Проверка Роскомнадзора чаще всего начинается не с осмотра сайта, а с письма: в течение десяти рабочих дней предоставьте документы об обработке персональных данных. И первым пунктом в этом списке идёт не политика конфиденциальности с сайта, а внутренние документы оператора. Компания, у которой из всех бумаг только страница /privacy, на этом месте и спотыкается: политика есть, а показать, как данные реально обрабатываются внутри, нечем.
Этот внутренний документ и называется положением об обработке персональных данных. Ниже разберём, чем он отличается от остальных бумаг вокруг 152-ФЗ, из каких разделов состоит, что писать в каждом, и дадим готовый образец в docx.
Четыре документа, которые все путают#
Вокруг персональных данных крутится четыре разных документа, и в половине компаний, которые мы проверяли, они перемешаны в один. Держать их стоит раздельно, у каждого своя роль.
| Документ | Для кого | Где живёт |
|---|---|---|
| Политика конфиденциальности | Посетители сайта | Публичная страница, ссылка в подвале и у форм |
| Согласие на обработку | Каждый, кто отправляет форму | Галочка у формы, факт фиксируется в базе |
| Положение об обработке данных | Сотрудники и проверяющий | Внутренний документ, утверждён приказом |
| Уведомление в Роскомнадзор | Регулятор | Реестр операторов на портале РКН |
Первые два смотрят наружу: образец политики и образец согласия для форм мы уже разбирали. Уведомление уходит регулятору один раз, до начала обработки, про него есть отдельный разбор с инструкцией подачи. А положение остаётся внутри компании и отвечает на вопрос, как у вас на самом деле устроена работа с данными.
Основание одно на всех: часть 2 статьи 18.1 закона 152-ФЗ обязывает оператора издать документы, определяющие политику в отношении обработки персональных данных, и локальные акты по вопросам обработки. Публичная политика закрывает первую половину требования, положение закрывает вторую.
Кому нужно положение#
Каждому, кто по закону считается оператором персональных данных. Порог входа низкий: одна форма заявки на сайте, база клиентов в CRM или таблице, трудовые договоры с сотрудниками. Любое из этого делает компанию или ИП оператором, а оператору нужны локальные акты.
Отдельно про малый бизнес это работает так же: закон не делает скидок на размер. Разница только в объёме документа: чем проще процессы, тем короче положение. Для лендинга с одной формой и CRM документ занимает три-четыре страницы, и это нормально.
Из чего состоит положение: десять разделов#
Дальше конструктор. Идём по разделам в том порядке, в каком они обычно стоят в документе: что писать в каждом и на чём чаще всего ошибаются.
-
Общие положения. Кто оператор (наименование, ИНН, адрес), на основании чего издан документ (152-ФЗ, статья 18.1), какие термины используются. Не переписывайте в термины половину закона: достаточно тех, что реально встречаются дальше по тексту.
-
Цели обработки. Зачем вы собираете данные: обработка заявок, исполнение договоров, кадровый учёт, рассылка. Ошибка здесь — писать одну общую цель «ведение деятельности». Цели должны быть конкретными, они же потом повторяются в согласиях и в уведомлении Роскомнадзору, и расхождение между документами проверяющий видит сразу.
-
Правовые основания. Что даёт вам право обрабатывать данные: согласие субъекта, договор с ним, требования трудового и налогового законодательства. Для каждой цели своё основание.
-
Категории субъектов и состав данных. Чьи данные вы обрабатываете (клиенты, сотрудники, соискатели, посетители сайта) и какие именно: имя, телефон, почта, для сотрудников паспортные данные и СНИЛС. Пишите честно по факту: если собираете cookie и IP через аналитику, это тоже сюда.
-
Порядок и условия обработки. Какие действия совершаются (сбор, запись, хранение, уточнение, передача, удаление), автоматизированно или нет, где физически хранятся базы. Если данные уходят подрядчикам (хостинг, CRM, сервис рассылок), здесь фиксируется, что передача идёт по поручению с соблюдением конфиденциальности.
-
Ответственный за организацию обработки. Назначается приказом, в положении описываются его обязанности. В небольшой компании это обычно руководитель или один из менеджеров. Требование прямое, из статьи 18.1, и его отсутствие заметно при первой же проверке.
-
Допуск сотрудников. Кто имеет доступ к данным и на каких условиях: перечень должностей, обязательство о неразглашении, ознакомление с положением под подпись. Лист ознакомления храните вместе с документом.
-
Права субъектов. Что может сделать человек, чьи данные вы обрабатываете: запросить сведения, потребовать уточнения или удаления, отозвать согласие. И главное, как именно он это делает: на какой адрес пишет и в какой срок вы отвечаете.
-
Меры защиты. Организационные и технические меры по статье 19: разграничение доступа, пароли, антивирус, шифрование соединения, резервные копии. Пишите то, что реально применяете. Красивый список несуществующих мер при проверке сработает против вас.
-
Сроки хранения и уничтожение. Сколько храните данные по каждой цели и что происходит потом: обезличивание или уничтожение с актом. Ошибка — не писать сроки вообще, тогда формально данные хранятся вечно, а это нарушение принципа обработки.
