8146 ОК БСН моб
🔴 Вебинар: 6-НДФЛ за 2025 год: как заполнить без ошибок и успешно пройти проверку →
Консалтинг Онлайн
Защита персональных данных
Как грамотно оформить Политику по обработке персональных данных после обновления законодательства: советы юристов

Как грамотно оформить Политику по обработке персональных данных после обновления законодательства: советы юристов

Законодательство в сфере персональных данных (ПДн) постоянно меняется, и вместе с ним нужно актуализировать документы. Ошибка в формулировках или устаревшие цели могут обернуться предписанием Роскомнадзора.

Политика обработки персональных данных сегодня — не шаблон «для галочки», а документ, по которому можно оценивать отношение к данным сотрудников, клиентов и других физлиц, поэтому важно оформить ее правильно. 

Для чего нужна Политика обработки персональных данных

В первую очередь наличие Политикипрямое требование п. 2 ст. 18.1 закона от 27.07.2006 № 152-ФЗ «О персональных данных».

На практике Политика обработки персональных данных компании выполняет сразу несколько функций:

  1. Регламентирует порядок сбора, хранения, использования, передачи и уничтожения и иных действий с ПДн в соответствии с законом.

  2. Фиксирует меры по обеспечению конфиденциальности и безопасности информации, в том числе по недопущению доступа третьих лиц. 

  3. Информирует субъектов ПДн о том, какие сведения обрабатываются и для каких целей. Это снижает риски претензий и повышает доверие к бизнесу.

Какие законы регламентируют оформление Политики

Базовый нормативный актФЗ № 152-ФЗ. Именно он устанавливает обязанности оператора, принципы обработки данных, требования к правовым основаниям, срокам хранения и защите информации.

При разработке документа стоит учитывать и методические рекомендации Роскомнадзора от 31.07.2017 года. На первый взгляд они не обязательны, но на практике именно на них ориентируются проверяющие.

Подготовка документов для работы с персональными данными 2026 для организаций

Как составить Политику в области обработки ПДн: рекомендации

Общие положения

В этом разделе описывают назначение документа и его сферу применения. Здесь же закрепляют ключевые термины: кто является оператором, кто считается субъектом ПДн, что такое обработка ПДн, конфиденциальность данных. Рекомендуется закрепить основные права и обязанности оператора и субъектов, включая право на доступ к информации и отзыв согласия.Этот раздел задает логику всей Политики обработки данных и должен быть сформулирован четко.

Цели сбора

Работа с ПДн допускается только для конкретных, заранее определенных и законных целей. Это требование прямо следует из ст. 5 закона № 152-ФЗ. Нельзя собирать данные «на будущее» или использовать их в целях, не связанных с заявленными.

Цели обработки формируются исходя из законодательства, учредительных документов, фактической деятельности компании и ее бизнес-процессов. Их следует описывать отдельно по категориям субъектов и информационным системам. Например, если вы продаете товары или предоставляете услуги, укажите в качестве цели «заключение и исполнение гражданско-правового договора».

Основания обработки

Каждая цель обработки должна иметь правовое основание. Это может быть закон, подзаконный акт, уставные документы, договор с субъектом или его согласие (ст. 6 ФЗ № 152-ФЗ).

Важно учитывать, что сам ФЗ № 152-ФЗ не является правовым основанием. Он регулирует порядок работы с ПДн, но не дает оператору автоматического права их обрабатывать. Эта ошибка часто встречается при копировании шаблона Политики обработки персональных данных без адаптации под конкретную деятельность.

Объем и категории ПДн, категории субъектов

Содержание и объем данных должны соответствовать заявленным целям работы с ПДн. Избыточные сведения — прямое нарушение принципов ФЗ № 152-ФЗ.

В Политике обычно выделяют несколько категорий субъектов, например: 

  • работников и кандидатов;

  • клиентов и контрагентов-физлиц;

  • посетителей сайта;

  • представителей юрлиц. 

По каждой категории рекомендуется перечислить конкретные данные, которые обрабатываются, а также отдельно указать случаи работы со специальными категориями или биометрическими ПДн, если компания их собирает.

