Персональные данные в бизнесе: какие документы должны быть у юрлиц, ИП и самозанятых
(в вопросах и ответах)

Илья Латышев
юрист, заместитель директора общества с ограниченной ответственностью «БиЭлБи Юридические услуги»

Юрий Медведев
DPO, советник по защите персональных данных общества с ограниченной ответственностью «БиЭлБи Юридические услуги»

14.04.2026

Закон от 07.05.2021 № 99-З «О защите персональных данных» действует с 2021 года. В этом году ему ровно 5 лет. Казалось бы, времени на адаптацию достаточно, но многие представители малого и среднего бизнеса до сих пор живут по принципу: «Пока проверка не пришла, зачем вообще эти документы разрабатывать?».

Практика показывает, что игнорирование этого вопроса обходится дорого. Рассмотрели, зачем бизнесу нужны документы по защите персональных данных, какие именно бумаги должны быть в каждой компании.

Вопрос 1: Зачем бизнесу документы по защите персональных данных?

Ответ: Статья 17 Закона № 99-З так и называется «Меры по обеспечению защиты персональных данных». В ней прописано, что одной из правовых и организационных мер является издание оператором, а это любая компания на рынке, документов, описывающих политику работы с персональными данными. В подп.3.5 п.3 Указа от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» установлен перечень иных документов по защите персональных данных, которые обязательно должны быть в организации.

Значит, наличие таких документов - прямая обязанность по законодательству.

Вопрос 2: Что будет, если документов нет?

Ответ: 1. Штрафы. В ст.23.7 КоАП предусмотрена административная ответственность за несоблюдение мер по защите персональных данных. Штраф юрлицу может достигать 50 БВ (например, за валяющиеся на столе кадровика больничные). За незаконный сбор или обработку данных без оснований штраф также составит до 50 БВ, а за умышленную утечку базы данных (например, утечка базы на сторонние площадки) штраф доходит до 200 БВ. Для физлиц за умышленные действия предусмотрена и уголовная ответственность.

2. Проверки НЦЗПД. Отсутствие документов рано или поздно привлечет внимание регулятора. Можно попасть под камеральную или внеплановую проверку. В ежегодных отчетах регулятора отсутствие документов, описывающих соблюдение правовых и организационных мер по защите персональных данных, фигурирует как одно из самых типичных нарушений. При проверках после утечек отсутствие документов всегда фиксируется как нарушение.

3. Жалобы клиентов. Население становится грамотнее. Если человек не может найти на сайте Политику обработки ПД и понять, как обрабатываются его данные (нарушение принципа прозрачности - ст.4 Закона № 99-З), он имеет полное право пожаловаться в НЦЗПД, а жалоба - это вероятный повод для внеплановой проверки.

Вопрос 3: Какой базовый пакет документов должен быть у юрлиц?

Ответ: Законодательство построено на риск-ориентированном подходе. Это значит, что конкретный список документов зависит от размера бизнеса и объема обрабатываемых данных. Однако за 5 лет сформировался минимальный базовый перечень, который должен быть у каждого юрлица. На практике пакеты для клиентов содержат порядка 15-20 документов.

Приведем минимум.

Политики обработки персональных данных. У компании должно быть несколько политик обработки персональных данных для соблюдения принципа прозрачности. Должны быть отдельные документы: общая политика, политика обработки данных персонала, политика использования файлов cookie (если есть сайт), политика для розничных клиентов (физлиц) и политика для представителей контрагентов и т.д.

Перечень информационных систем. Это требование подп.3.5 п.3 Указа № 422. Документ, описывающий все программное обеспечение (серверное ПО, 1С, CRM), где хранятся персональные данные работников, клиентов или контрагентов.

Реестр уполномоченных лиц. Уполномоченные лица - это подрядчики (бухгалтерия на аутсорсе, типография, печатающая визитки с Ф.И.О. работников, маркетологи), которые обрабатывают данные по поручению организации и в ее интересах. За их утечку ответственность в первую очередь несет сама организация, которая поручила обработку уполномоченному лицу, поэтому вести учет таких лиц обязательно.

