Кибероснова152-ФЗ
Внутренний контроль
152-ФЗ20265 мин

Реестр субъектов персональных данных: образец и порядок ведения

Реестр субъектов и видов персональных данных: обязательный инструмент внутреннего контроля по ст. 18.1 ФЗ-152. Образец 2026 года, пример заполнения для типовой организации.

Скачать образец .docxСоздать в конструкторе

* Образец носит информационный характер. Рекомендуем адаптировать под вашу организацию.

Почему этот документ важен

Реестр субъектов ПДн — ключевой инструмент внутреннего контроля за обработкой персональных данных. Без систематизированного учёта категорий субъектов, видов ПДн и целей обработки организация не может выполнить требования ст. 18.1 ФЗ-152 и корректно заполнить [уведомление Роскомнадзора](/documents/uvedomlenie-roskomnadzor/). Штраф за непринятие мер внутреннего контроля — до 100 000 руб. по ч. 1 ст. 13.11 КоАП.

Зачем вести реестр субъектов ПДн

Реестр субъектов персональных данных — внутренний документ организации, систематизирующий информацию обо всех категориях лиц, чьи персональные данные обрабатываются, с указанием видов ПДн, целей и сроков обработки, правовых оснований.

Ведение реестра — не прямое требование ФЗ-152, а практический инструмент для выполнения нескольких обязанностей оператора:

  • Внутренний контроль (ст. 18.1) — оператор обязан принимать меры по контролю за обработкой ПДн. Реестр позволяет в любой момент ответить на вопрос: какие данные, чьи и зачем обрабатываются;
  • Уведомление Роскомнадзора (ст. 22) — при подаче уведомления необходимо указать категории субъектов, категории ПДн, цели обработки, правовые основания. Реестр — источник этих данных;
  • Ответ на запросы субъектов (ст. 14) — субъект вправе получить информацию о том, какие его данные обрабатываются и с какой целью;
  • Подготовка к проверкам — Роскомнадзор запрашивает перечень обрабатываемых ПДн в разрезе категорий субъектов.

Структура реестра субъектов ПДн

Единой утверждённой формы реестра не существует — оператор разрабатывает его самостоятельно. Рекомендуемая структура включает следующие разделы:

Обязательные поля

  • Категория субъектов — группа лиц, объединённых по отношению к оператору (работники, клиенты, посетители сайта, контрагенты);
  • Виды ПДн — конкретный перечень данных для каждой категории (ФИО, паспортные данные, телефон, email, ИНН);
  • Цели обработки — для чего обрабатываются данные (кадровый учёт, исполнение договора, маркетинг);
  • Правовое основание — ссылка на конкретный пункт ст. 6 ФЗ-152 (согласие, договор, закон, законный интерес);
  • Сроки обработки / хранения — когда данные подлежат уничтожению.

Дополнительные поля

  • ИСПДн — в какой информационной системе обрабатываются данные;
  • Способы обработки — автоматизированная, без использования средств автоматизации, смешанная;
  • Трансграничная передача — передаются ли данные за рубеж;
  • Третьи лица — кому передаются данные (бухгалтерский аутсорсинг, хостинг, рассылки);
  • Действия с ПДн — сбор, запись, хранение, передача, уничтожение.

Пример реестра субъектов ПДн для типовой организации

Категория субъектовВиды ПДнЦель обработкиОснованиеСрок хранения
РаботникиФИО, дата рождения, паспорт, СНИЛС, ИНН, адрес, телефон, email, должность, окладКадровый учёт, расчёт заработной платы, налоговая отчётностьТК РФ, НК РФ (п. 2 ч. 1 ст. 6)75 лет (кадровые), 5 лет (бухгалтерские)
Клиенты (физлица)ФИО, телефон, email, адрес доставки, история заказовИсполнение договора купли-продажи / оказания услугДоговор (п. 5 ч. 1 ст. 6)5 лет после исполнения договора
Посетители сайтаIP-адрес, cookie, данные формы (ФИО, email, телефон)Обработка обращений, аналитика сайтаСогласие (п. 1 ч. 1 ст. 6)1 год
Контрагенты (представители юрлиц)ФИО, должность, рабочий телефон, рабочий emailИсполнение договора, деловая перепискаЗаконный интерес (п. 7 ч. 1 ст. 6)5 лет после окончания договора
СоискателиФИО, дата рождения, образование, опыт работы, контактыПодбор персоналаСогласие (п. 1 ч. 1 ст. 6)1 год (при согласии), иначе — до окончания конкурса
Посетители офиса / объектаФИО, паспортные данные, фото (видеонаблюдение)Пропускной режим, безопасностьЗаконный интерес (п. 7 ч. 1 ст. 6)1 год (журнал посещений), 30 дней (видео)

Создайте реестр субъектов ПДн

Укажите категории субъектов и виды обрабатываемых данных — конструктор сформирует готовый реестр с правовыми основаниями и сроками хранения.

Открыть конструктор

Отличие реестра субъектов от перечня ИСПДн

Эти два документа часто путают, но они решают разные задачи:

Реестр субъектов ПДн отвечает на вопросы: ЧЬИ данные обрабатываются, КАКИЕ именно, ЗАЧЕМ и НА КАКОМ основании. Фокус — на категориях людей и видах данных.

