Кибероснова | 152-ФЗ — документы по защите персональных данных
Образец 2026
152-ФЗ20265 мин

Перечень персональных данных: как составить, образец

Перечень персональных данных по 152-ФЗ: что включить, как составить для организации, образец перечня обрабатываемых ПДн работников и клиентов, приказ об утверждении.

Что такое перечень персональных данных и зачем он нужен

Перечень персональных данных — это внутренний документ организации, в котором систематизированы все категории и виды персональных данных, обрабатываемых оператором. Документ определяет, какие именно данные собираются, по каким основаниям и для каких целей.

Составление перечня — это обязательный этап организации системы защиты персональных данных. Требование вытекает из статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ, согласно которой оператор обязан принимать меры для обеспечения выполнения обязанностей по защите ПДн.

Зачем нужен перечень ПДн

  • Определение объёма обработки — фиксирует, какие именно данные обрабатывает организация;
  • Соблюдение принципа минимизации — позволяет убедиться, что собираются только необходимые данные (ст. 5 ч. 5 152-ФЗ);
  • Основание для определения уровня защищённости — категории ПДн влияют на требуемый уровень защиты по Постановлению Правительства РФ № 1119;
  • Документальное подтверждение при проверках — Роскомнадзор и ФСТЭК запрашивают перечень при контрольных мероприятиях;
  • Разработка других документов — перечень является основой для политики обработки ПДн, модели угроз, уведомления Роскомнадзора.

Какие бывают перечни

В организации обычно составляется несколько связанных перечней:

  • Перечень обрабатываемых ПДн — полный список данных по категориям субъектов;
  • Перечень персональных данных работников — данные, обрабатываемые в рамках трудовых отношений;
  • Перечень информационных систем ПДн (ИСПДн) — системы, в которых обрабатываются данные;
  • Перечень категорий ПДн — классификация данных (общие, специальные, биометрические);
  • Перечень мер защиты ПДн — организационные и технические меры безопасности.

Как составить перечень персональных данных для организации

  1. 1

    Проведите аудит процессов обработки ПДн

    Определите все бизнес-процессы, в которых участвуют персональные данные: кадровое делопроизводство, бухгалтерия, работа с клиентами, маркетинг, видеонаблюдение, пропускной режим, работа сайта. Для каждого процесса выявите, какие данные собираются, от кого и на каком основании.

  2. 2

    Определите категории субъектов ПДн

    Выделите все группы лиц, чьи данные обрабатывает организация: работники, кандидаты на вакансии, клиенты (физические лица), представители контрагентов, посетители офиса, пользователи сайта, родственники работников (для социальных выплат). Для каждой категории опишите цель обработки и правовое основание.

  3. 3

    Составьте перечень данных по каждой категории

    Для каждой категории субъектов перечислите конкретные виды обрабатываемых данных. Например, для работников: ФИО, дата и место рождения, паспортные данные, СНИЛС, ИНН, адрес регистрации, образование, семейное положение, военный учёт. Укажите категорию данных: общие, специальные (ст. 10 152-ФЗ) или биометрические (ст. 11 152-ФЗ).

  4. 4

    Определите информационные системы и способы обработки

    Перечислите все ИСПДн, в которых обрабатываются данные: 1С, CRM-система, кадровый учёт, бухгалтерия, сайт, электронная почта. Для каждой системы укажите: какие данные обрабатываются, тип обработки (автоматизированная, без автоматизации, смешанная), где хранятся данные (сервер, облако, бумажный архив).

  5. 5

    Утвердите перечень приказом руководителя

    Оформите перечень как приложение к приказу об утверждении перечня персональных данных. Приказ подписывает руководитель организации. В приказе укажите: дату введения перечня в действие, ответственного за актуализацию, периодичность пересмотра (рекомендуется ежегодно). Ознакомьте под подпись всех сотрудников, имеющих доступ к ПДн.

Виды перечней персональных данных

Перечень персональных данных работников включает все данные, обрабатываемые в рамках трудовых отношений. Правовое основание — Трудовой кодекс РФ (глава 14), налоговое и пенсионное законодательство.

Состав данных работников:

  • ФИО (в том числе прежние), дата и место рождения, гражданство;
  • Паспортные данные (серия, номер, кем и когда выдан);
  • СНИЛС, ИНН;
  • Адрес регистрации и фактического проживания;
  • Образование, квалификация, специальность;
  • Семейное положение, состав семьи;
  • Сведения о воинском учёте;
  • Трудовой стаж, данные предыдущих мест работы;
  • Фотография (для личного дела и пропуска);
  • Номер телефона, e-mail;
  • Банковские реквизиты (для перечисления зарплаты);
  • Сведения об инвалидности (специальная категория по ст. 10 152-ФЗ).

Приказ об утверждении перечня персональных данных

Перечень персональных данных вводится в действие приказом руководителя организации. Приказ является обязательным организационным документом, подтверждающим легитимность обработки данных.

Структура приказа

1. Заголовок: «Приказ об утверждении перечня персональных данных, обрабатываемых в ООО «___»».

