Реестр обработки ПДн: образец и как заполнять
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС».
Каждую неделю ко мне обращаются ИП и ООО: «Нам пришёл запрос от Роскомнадзора. Что такое реестр ПДн и где его взять?»
Реестр — не формальность. Это основа вашей защиты.
За 25 лет я участвовал в десятках проверок, где компании платили штрафы только потому, что не вели реестр.
В этой статье — только практика: как заполнить реестр ПДн в 2026 году, чтобы пройти проверку с чистым щитом.
Обязательно ли вести реестр обработки ПДн?
Да, обязательно — если вы обрабатываете персональные данные.
Исключение: если вы не используете автоматизированную обработку и данные находятся только на бумаге (ст. 22 152-ФЗ). Но таких случаев — единицы.
На практике: в 2024 году в Ростове-на-Дону ИП получил штраф 60 тысяч рублей только за то, что не вёл реестр. У него была база клиентов в Excel, но ни строчки в реестре.
Моё мнение: ведите реестр всегда, даже если вы ИП с одним сотрудником. Это стоит 1 часа в месяц, но спасает от штрафа.
Какие сведения включать в реестр?
Реестр должен содержать:
• Наименование и адрес оператора
• Цели обработки ПДн
• Правовое основание (согласие, трудовой договор и т.д.)
• Категории субъектов ПДн (сотрудники, клиенты, партнёры)
• Категории персональных данных (ФИО, паспорт, ИНН, телефон)
• Сроки хранения
• Перечень действий с ПДн (сбор, хранение, уничтожение)
• Меры по обеспечению безопасности (ст. 19, 25 152-ФЗ)
Пример из практики: в 2025 году в Красноярске суд снизил штраф с 75 до 20 тысяч, потому что компания вела реестр, но с ошибками. Это показывает: реестр = смягчающее обстоятельство.
Совет: используйте Excel или специализированный софт. Главное — чтобы была версия, дата обновления и подпись ответственного лица.
Как заполнить реестр: пошагово
1. Определите цели обработки — например: «Приём на работу», «Заключение договора», «Рассылка».
2. Укажите правовое основание — согласие, трудовой договор, исполнение обязанностей.
3. Перечислите категории данных — только те, что реально нужны. Не указывайте «все данные» — это вызовет вопросы.
4. Пропишите меры безопасности — даже если у вас маленькая компания. Например: «Доступ по паролю», «Резервное копирование», «Шифрование диска».
5. Утвердите приказом — назначьте ответственного и введите реестр в действие.
Мой личный совет: не копируйте шаблоны из интернета. Роскомнадзор видит, когда реестр «подогнан». Пишите про свою компанию, свои процессы.
Можно ли использовать шаблон?
Можно, но с осторожностью.
Шаблон — это отправная точка, но реестр должен быть адаптирован под вашу деятельность.
На практике: в 2023 году в Уфе компании оштрафовали, потому что в реестре было: «Обработка данных клиентов для маркетинга», но не было согласия. А в шаблоне просто скопировали фразу.
Что делать:
• Возьмите шаблон как основу
• Пройдите по каждому пункту — проверьте, соответствует ли он вашей практике
• Добавьте конкретику: названия программ, ФИО ответственного, локации хранения
Заключение
Реестр обработки ПДн — не бумажка. Это ваш щит перед Роскомнадзором.
Если его нет — штраф неизбежен.
Если он есть — вы можете доказать, что соблюдаете закон.
Сделайте три вещи:
1. Проверьте, ведёте ли вы реестр
2. Убедитесь, что он актуален и соответствует вашей деятельности
3. Назначьте ответственного и утвердите приказом
Если сомневаетесь — обратитесь в «ЛЕГАС». Мы проверим ваш реестр, подготовим шаблон и поможем пройти проверку.
• Скачайте образец реестра обработки ПДн 2026
• Поделитесь статьёй с ИТ-руководителем или директором
• Подпишитесь на legascom.ru — разбираем сложное просто