Условия и порядок обработки

В этом разделе описывают действия с ПДн, перечисленные в п. 3 ст. 3 ФЗ № 152-ФЗ. Указывают способы обработки — с использованием средств автоматизации или без них, а также сроки обработки и хранения данных.

Если данные передаются третьим лицам, необходимо раскрыть условия такой передачи, включая трансграничную. Рекомендуется указывать наименование и местонахождение получателя, цели передачи и меры защиты информации. Отдельно фиксируется соблюдение требований конфиденциальности по ст. 7 ФЗ № 152-ФЗ и мер защиты по ст.18.1 и 19. Учтите, что данные граждан РФ должны находиться в базах, физически расположенных в России (ч.5 ст.18 ФЗ №152-ФЗ). 

Исправление и удаление ПДн

Политика должна содержать порядок актуализации, блокирования и уничтожения ПДн. При выявлении неправомерной работы с данными оператор обязан прекратить обработку, если есть неточности — внести корректировки.

После достижения целей обработки или при отзыве согласия данные подлежат уничтожению, если отсутствуют законные основания для их дальнейшего хранения. Также рекомендуется включить регламент реагирования на запросы субъектов и формы таких обращений. Это снижает риски конфликтов и жалоб в Роскомнадзор.

Как разработать и утвердить Политику

Алгоритм действий выглядит так:

  1. Назначить ответственное лицо за организацию работы с ПДн.

  2. Подготовить текст Политики с учетом требований ФЗ № 152-ФЗ и актуальных рекомендаций Роскомнадзора.

  3. Согласовать и утвердить документ приказом руководителя.

  4. Ознакомить работников с Политикой под личную подпись.

  5. Обеспечить неограниченный доступ к документу. При наличии сайта Политика обработки персональных данных ООО должна быть опубликована там.

Частые ошибки при разработке Политики обработки ПДн

На практике операторы чаще всего допускают следующие ошибки:

  1. Используют универсальный шаблон без учета реальных бизнес-процессов.

  2. Указывают общую информацию о целях без конкретики.

  3. Не разделяют данные по категориям субъектов.

  4. Неправильно определяют правовые основания обработки.

  5. Не обновляют документ после изменений в законодательстве или процессах обработки ПДн.

  6. Не публикуют Политику в открытом доступе.

  7. Дублируют положения закона без указания конкретных обязанностей оператора.

  8. Автоматически проставляют галочку в форме «Соглашаетесь с Политикой обработки персональных данных» — так делать нельзя, пользователь должен поставить галочку самостоятельно, выражая добровольное согласие.

Каждая из этих ошибок повышает риск штрафов и предписаний.

Если нет Политики обработки персональных данных

Невыполнение обязанности по опубликованию или обеспечению доступа к документу, определяющему Политику оператора, влечет административную ответственность по п. 3 ст. 13.11 КоАП. Штрафы составляют: для граждан — от 1 500 до 3 000 рублей, для должностных лиц — от 6 000 до 12 000 рублей, для ИП — от 10 000 до 20 000 рублей, для юрлиц — от 30 000 до 60 000 рублей.

Политика обработки персональных данных для вашей организации в соответствии с требованиями ФЗ-152

Какие еще документы по ПДн должны быть в организации

Помимо Политики, оператору обычно нужны другие документы по ПДн:

  1. Шаблоны согласий: на обработку, передачу, распространение ПДн; на маркетинговые рассылки.

  2. Приказ о назначении ответственного за ПДн.

  3. Положение о защите ПДн.

  4. Инструкции для работников по работе с ПДн.

  5. Регламенты реагирования на запросы субъектов.

  6. Журналы учета обращений и инцидентов.

  7. Акты уничтожения данных.

Точный перечень документов зависит от категории обрабатываемых данных, их объема, целей обработки и ряда других параметров.

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFJxeMFn

Информации об авторе

Консалтинг Онлайн

Консалтинг Онлайн

«Консалтинг Онлайн» - комплексное юридическое сопровождение бизнеса от создания до ликвидации

12 936 подписчиков345 постов

Начать дискуссию

ГлавнаяКурсы