2. Преамбула: ссылка на Федеральный закон от 27.07.2006 № 152-ФЗ, Постановление Правительства РФ от 01.11.2012 № 1119, внутренние нормативные акты организации.

3. Приказываю:

  • Утвердить Перечень персональных данных, обрабатываемых в организации (Приложение № 1);
  • Утвердить Перечень информационных систем персональных данных (Приложение № 2);
  • Назначить ответственного за актуализацию перечня — указать должность и ФИО;
  • Установить периодичность пересмотра — не реже одного раза в год;
  • Ознакомить под подпись всех работников, допущенных к обработке ПДн.

4. Приложения: собственно перечни в табличной форме.

5. Подпись: руководитель организации, дата, печать (при наличии).

Важные нюансы

  • Приказ издаётся до начала обработки персональных данных;
  • При изменении состава обрабатываемых данных приказ переиздаётся или вносятся изменения;
  • Перечень ПДн является конфиденциальным документом — доступ только у сотрудников, работающих с ПДн;
  • Приказ хранится постоянно (срок хранения — до ликвидации организации).

Что должен содержать перечень персональных данных

  • Полное наименование организации-оператора, ИНН, ОГРН
  • Категории субъектов ПДн (работники, клиенты, кандидаты, посетители, контрагенты)
  • Конкретный состав персональных данных для каждой категории субъектов
  • Классификация данных по категориям: общие, специальные (ст. 10), биометрические (ст. 11)
  • Цели обработки для каждой категории данных
  • Правовые основания обработки (закон, договор, согласие, законный интерес)
  • Способы обработки (автоматизированный, без автоматизации, смешанный)
  • Перечень ИСПДн с указанием обрабатываемых в них данных
  • Сроки хранения персональных данных по каждой категории
  • Порядок уничтожения ПДн при достижении цели обработки
  • Дата утверждения и реквизиты приказа об утверждении
  • Подпись руководителя и лист ознакомления работников

Образец перечня персональных данных

УТВЕРЖДАЮ Генеральный директор ООО «_» _____________ / ФИО / Приказ № ____ от «» ____ 2026 г.

ПЕРЕЧЕНЬ персональных данных, обрабатываемых в ООО «___»

1. Персональные данные работников

Вид персональных данныхКатегорияОснованиеСрок хранения
1Фамилия, имя, отчествоОбщиеТК РФ75 лет
2Дата и место рожденияОбщиеТК РФ75 лет
3Паспортные данныеОбщиеТК РФ75 лет
4СНИЛСОбщиеФЗ-2775 лет
5ИННОбщиеНК РФ75 лет
6Адрес регистрацииОбщиеТК РФ75 лет
7Образование, квалификацияОбщиеТК РФ75 лет
8Семейное положениеОбщиеТК РФ75 лет
9ФотографияБиометрическиеСогласие75 лет
10Сведения об инвалидностиСпециальныеТК РФ75 лет

2. Персональные данные клиентов

Вид персональных данныхКатегорияОснованиеСрок хранения
1Фамилия, имя, отчествоОбщиеДоговорСрок договора + 3 года
2Номер телефонаОбщиеДоговорСрок договора + 3 года
3Адрес электронной почтыОбщиеДоговорСрок договора + 3 года
4Адрес доставкиОбщиеДоговорСрок договора + 3 года

3. Персональные данные посетителей сайта

Вид персональных данныхКатегорияОснованиеСрок хранения
1IP-адресОбщиеСогласие1 год
2Данные cookiesОбщиеСогласие1 год
3ФИО (из формы)ОбщиеСогласие1 год
4Телефон / e-mail (из формы)ОбщиеСогласие1 год

Ответственный за актуализацию перечня: _______________ (должность, ФИО) Дата составления: «__» ____ 2026 г.

Скачать образец

Актуальный бланк 2026 года в формате DOCX

Скачать

Штрафы за отсутствие перечня ПДн

Отсутствие систематизированного перечня обрабатываемых персональных данных может быть квалифицировано как нарушение порядка обработки ПДн по статье 13.11 КоАП РФ. Штраф для юридических лиц — от 60 000 до 100 000 рублей за первое нарушение, до 300 000 рублей — за повторное. Кроме того, без перечня невозможно корректно определить уровень защищённости ИСПДн и выполнить требования ФСТЭК России.

Создайте перечень персональных данных за 10 минут

Конструктор автоматически сформирует перечень обрабатываемых ПДн с учётом категорий субъектов, целей и оснований обработки вашей организации.

Создать перечень

Часто задаваемые вопросы

Перечень персональных данных является обязательным элементом системы защиты ПДн в организации. Статья 18.1 152-ФЗ обязывает оператора принимать меры по обеспечению выполнения закона, включая документирование обрабатываемых данных. Без перечня невозможно корректно определить уровень защищённости ИСПДн и выполнить требования ФСТЭК.

Нужен полный пакет документов по 152-ФЗ?

Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.

Связанные материалы