Документы по 152‑ФЗ для индивидуальных предпринимателей

Индивидуальный предприниматель — такой же оператор персональных данных, как и компания. Если вы собираете контакты клиентов, ведёте базу заказчиков, принимаете резюме, используете форму заявки на сайте или видеонаблюдение — на вас распространяется 152‑ФЗ. В этой статье разобрали, какие документы по 152‑ФЗ для ИП нужны в типовых сценариях, как собрать «пакет документов 152‑ФЗ» быстро и без лишней бюрократии, и чем он отличается от «документов по 152‑ФЗ для работодателя».

Table of contents

• Для кого актуален пакет 152‑ФЗ для ИП
• Минимальный набор: какие документы нужны ИП
• Если ИП — работодатель
• Нужно ли уведомлять Роскомнадзор
• Документы и требования для сайта ИП
• Безопасность и ИСПДн у ИП
• Шаблоны, генераторы и примеры
• Чек‑лист (таблица): документы по сценариям
• Типичные ошибки ИП
• Штрафы и проверки
• Пошаговый план внедрения
• Вывод и что сделать сегодня

Для кого актуален пакет 152‑ФЗ для ИП

152‑ФЗ обязателен для любого оператора ПДн: так закон называет лицо, которое самостоятельно определяет цели и способы обработки. Подробно — в обзоре закона и ст. 3. Для ИП это означает, что даже при отсутствии сотрудников нужно оформить базовый комплект документов, если вы:

• ведёте клиентскую базу (ФИО, телефон, e‑mail);
• принимаете заявки/оплату через сайт или мессенджеры;
• храните переписку с персональными данными;
• используете видеонаблюдение в офисе/магазине;
• нанимаете персонал (кадровые ПДн).

Обязанности оператора сведены в ст. 18–19, структуру закона смотрите в разделе «Структура и статьи 152‑ФЗ».

Минимальный набор: какие документы по 152‑ФЗ для ИП

Базовый «пакет документов 152‑ФЗ» для ИП, даже если вы работаете в одиночку:

• Политика обработки персональных данных (внутренняя + публичная версия) — подробнее.
• Реестр процессов обработки ПДн (описание целей, правовых оснований, категорий ПДн, сроков хранения и мер защиты).
• Шаблоны согласий: на обработку ПДн, на рассылку, при необходимости — на распространение (ст. 10.1) и трансграничную передачу — см. согласие на обработку и распространение, а также трансграничную передачу и ст. 10.1.
• Уведомление в Роскомнадзор (если требуется) и подтверждение регистрации — см. уведомление и реестр операторов.
• Приказ (распоряжение) о назначении ответственного за ПДн — как назначить. Если сотрудников нет, ответственным может быть сам ИП.
• Договоры с порученными обработчиками (CRM, колл‑центр, хостинг, бухгалтерский аутсорсинг) — поручение обработки ПДн.
• Журналы/процедуры: учёт обращений субъектов, порядок предоставления копий ПДн, порядок исправления/удаления, акты уничтожения — см. права субъектов, уничтожение и блокировка.

Для удобства соберите всё в единый комплект — см. наш раздел «Пакет документов 152‑ФЗ».

Если ИП — работодатель: документы по 152‑ФЗ для работодателя

Как только у вас есть сотрудники (включая совместителей и стажёров), добавьте кадровый блок:

• Локальное положение о защите ПДн работников и соискателей.
• Согласия работников: на обработку ПДн, передачу третьим лицам (банки, страховщики), фото/видео и распространение, если планируете публикацию — раздел документы для работодателя и кадры и 152‑ФЗ.
• Порядок доступа к кадровым ПДн, перечень допущенных лиц, расписка о неразглашении.
• График обучения и проверок знаний по защите ПДн — внутренний контроль и обучение.
• Перечень и описание ИСПДн кадров (личные дела, 1С/учётка, облака).

Кадровые ПДн часто подпадают под исключения по уведомлению, но не освобождают от остальных обязанностей. Подробности по исключениям — ниже и в ст. 22.

Нужно ли уведомлять Роскомнадзор

Уведомление подают до начала обработки, за исключением случаев, перечисленных в ст. 22. Типичные ситуации для ИП:

• Только кадровая обработка — часто уведомление не требуется (исключение). Но если кадровые ПДн хранятся в облаках за рубежом либо подключена биометрия/видеонаблюдение с распознаванием — уведомление нужно.
• Вы собираете заявки на сайте, ведёте рассылки/маркетинг, используете веб‑аналитику — как правило, уведомление требуется. Оцените перечень целей и систем в нашем гайде «Уведомление Роскомнадзора».
• Планируется трансграничная передача (зарубежные облака, мессенджеры, почтовые сервисы) — оформите правовое основание и уведомление; см. трансграничная передача ПДн.

Проверьте вашу запись (или её отсутствие) в реестре операторов и обновляйте сведения при изменениях.

Документы и требования для сайта ИП

Если у ИП есть сайт, интернет‑магазин или лендинг, добавьте:

• Политику конфиденциальности на сайте + форму обратной связи с чекбоксом согласия — см. документы для сайта и формы на сайте.
• Баннер и политику cookie, механизм управления согласием — cookie и баннеры.
• SSL/HTTPS и корректная настройка домена — SSL/HTTPS по 152‑ФЗ.
• Настройки веб‑аналитики (Яндекс.Метрика, пиксели) с минимизацией данных и актуальными основаниями обработки — Яндекс.Метрика и 152‑ФЗ.
• Если собираете заявки через Яндекс‑Формы или мессенджеры — учитывайте нюансы: Яндекс‑формы, мессенджеры и ПДн.

