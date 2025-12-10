Один неверный шаг может стоить вашей компании потерянных денег и репутации. Чтобы этого не произошло, оформите все документы по персональным данным (ПДн), в первую очередь — Политику в отношении обработки ПДн. Это ключевой документ, без которого не может обойтись ни один оператор.
Политика обработки персональных данных: что это
Если ваша компания собирает личные данные физлиц, она берет на себя ответственность за них. Политика в отношении обработки персональных данных — это ваш публичный документ о том, как вы с этой ответственностью справляетесь. Его вы показываете всем: Роскомнадзору, сотрудникам, клиентам и посетителям сайта, чтобы подтвердить, что вы работаете честно и прозрачно.
Если говорить конкретнее, то Политика:
Ваша официальная позиция. Это документ, который должен быть размещен на сайте или информационном стенде в офисе. Он сообщает пользователям и клиентам: «Мы не скрываем, как работаем с вашими данными, и готовы ответить за каждый этап их обработки».
Требование закона. Разработать такую Политику вас обязывает ч.2 ст.18.1 ФЗ от 27.07.2006 №152-ФЗ. Без нее ваша компания не может на законных основаниях обрабатывать даже адреса электронной почты подписчиков рассылки.
Инструкция в открытом доступе. В Политике вы подробно рассказываете, какие данные собираете, для каких целей, как храните и кто имеет к ним доступ. Это ответ на главный вопрос пользователя: «Что вы будете делать с моей личной информацией?».
Гарантия прав. Любой человек может ознакомиться с вашей Политикой. Это основа доверия между вами и теми, чьи данные вы обрабатываете.
Живой документ. Политику нельзя просто написать и забыть. Если в законах или в ваших бизнес-процессах что-то меняется, документ нужно актуализировать и снова публиковать в открытом доступе.
По сути, это ваша визитная карточка добросовестного оператора, которая показывает: мы уважаем права клиентов и действуем в рамках закона.
Кому нужна Политика обработки
Документ обязателен для всех лиц, обрабатывающих ПДн. Это могут быть организации и ИП, самозанятые, физлица, государственные и муниципальные учреждения. Также Политика должна быть размещена на сайте, который собирает данные пользователей. Например:
интернет-магазины — собирают ФИО, контакты, адреса доставки;
онлайн-сервисы услуг (такси, доставка еды, бронирование жилья) — обрабатывают телефоны, местоположение, историю заказов;
сайты с личными кабинетами — хранят логины, пароли, профили пользователей;
платформы с подписками и рассылками — накапливают email-адреса, предпочтения пользователей;
социальные сети и форумы — собирают личную информацию, фотографии, интересы;
сайт госуслуг и медицинские порталы — работают с паспортными данными, СНИЛС, медицинской информацией;
образовательные платформы — хранят данные студентов, прогресс обучения.
Даже если сайт собирает минимальный набор данных (например, только email для рассылки), на нем все равно должна быть размещена Политика обработки ПДн. Это требование относится и к мобильным приложениям, собирающим любую информацию о пользователях.
Содержание Политики обработки персональных данных
При разработке Политики многие совершают ошибку — скачивают первый попавшийся образец из интернета. Однако такой подход не только неэффективен, но и опасен: готовая Политика, не адаптированная под реальные бизнес-процессы компании, может не учитывать специфику работы с данными в вашей организации, что приведет к высоким рискам при проверках.
Качественная Политика обработки должна быть индивидуальным документом, который точно отражает, какие данные вы собираете, как именно их обрабатываете и защищаете. Например, если ваша компания использует CRM-систему для хранения данных клиентов, это должно быть прямо указано в документе. Если вы передаете данные третьим лицам, этот факт также должен быть отражен.
Общие положения
В этом разделе устанавливается правовая основа обработки ПДн и определяются основные понятия, используемые в документе. Он должен содержать ссылки на законодательные акты, регулирующие обработку данных, и четко определять круг лиц, на которых распространяется действие Политики.
Что необходимо указать:
Правовое обоснование разработки Политики со ссылкой на ФЗ №152-ФЗ.
Цели разработки документа, включая обеспечение защиты прав субъектов.
Перечень категорий субъектов, данные которых обрабатываются: например, сотрудники, клиенты, контрагенты, посетители сайта.
Сферу действия Политики и условия ее применения в организации.
Права и обязанности оператора
Оператор имеет право:
Определять состав и перечень мер, необходимых для выполнения требований законодательства о ПДн.
Поручить обработку другому лицу с согласия субъекта, заключив соответствующий договор.
Продолжить обработку ПДн после отзыва согласия при наличии законных оснований.
