Регламент доступа к ПДн: образец для компании 2026
Я - Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог сотням компаний привести обработку ПДн в соответствие с 152 ФЗ. В 2026 году Роскомнадзор ужесточил проверки: отсутствие регламента доступа к персональным данным грозит штрафами до 6 млн ₽. В этой статье - готовый образец документа с пояснениями: что включить, как утвердить, как внедрить.
Зачем нужен регламент доступа к ПДн?
По ст. 8.1 152 ФЗ, компания обязана:
• Определить круг лиц, имеющих доступ к ПДн.
• Установить правила доступа (кто, к каким данным, в каком объёме).
• Вести учёт таких лиц.
• Обучить сотрудников правилам работы с ПДн.
Последствия отсутствия регламента:
• Штрафы по ст. 13.11 КоАП РФ (до 6 млн ₽).
• Блокировка сайта по требованию Роскомнадзора.
• Репутационные потери при утечке.
• Уголовная ответственность при массовой утечке (ст. 137 УК РФ).
Мой совет: даже если у вас 5 сотрудников - утвердите регламент. Это дешевле штрафа.
Что включить в регламент?
Обязательные разделы (по требованиям Роскомнадзора):
1. Общие положения: цель документа, нормативные ссылки (152 ФЗ, ТК РФ и т. д.).
2. Термины и определения: что считается ПДн, обработкой, оператором.
3. Порядок доступа:
Перечень должностей с доступом (HR, бухгалтеры, юристы).
Виды ПДн, к которым разрешён доступ (например, только ФИО и телефон, без паспортных данных).
Правила работы: запрет на копирование, передачу третьим лицам.
4. Учёт лиц с доступом: журнал регистрации, сроки хранения.
5. Обязанности сотрудников: неразглашение, использование только в рабочих целях.
6. Ответственность: дисциплинарная, административная, уголовная.
7. Порядок пересмотра: минимум раз в год или при изменении закона.
Готовый образец регламента (фрагменты)
1. Общие положения
Настоящий регламент определяет порядок доступа к персональным данным работников и клиентов ООО «Альфа» в соответствии с 152 ФЗ от 27.07.2006.
2. Перечень должностей с доступом
Доступ имеют:
• Генеральный директор - ко всем ПДн.
• Главный бухгалтер - к ФИО, ИНН, СНИЛС, реквизитам счёта.
• HR менеджер - к ФИО, дате рождения, адресу, резюме.
3. Правила работы
Сотрудник обязан:
• Использовать ПДн только в рамках должностных обязанностей.
• Не копировать файлы с ПДн на личные носители.
• Сообщать IT отделу о подозрительных действиях.
4. Ответственность
Нарушение регламента влечёт:
• Дисциплинарное взыскание (замечание, выговор).
• Увольнение по ст. 81 ТК РФ.
• Административный штраф по ст. 13.11 КоАП РФ.
Как утвердить и внедрить?
Шаг 1. Разработайте проект регламента (используйте наш образец).
Шаг 2. Согласуйте с юристами, IT службой, HR.
Шаг 3. Утвердите приказом генерального директора.
Шаг 4. Ознакомьте всех сотрудников под подпись:
• Составьте лист ознакомления (ФИО, должность, дата, подпись).
• Включите пункт о неразглашении ПДн в трудовые договоры.
• Проведите инструктаж: раз в год + при приёме на работу.
Шаг 5. Настройте технические меры:
• Разграничьте доступы в CRM, 1С, облачных хранилищах.
• Включите двухфакторную аутентификацию (2FA).
• Настройте логирование действий с файлами ПДн.
• Регулярно меняйте пароли.
Шаг 6. Назначьте ответственного за контроль:
• Проверяйте журнал учёта доступов раз в квартал.
• Проводите аудит раз в год (или при утечке).
• Обновляйте регламент при изменении закона.
Мой совет: поручите контроль IT отделу и юристу - так вы закроете и техническую, и правовую сторону.
Пример из практики
В 2025 году компания «Бета» получила штраф 300 000 ₽ за утечку данных клиентов. Причина: доступ к базе данных был у всех менеджеров, а регламент отсутствовал. После внедрения регламента с чётким списком должностей и логированием действий утечки прекратились, а при следующей проверке Роскомнадзор нарушений не нашёл.
Частые ошибки при разработке регламента
1. Слишком общие формулировки («Доступ имеют сотрудники бухгалтерии») - не указаны конкретные должности и виды ПДн.
2. Отсутствие журнала учёта - невозможно доказать, кто и когда получал доступ.
3. Не ознакомление сотрудников под подпись - штраф даже при идеальном документе.
4. Технические меры не соответствуют регламенту (например, в документе запрет на копирование, но в CRM нет контроля).
5. Не обновление при изменении закона (например, новые требования Роскомнадзора в 2026 году).
Важно: регламент - это не «бумажка для галочки». Он должен работать на практике: сотрудники знают правила, IT система их поддерживает.
Что проверить перед подачей в Роскомнадзор?
Перед уведомлением Роскомнадзора о начале обработки ПДн (через pd.rkn.gov.ru) убедитесь, что:
• Регламент утверждён приказом.
• Все сотрудники ознакомлены под подпись.
• Технические меры (доступы, логирование) настроены.
• Политика обработки ПДн на сайте обновлена (ссылка на регламент).
Срок подачи уведомления: 30 дней с начала обработки ПДн.
Заключение
Регламент доступа к ПДн - не формальность, а защита компании от штрафов и утечек. В 2026 году требования ужесточились: Роскомнадзор проверяет не только наличие документа, но и его реальное исполнение.
Чтобы внедрить регламент:
• Используйте наш образец как основу.
• Согласуйте с юристами и IT специалистами.
• Утвердите приказом генерального директора.
• Ознакомьте сотрудников под подпись.
• Настройте технические меры (разграничение доступов, логирование).
• Назначьте ответственного за контроль.
• Обновляйте раз в год или при изменении закона.
Сделайте это сейчас - профилактика дешевле штрафа до 6 млн ₽ и репутационных потерь.
Скачайте готовый шаблон регламента доступа к ПДн (2026)
Скачайте образец листа ознакомления сотрудников
Поделитесь статьёй с HR директором или IT специалистом
Подпишитесь на legascom.ru - разбираем сложное просто