Полную памятку смотрите в разделе «Требования к сайту».

Безопасность и ИСПДн у ИП

Если ПДн хранятся в информационных системах (CRM, 1С, облако, ноутбук), ИП обязан обеспечить меры защиты. Базовые шаги:

• Определите, есть ли у вас ИСПДн и требования к ней.
• Установите уровень защищённости (1–4) — см. уровни защищённости ИСПДн.
• Составьте модель угроз, внедрите организационные и технические меры — меры безопасности.
• При необходимости применяйте сертифицированные средства защиты, учитывайте требования ФСТЭК и ФСБ и используйте криптографию/шифрование.

Не забывайте про резервное копирование, учёт носителей и процедуру реагирования на утечки — см. инциденты и утечки.

Шаблоны, генераторы и примеры

Чтобы сэкономить время, используйте проверенные материалы:

• Шаблоны и формы и примеры документов.
• Генератор политики и согласий — быстрый старт для малого бизнеса.
• Готовый шаблон политики конфиденциальности.

Актуальные тексты и изменения: 152‑ФЗ — последняя редакция, изменения 2025, глоссарий.

Чек‑лист для ИП по 152‑ФЗ (таблица)

Сценарий ИП	Документы (минимум)	Уведомление РКН	Срок хранения
Только услуги по договорам, без сайта	Политика (внутр.), реестр процессов, согласия при необходимости, договоры поручения	Зависит от целей/каналов; при узком договорном основании может не требоваться	По целям, см. сроки хранения
Сайт/лендинг с формами	Политика на сайте, согласие в формах, cookie‑баннер, SSL, реестр, договоры с хостингом/CRM	Чаще всего требуется	До достижения цели/отзыва, затем уничтожение
ИП‑работодатель	Положение о ПДн, кадровые согласия, приказы о доступе, обучение, журналы	Обычно не требуется (исключение для кадров), но проверяйте нюансы	По ТК РФ и целям
Рассылки/реклама	Согласие на маркетинг, политика, учёт отзыва согласия	Обычно требуется	До отзыва/отписки
Видеонаблюдение в торговой точке	Уведомления/пиктограммы, локальные акты, договор с подрядчиком, регламент хранения	Часто требуется	Минимально необходимый срок, см. видеонаблюдение
Облачные/зарубежные сервисы	Политика, договоры поручения, оценка страны, отдельное согласие при необходимости	Часто требуется	По целям + правила трансграничной передачи

Примечание: конкретные условия зависят от категорий ПДн (общие, спец., биометрические) и факта распространения. При публикуемых отзывах с ФИО оформляйте согласие на распространение (ст. 10.1).

Типичные ошибки ИП

• Копирование чужой политики без привязки к вашим процессам.
• Отсутствие согласий в формах и неработающий механизм отзыва — см. заявления и отзыв согласия.
• Нет назначения ответственного и регламентов — ответственный.
• Игнорирование учёта подрядчиков (CRM, коллтрекинг) — нужен договор поручения.
• Нет процедур удаления и актов уничтожения.
• Сбор лишних данных (принцип минимизации) — см. принципы и цели обработки.

Штрафы и проверки

За нарушения по ПДн предусмотрены штрафы по КоАП РФ 13.11 — см. штрафы и ответственность и подробный разбор КоАП 13.11. Типичные основания: отсутствие политики на сайте, обработка без согласия, несоблюдение сроков предоставления сведений субъекту, неподача уведомления. Как проходить контрольные мероприятия — в разделе проверки Роскомнадзора. Если нарушение уже произошло — действуйте по памятке «Действия при нарушении ПДн».

Пошаговый план внедрения для ИП

1. Опишите процессы обработки: что собираете, у кого, зачем, где храните.
2. Определите правовые основания (договор, закон, согласие) и необходимость уведомления — ст. 22.
3. Сформируйте политику (внутреннюю и публичную) — политика обработки ПДн.
4. Настройте сайт: формы с чекбоксами, cookie‑баннер, SSL — требования к сайту, аудит сайта.
5. Заключите договоры поручения с подрядчиками и провайдерами — поручение обработки.
6. Внедрите меры безопасности и регламенты, проведите базовый аудит соответствия.
7. Подайте/актуализируйте уведомление (если требуется) — уведомление РКН.
8. Подготовьтесь к проверке: соберите журналы, приказы, акты — чек‑лист и подготовка к проверке.

Вывод и что сделать сегодня

152‑ФЗ для ИП — это не «лишние бумаги», а набор простых правил, который снижает риски, помогает проходить проверки и укрепляет доверие клиентов. Начните с инвентаризации данных, подготовьте политику и согласия, настройте сайт и проверьте необходимость уведомления.

Нужна помощь или готовый комплект? Воспользуйтесь нашим генератором политики и согласий или закажите «документы под ключ» в разделе консалтинг. Мы соберём пакет за 1–3 дня с учётом специфики вашего бизнеса.