Политика обработки персональных данных: структура документа
Содержание статьи
Один из самых важных документов для любого бизнеса, работающего с информацией о физических лицах — Политика обработки персональных данных. Без него вы нарушаете ФЗ от 27.07.2006 №152-ФЗ и рискуете получить штраф до 60 000 рублей. Политика защищает не только данные субъектов, но и вашу компанию от претензий Роскомнадзора.
Что такое Политика обработки ПДн
Политика обработки персональных данных — это ваш главный документ, который объясняет клиентам, партнерам и контролирующим органам (в первую очередь — Роскомнадзору), как и для каких целей обрабатываете ПДн, как защищаете их.
Представьте: клиент оставляет заявку на вашем сайте. Его имя, телефон, email — это персональные данные. Политика обработки персональных данных на сайте отвечает на его законные вопросы: зачем вам эти сведения? Как долго вы их храните? Кому передаете? Как защищаете? Без этого документа вы нарушаете базовые права субъекта ПДн и рискуете получить штраф, поскольку ст.18.1 ФЗ №152-ФЗ прямо обязывает оператора публиковать или иным образом обеспечивать неограниченный доступ к Политике. Вы обязаны разместить ее на сайте, а если у компании есть офис — на информационном стенде.
Как составить Политику обработки ПДн
Не ищите универсальный образец Политики обработки персональных данных. Роскомнадзор прямо указывает: документ составляется индивидуально под вашу компанию. Образцы на сайте РКН — лишь ориентир, а не готовое решение.
Что должно быть в документе:
- Общие положения:
- Определите ключевые понятия: что подразумевается под персональными данными, обработкой, субъектом ПДн, оператором.
- Укажите правовую базу: ФЗ №152, ТК РФ, НК РФ, отраслевые законы.
- Цели обработки ПДн:
- Это ядро документа. Цели должны быть конкретными, законными и заранее определенными (ст. 5 ФЗ №152). Примеры:
- ведение бухгалтерского и кадрового учета;
- обеспечение пропускного режима;
- продвижение товаров, работ и услуг на рынке;
- подбор персонала на вакантные должности;
- подготовка, заключение и исполнение договоров ГПХ.
- Важно: обработка данных “на всякий случай” или “потом пригодится” — незаконна.
- Это ядро документа. Цели должны быть конкретными, законными и заранее определенными (ст. 5 ФЗ №152). Примеры:
- Основания для обработки ПДн:
- Четко укажите, на каком основании вы обрабатываете данные в каждой ситуации:
- согласие субъекта ПДн (для маркетинга, необязательных данных);
- обработка нужна для исполнения договора, выгодоприобретателем которого выступает субъект ПДн;
- данные обрабатываются для защиты жизни и здоровья.
- Четко укажите, на каком основании вы обрабатываете данные в каждой ситуации:
- Объем и категории обрабатываемых ПДн:
- Перечислите конкретные типы данных, которые вы обрабатываете для каждой указанной цели: ФИО, паспорт, ИНН, телефон, email, должность, зарплата, биометрия и т.д.
- Укажите категории субъектов, чьи данные обрабатываются: клиенты, поставщики (физические лица), сотрудники, соискатели, представители юридических лиц, посетители сайта/офиса.
- Ключевое правило: объем данных не должен превышать необходимый минимум для достижения заявленной цели.
- Порядок, способы и условия обработки ПДн:
- Опишите этапы работы с данными: сбор, запись, систематизация, хранение, уточнение и т.д.
- Укажите сроки хранения данных для каждой цели. Например, до исполнения договора.
- Обозначьте порядок передачи данных третьим лицам (банкам, ИФНС, ФСС, контрагентам по договору оказания услуг — например, хостинг, бухгалтерия). Укажите, как обеспечивается их конфиденциальность.
- Перечислите способы обработки: автоматизированные (CRM-системы, сайт), неавтоматизированные (бумажные картотеки), смешанные.
- Обработка биометрических ПДн (если применимо):
- Биометрия (отпечатки пальцев, фото/видео для идентификации, образец голоса) — особая категория (ст. 11 ФЗ №152-ФЗ).
- Обработка возможна только при наличии письменного согласия субъекта (за редкими исключениями) и только для достижения конкретных целей, указанных в законе или согласии.
- Детально опишите меры защиты биометрических данных.
- Права субъектов ПДн и порядок их реализации:
- Перечислите права: на доступ к ПДн, уточнение, блокирование, уничтожение, отзыв согласия.
- Установите четкую процедуру для субъекта при отзыве согласия: куда направлять заявление, в какой форме, сроки рассмотрения (30 дней по закону).
- Определите процедуру для реагирования на запросы субъектов ПДн, их представителей и уполномоченных органов.
- Укажите контакты ответственного за обработку ПДн в вашей компании.
- Требования к защите ПДн (ст. 19 ФЗ №152-ФЗ):
- Обязанности оператора по обеспечению безопасности ПДн.
- Укажите, какие конкретно меры применяются.
Важно! Политику обработки персональных данных оператору нужно разработать до начала работы с любыми ПДн. Наняли первого сотрудника? Начали собирать заявки с сайта? Документ уже должен быть утвержден.
Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»
Сделаем заключение на соблюдение требований Роскомнадзора
Запишитесь на бесплатный аудит
Заполните форму и мы свяжемся с вами
Штраф за отсутствие Политики
Если Роскомнадзор выяснит, что вы не обеспечили беспрепятственный доступ для физических лиц к Политике, вас могут оштрафовать на сумму до 60 000 рублей (ч.3 ст.13.11 КоАП РФ). Поэтому крайне важно своевременно разработать и опубликовать документ.
Помните: пожаловаться на отсутствие Политики может кто угодно. Например, посетитель сайта или действующий клиент. Конкуренты тоже нередко вставляют палки в колеса и не упускают возможности навредить.
Заключение
Разработать политику обработки персональных данных нужно до приема первого сотрудника или начала сбора заявок на сайте. Не копируйте шаблоны: документ должен отражать реальные процессы вашей компании. Это фундамент юридической безопасности. Утвердите политику, опубликуйте ее на сайте (если он есть) вместе с Политикой конфиденциальности, и тогда вам не нужно будет переживать о претензиях со стороны Роскомнадзора.
Остались вопросы?
Наш менеджер вас проконсультирует
Наши ключевые услуги
Вам может быть интересно
12 марта 2026
Особенности обработки персональных данных в государственных и муниципальных учреждениях
Подробнее