Порядок доступа к персональным данным. Локальный акт, разграничивающий доступ работников к информационным системам (ресурсам), в которых персональные данные обрабатываются в организации. Например, маркетолог должен иметь доступ только к тем данным, которые ему необходимо для исполнения его должностных обязанностей (например, только к CRM сайта с базой данной потенциальных клиентов, а не к 1С с зарплатами работников организации). Главный бухгалтер, напротив, скорее всего будет иметь доступ почти ко всем видам данных. За нарушение порядка доступа также предусмотрена ответственность.

Внутреннее положение об обработке персональных данных. Документ, детально прописывающий для персонала процессы работы с данными.

Положение об осуществлении внутреннего контроля. В компании должен быть назначен DPO (Data Protection Officer - лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных) - лицо, ответственное за внутренний контроль. Данное положение регламентирует его полномочия, порядок проведения проверок и устранения нарушений. Проверяющие из НЦЗПД первым делом просят акты этих проверок.

Формы согласий и Положение об их учете. Не все можно обрабатывать без согласия (например, рекламные рассылки по физлицам требуют согласия по Закону от 10.05.2007 № 225-З «О рекламе»). Нужны формы и регламент их учета, контроля и отзыва.

Формы заявлений субъектов персональных данных о реализации их прав и Положение о работе с ними. По закону у каждого человека есть следующие права, связанные с обработкой его персональных данных: на отзыв согласия, на прекращение обработки ПД, на получение информации об обработке ПД и о предоставлении персональных данных третьим лицам (ст.10-13 Закона 99-З).

Положение о порядке удаления, блокирования и обезличивания данных. Данные должны храниться ровно до тех пор, пока не достигнута цель их обработки. Процесс прекращения их обработки должен быть регламентирован.

Реестр обработки персональных данных. Инструмент DPO, в котором прописываются все процессы: где данные хранятся, кем получаются, сколько хранятся и когда удаляются.

Вопрос 4: Какие документы должны быть у ИП?

Ответ: Индивидуальные предприниматели также обязаны соблюдать Закон № 99-З, но для них есть небольшие послабления. Главное из них - ИП могут не назначать DPO (лицо, ответственное за внутренний контроль). Часто ИП не имеет штата, поэтому функции DPO он выполняет самостоятельно, и документы, связанные с его полномочиями, разрабатывать не нужно.

В остальном комплект аналогичен комплекту юрлиц.

Политики (общая, для сайта, для розничных клиентов, если работает с физлицами).

Перечень информационных систем.

Реестр уполномоченных лиц (для ИП это суперактуально, так как продажники, бухгалтеры, СММ-щики обычно работают на аутсорсе).

Регламент или раздел в Политике об удалении, блокировании и обезличивании данных.

Реестр обработок персональных данных (желательно вести для внутреннего учета).

Штрафы за отсутствие документов для ИП абсолютно те же (ст.23.7 КоАП).

Вопрос 5: Какие документы должны быть у самозанятых, ремесленников, агроусадьбы?

Ответ: Многие ошибочно полагают, что Закон № 99-З касается только крупных компаний. Однако в ст.1 Закона № 99-З четко сказано: оператором являются в том числе физлица. Как только ремесленник открывает сайт и начинает собирать данные клиентов для доставки, он становится оператором персональных данных. И для него начинают действовать требования об обязательных мерах.

Что нужно подготовить этой категории?

1. Политику обработки данных.

2. Перечень информационных систем.

3. Реестр уполномоченных лиц (если нанимаются сторонние СММ-щики или рекламщики).

Назначать DPO самозанятым и ремесленникам не нужно.

Дополнительно по теме Защита персональных данных в договорной работе: риски, правила и неочевидные нюансы.