Оператор обязан:
Организовать обработку ПДн в строгом соответствии с требованиями ФЗ № 152-ФЗ.
Рассматривать обращения и запросы субъектов и их законных представителей.
Предоставлять в Роскомнадзор по запросу необходимую информацию в установленные сроки.
Права субъекта ПДн
Субъект ПДн обладает следующими правами:
Получать полную информацию об обработке своих ПДн, за исключением случаев, предусмотренных федеральным законодательством.
Требовать от оператора уточнения, блокирования или уничтожения ПДн в случае их неполноты, устаревания, неточности или незаконности получения.
Обращаться с жалобами на неправомерные действия оператора в Роскомнадзор или судебные органы.
Отозвать согласие на обработку ПДн в любое время.
Для реализации своих прав субъект может направить оператору письменный запрос по юридическому адресу или на электронную почту — все зависит от того, что вы укажете в Политике. Запрос должен содержать ФИО субъекта, паспортные данные, суть требований, дату и личную подпись.
Принципы обработки ПДн
Здесь можно указать, что обработка осуществляется в соответствии со следующими принципами:
Законности и справедливой основы — все операции с данными должны иметь правовое обоснование.
Ограничения обработки конкретными целями — данные обрабатываются только для заранее определенных законных целей.
Соответствия содержания и объема — обрабатываются только те данные, которые необходимы для достижения заявленных целей.
Несовместимости обработки — не допускается объединение баз данных с несовместимыми целями обработки.
Достоверности и актуальности — оператор обеспечивает точность и современность обрабатываемых данных.
Ограничения хранения — данные уничтожаются или обезличиваются по достижении целей обработки.
Безопасности — обработка обеспечивается защитой данных от несанкционированного доступа.
Основания обработки ПДн
Перечень оснований зависит от специфики вашей деятельности и ряда других нюансов. Какие они могут быть (ст.6 ФЗ №152-ФЗ):
Согласие субъекта — наиболее распространенное основание, когда физическое лицо добровольно разрешает обработку своих данных.
Исполнение договора — обработка необходима для заключения или исполнения соглашения с субъектом данных.
Выполнение законных требований — обработка осуществляется для исполнения обязанностей, предусмотренных законодательством.
Защита жизненно важных интересов — обработка необходима для защиты жизни или здоровья субъекта, когда получение согласия невозможно.
Осуществление правосудия — обработка связана с участием лица в судебном процессе.
Государственные и муниципальные услуги — обработка осуществляется при предоставлении таких услуг.
Обеспечение интересов оператора — обработка осуществляется для достижения законных целей при условии соблюдения прав субъектов данных.
Каждое основание имеет конкретные условия применения, которые должны быть четко определены в Политике.
Цели обработки ПДн
Конкретные цели обработки ПДн определяются с учетом правовых оснований, категорий обрабатываемых данных и специфики деятельности оператора.
Например, в раздел «Цели» в Политике обработки персональных данных ООО можно указать:
Оформление трудовых отношений и кадровое делопроизводство.
Исполнение договорных обязательств с клиентами и контрагентами.
Оказание услуг и выполнение работ в соответствии с заключенными соглашениями.
Ведение бухгалтерского и налогового учета.
Выполнение требований законодательства в области миграционного учета.
Информирование о новых товарах, услугах и специальных предложениях.
Проведение статистических и аналитических исследований.
Рассмотрение обращений и заявок от физических лиц.
Порядок и условия обработки
Основные правила Политики обработки персональных данных устанавливают конкретные процедуры работы с информацией на всех этапах ее жизненного цикла.
Действия с данными включают (выберите нужное или все сразу):
сбор, распространение и запись;
систематизацию и хранение;
использование и передачу;
блокирование и удаление;
систематизацию и накопление;
обезличивание и уничтожение.
При взаимодействии с третьими лицами указываются:
условия и правовые основания передачи данных;
перечень третьих лиц с реквизитами;
цели и объем передаваемой информации;
применяемые меры защиты.
Особые условия обработки:
сроки хранения данных определяются целями обработки и требованиями законодательства;
обработка осуществляется с использованием баз данных на территории РФ;
конфиденциальность обеспечивается в соответствии со статьей 7 ФЗ №152-ФЗ;
защита данных организуется согласно требованиям статьи 19 ФЗ №152-ФЗ.
Также укажите основания для прекращения обработки. Это может быть достижение заявленных целей, отзыв согласия субъекта, выявление неправомерной обработки, истечение срока действия согласия.
Порядок сбора и хранения ПДн
В данном разделе Политики устанавливаются конкретные процедуры работы с ПДн на этапах их получения и хранения.