Образец положения (2026)#
Скачать файл для редактирования: положение-об-обработке-персональных-данных-образец-2026.docx. Внутри те же десять разделов с формулировками: открой в Word или Google Документах и замени всё в квадратных скобках на данные своей компании.
Это базовый образец для типовой компании или ИП: сайт с формами, CRM, сотрудники. Он не заменяет юридическую консультацию. Если работаете с особыми категориями данных (здоровье, биометрия), с данными детей или в медицине и финансах, документ должен собирать юрист под ваши процессы.
Что спросит проверяющий#
Полезно понимать, как положение читает Роскомнадзор. При документарной проверке сверяются три вещи.
Совпадают ли документы между собой. Цели в положении, в публичной политике, в согласиях у форм и в уведомлении из реестра операторов должны быть одинаковыми. Классический провал: в уведомлении три цели, в положении пять, на сайте политика со старым названием компании.
Соответствует ли документ реальности. Написано «данные хранятся на серверах в России», а CRM зарубежная. Написано «доступ у двух сотрудников», а пароль от почты знает весь офис. Проверяющий сопоставляет бумагу с фактами, и расхождение хуже, чем честно описанный скромный процесс.
Живой ли это документ. Дата утверждения, приказ, подписи сотрудников в листе ознакомления, актуальная редакция закона в ссылках. Положение, скачанное в 2019 году и ни разу не открытое, видно по первым же ссылкам на старые редакции статей.
Штрафы по документам считаются по статье 13.11 КоАП: за отсутствие опубликованной политики для компании это 30-60 тысяч рублей, за обработку без согласия от 300 тысяч, а с 30 мая 2025 года добавился отдельный штраф до 300 тысяч за неподанное уведомление. Отсутствие внутренних актов само по себе ведёт к предписанию, но обычно оно тянет за собой и соседние нарушения, поэтому дешевле держать весь пакет в порядке.
Проверить, что видно снаружи#
Положение снаружи не видно, но половина нарушений, которые тянут за собой проверку, видна прямо на сайте: нет ссылки на политику, у форм нет галочки согласия, не показывается баннер cookie. Наш бесплатный аудит сайта на соответствие 152-ФЗ показывает эти дыры за пару минут, без регистрации.
Если проще поручить весь пакет нам, приводим сайты в соответствие в рамках услуги соответствие 152-ФЗ под ключ: политика, согласия у форм, баннер cookie, подсказки по внутренним документам и уведомлению. Напиши нам, посмотрим твою ситуацию.
- Положение это внутренний документ, политика на сайте его не заменяет: закон требует и то и другое.
- Десять разделов из разбора выше закрывают типовую компанию; для ИП без сотрудников документ короче.
- Цели и состав данных должны совпадать во всех документах: положение, политика, согласия, уведомление в реестре.
- Пишите то, что есть на самом деле: расхождение бумаги с фактами при проверке хуже скромного, но честного описания.
- Документ должен жить: приказ об утверждении, подписи сотрудников, обновление при смене сервисов и редакций закона.
Источники#
- Федеральный закон 152-ФЗ "О персональных данных", статья 18.1 (меры оператора), официальный текст (КонсультантПлюс).
- Рекомендации Роскомнадзора по составлению документов оператора, портал персональных данных Роскомнадзора.
- Закон о повышении штрафов за нарушения с персональными данными (опубликован 30.11.2024), портал правовой информации.
Частые вопросы про положение об обработке персональных данных
01Чем положение об обработке персональных данных отличается от политики конфиденциальности?
Политика это публичный документ для посетителей: она лежит на сайте, на неё ссылаются формы. Положение это внутренний локальный акт компании: как сотрудники работают с данными, кто за что отвечает, как данные хранятся и уничтожаются. Роскомнадзор при проверке запрашивает оба документа, один другого не заменяет.02Обязательно ли положение, если на сайте уже есть политика конфиденциальности?
Да. Статья 18.1 закона 152-ФЗ требует от оператора не только опубликовать политику, но и издать локальные акты по вопросам обработки персональных данных. Положение и есть основной такой акт. При документарной проверке его отсутствие фиксируется как нарушение.03Кто утверждает положение и надо ли знакомить с ним сотрудников?
Положение утверждает руководитель приказом. Сотрудников, которые работают с персональными данными, знакомят с документом под подпись. Лист ознакомления это первое, что просят показать при проверке.04Нужно ли положение индивидуальному предпринимателю без сотрудников?
Формально требование издать локальные акты касается всех операторов, включая ИП. Для ИП без сотрудников документ короче: нет раздела про допуск работников, но цели, состав данных, сроки хранения, меры защиты и порядок уничтожения описать нужно.05Как часто обновлять положение?
По мере изменений: поменяли CRM или сервис рассылок, начали собирать новые данные. Плюс раз в год стоит сверить документ с актуальной редакцией 152-ФЗ: закон правят регулярно, штрафы выросли в 2025 году.