Перечень ИСПДн отвечает на вопрос: ГДЕ обрабатываются данные. Фокус — на информационных системах: 1С, CRM, сайт, файловый сервер. Для каждой ИСПДн указываются технические характеристики, уровень защищённости, средства защиты.

Оба документа дополняют друг друга. Реестр субъектов — входные данные для заполнения перечня ИСПДн (в каждой ИСПДн обрабатываются данные определённых категорий субъектов). А перечень ПДн — это детализация видов ПДн из реестра субъектов.

Все три документа можно создать в конструкторе Кибероснова — данные вводятся один раз и автоматически используются во всех связанных документах.

Как заполнить реестр: пошаговая инструкция

Шаг 1. Определите категории субъектов. Перечислите все группы лиц, чьи данные обрабатывает организация. Типичные категории: работники, кандидаты, клиенты, пациенты, ученики, посетители сайта, контрагенты, посетители объекта.

Шаг 2. Для каждой категории перечислите виды ПДн. Будьте конкретны: не «персональные данные», а «ФИО, дата рождения, серия и номер паспорта, СНИЛС, адрес регистрации». Проверьте реальные формы, анкеты, договоры — какие поля заполняются?

Шаг 3. Определите цели обработки. Для каждой пары «категория субъекта — вид ПДн» укажите конкретную цель. Одна категория может иметь несколько целей: данные работника обрабатываются и для кадрового учёта, и для бухгалтерии, и для пропускного режима.

Шаг 4. Укажите правовое основание. Определите, на каком основании из ст. 6 ФЗ-152 обрабатывается каждый набор данных. Это ключевой шаг — ошибка в основании делает обработку незаконной.

Шаг 5. Установите сроки. Определите срок хранения для каждой строки реестра. Источники сроков: ТК РФ, НК РФ, договор, согласие субъекта, приказ Росархива.

Шаг 6. Утвердите и обновляйте. Реестр утверждается приказом руководителя. Обновляется при появлении новых категорий субъектов, изменении целей обработки, запуске новых бизнес-процессов.

Когда обновлять реестр субъектов ПДн

Реестр — не статичный документ. Он должен отражать фактическое состояние обработки ПДн в организации. Основания для обновления:

  • Новая категория субъектов — запустили интернет-магазин (появились онлайн-покупатели), ввели программу лояльности (участники программы), установили видеонаблюдение (посетители объекта);
  • Изменение состава ПДн — стали собирать новые данные (например, биометрию для СКУД) или прекратили обрабатывать ранее собиравшиеся;
  • Изменение целей — данные, собранные для исполнения договора, начали использовать для маркетинговых рассылок (нужно новое основание — согласие);
  • Новый подрядчик / третье лицо — передача данных облачному сервису, бухгалтерскому аутсорсингу;
  • Результаты проверки Роскомнадзора — предписание скорректировать обработку.

Рекомендуемая периодичность плановой актуализации — не реже 1 раза в год или при каждом существенном изменении бизнес-процессов.

Что должен содержать реестр субъектов ПДн

  • Все категории субъектов (работники, клиенты, соискатели, контрагенты, посетители)
  • Конкретные виды ПДн для каждой категории (не обобщённо)
  • Цели обработки для каждой пары «категория — вид ПДн»
  • Правовое основание со ссылкой на конкретный пункт ст. 6 ФЗ-152
  • Сроки хранения / обработки с указанием нормативного акта
  • Указание ИСПДн, в которых обрабатываются данные
  • Способы обработки (автоматизированная / смешанная)
  • Перечень третьих лиц, которым передаются данные
  • Информация о трансграничной передаче (если применимо)
  • Дата утверждения и номер приказа
  • Дата последней актуализации

Нужна помощь в инвентаризации ПДн?

Для крупных организаций с десятками бизнес-процессов инвентаризация ПДн — масштабная задача. Наши эксперты проведут аудит и составят полный реестр субъектов.

Заказать аудит ПДн

Часто задаваемые вопросы

ФЗ-152 не содержит прямого требования вести реестр субъектов ПДн как отдельный документ. Однако ст. 18.1 обязывает оператора принимать меры по обеспечению внутреннего контроля за обработкой ПДн. На практике без систематизированного реестра невозможно корректно заполнить уведомление Роскомнадзора, ответить на запрос субъекта, подготовиться к проверке. Роскомнадзор при проверках запрашивает информацию о категориях субъектов и видах обрабатываемых ПДн — наличие реестра существенно упрощает этот процесс.

Нужен полный пакет документов по 152-ФЗ?

Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.

Собрать самостоятельно

Связанные материалы

Перечень ИСПДнПеречень информационных систем персональных данных организации — образец 2026, как составить.Перечень персональных данныхКак составить перечень ПДн для организации. Образец 2026, приказ об утверждении.Политика обработки ПДнОбразец политики обработки персональных данных для ООО, ИП и сайта.Положение об обработке ПДнОбразец положения об обработке персональных данных для организации 2026 года.Уведомление в РоскомнадзорКак подать уведомление об обработке ПДн. Пошаговая инструкция, образец заполнения 2026.Инструкция по обработке ПДнИнструкция по обработке персональных данных для сотрудников — образец 2026, содержание, внедрение.