Основные положения раздела должны включать:
Требование о локализации баз данных на территории Российской Федерации в соответствии с ч.5 ст.18 ФЗ №152-ФЗ.
Условия сбора данных через различные каналы, включая веб-сайт и офлайн-источники.
Принцип минимизации сроков хранения данных в идентифицируемой форме.
Конкретные сроки хранения для различных категорий ПДн.
Исчерпывающий перечень оснований для уничтожения данных.
Критерии прекращения хранения данных:
достижение целей обработки
отзыв согласия субъекта
прекращение юридической необходимости в обработке
ликвидация оператора как юридического лица или ИП
При составлении этого раздела Политики важно учитывать, что оператор вправе продолжить обработку данных после истечения установленных сроков только в случаях, прямо предусмотренных законами.
Защита персональных данных
Политика обработки и защиты персональных данных предусматривает реализацию комплексной системы мер безопасности, направленной на предотвращение несанкционированного доступа к информации.
Организационные меры защиты включают:
Регулярную оценку актуальных угроз безопасности ПДн.
Разработку и внедрение локальных нормативных актов в области защиты данных.
Назначение ответственных сотрудников в каждом структурном подразделении.
Создание необходимых условий для безопасной работы с данными.
Технические меры обеспечения безопасности:
Внедрение систем контроля и разграничения доступа к информации.
Организация защищенного документооборота.
Обеспечение безопасной эксплуатации информационных систем.
Создание условий хранения, исключающих несанкционированный доступ.
Важно! Полный комплекс мер зависит от объема и категорий обрабатываемых ПДн. Его определяет оператор самостоятельно, но с учетом положений ФЗ №152-ФЗ и постановления Правительства от 01.11.2012 №1119.
Актуализация, исправление, уничтожение и удаление ПДн
В Политике обработки персональных данных обязательно должен быть раздел, который регулирует эти вопросы.
Процедуры актуализации и исправления:
Оператор обязан актуализировать данные при подтверждении их неточности.
Исправление осуществляется в течение 7 рабочих дней с момента получения запроса.
Уведомление об изменениях направляется всем третьим лицам, которым данные передавались.
Уничтожение данных осуществляется при достижении целей их обработки, отзыве согласия субъектом, выявлении неправомерной обработки.
Ответы на запросы субъектов ПДн
Здесь, например, можно указать, что оператор обеспечивает рассмотрение обращений и запросов субъектов в установленные законодательством сроки. В течение 10 рабочих дней с момента получения надлежащим образом оформленного запроса предоставляется информация о факте обработки данных, правовых основаниях и целях их обработки, а также иные сведения в соответствии с требованиями ст.14 ФЗ № 152-ФЗ.
Запрос субъекта должен содержать реквизиты паспорта, сведения, подтверждающие наличие отношений с оператором, и личную подпись. Допускается направление запроса в форме электронного документа, подписанного квалифицированной электронной подписью.
В случае неполноты представленных сведений или отсутствия у субъекта прав на доступ к запрашиваемой информации направляется мотивированный отказ. Право доступа к ПДн может быть ограничено в ситуациях, когда такое ограничение предусмотрено федеральным законодательством, в частности при необходимости защиты прав и законных интересов третьих лиц.
Где разместить Политику обработки персональных данных на сайте
Размещение Политики обработки персональных данных для сайта должно обеспечивать легкий доступ для любого посетителя до момента сбора его данных. При этом необходимо соблюдать обязательные требования: ссылка должна быть доступна с любой страницы сайта, документ открывается в новом окне или вкладке, а текст ссылки четко указывает на содержание документа.
Обязательные места размещения:
В нижней части сайта (футере) с постоянной ссылкой на документ.
На страницах с формами обратной связи и регистрации.
Дополнительно вы можете разместить Политику в разделе «Правовая информация» или «Документы», на странице «Контакты» в виде отдельной ссылки.
Важно! Автоматически проставлять галочку возле согласия с Политикой нельзя. Пользователь должен поставить ее сам: это подтвердит, что он действует добровольно и осознанно.
Ответственность за отсутствие Политики обработки персональных данных
Если вы не разместите на сайте или информационной доске документ, определяющий Политику обработки персональных данных, могут привлечь к ответственности по ч.3 ст.13.11 КоАП. Какие предусмотрены штрафы:
Для граждан — от 1 500 до 3 000 рублей.
Для должностных лиц — от 6 000 до 12 000 рублей.
Для ИП — от 10 000 до 20 000 рублей.
Для организаций — от 30 000 до 60 000 рублей.
