приказ о мерах по обеспечению безопасности ПДн

3. Приказ об утверждении Положения об обработке ПДн

4. Приказ об утверждении перечня обрабатываемых ПДн

5. Приказ об утверждении перечня ИСПДн

6. Приказ о допуске к обработке ПДн

7. Приказ об определении контролируемой территории

8. Приказ о хранении бумажных носителей ПДн

Положения и Правила — 3 документа

9. Положение об обработке ПДн

10. Правила осуществления внутреннего контроля

11. Правила рассмотрения запросов субъектов ПДн

Акты — 4 документа

12. Акт оценки потенциального вреда субъектам

13. Акт определения уровня защищённости (УЗ)

14. Шаблон акта об уничтожении ПДн в информационной системе

15. Шаблон акта об уничтожении ПДн без использования автоматизации

Инструкции — 9 документов

16. Инструкция пользователя ИСПДн

17. Инструкция по антивирусной защите

18. Инструкция по резервному копированию и восстановлению

19. Инструкция ответственного за организацию обработки ПДн

20. Инструкция ответственного за обеспечение безопасности ПДн в ИСПДн

21. Инструкция по учёту и хранению съёмных носителей

22. Инструкция по учёту лиц, допущенных к ПДн

23. Инструкция по проведению инструктажа работников

24. Инструкция пользователя при возникновении нештатной ситуации

Журналы — 7 документов

25. Журнал учёта прохождения первичного инструктажа

26. Журнал учёта прав доступа к ИСПДн

27. Журнал учёта проверок контролирующими органами

28. Журнал учёта съёмных носителей

29. Журнал учёта мобильных технических средств

30. Журнал учёта средств защиты информации (СЗИ)

31. Журнал регистрации нарушений и восстановления работоспособности

Согласия — 5 документов

32. Согласие на обработку ПДн работника

33. Согласие на обработку ПДн соискателя

34. Согласие на обработку ПДн клиентов

35. Согласие на обработку ПДн, разрешённых для распространения

36. Соглашение о неразглашении ПДн (NDA)

Документы для сайта — 3 документа

37. Политика конфиденциальности

38. Информированное согласие пользователя сайта

39. Пользовательское соглашение

Приложения к Положению — 7 форм запросов

Штрафы за отсутствие документов

Что мы автоматически формируем за 490 ₽

Частые вопросы

Нужны ли все 30+ документов микро-бизнесу?

Что если у меня только сайт без сотрудников?

Кто проверяет наличие документов?

Я уже подал уведомление в РКН. Нужны ли мне ещё документы?

Можно ли вести бизнес без этих документов?

Можно скачать готовый шаблон в интернете?

Что входит в наш пакет за 490 ₽?

Что в итоге

Об авторе

Источники

Читайте также