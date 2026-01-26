Политика обработки персональных данных сегодня — не шаблон «для галочки», а документ, по которому можно оценивать отношение к данным сотрудников, клиентов и других физлиц, поэтому важно оформить ее правильно.

Информирует субъектов ПДн о том, какие сведения обрабатываются и для каких целей. Это снижает риски претензий и повышает доверие к бизнесу.

Фиксирует меры по обеспечению конфиденциальности и безопасности информации, в том числе по недопущению доступа третьих лиц.

Регламентирует порядок сбора, хранения, использования, передачи и уничтожения и иных действий с ПДн в соответствии с законом.

При разработке документа стоит учитывать и методические рекомендации Роскомнадзора от 31.07.2017 года . На первый взгляд они не обязательны, но на практике именно на них ориентируются проверяющие.

Базовый нормативный акт — ФЗ № 152-ФЗ . Именно он устанавливает обязанности оператора, принципы обработки данных, требования к правовым основаниям, срокам хранения и защите информации.

Как составить Политику в области обработки ПДн: рекомендации

Общие положения

В этом разделе описывают назначение документа и его сферу применения. Здесь же закрепляют ключевые термины: кто является оператором, кто считается субъектом ПДн, что такое обработка ПДн, конфиденциальность данных. Рекомендуется закрепить основные права и обязанности оператора и субъектов, включая право на доступ к информации и отзыв согласия.Этот раздел задает логику всей Политики обработки данных и должен быть сформулирован четко.

Цели сбора

Работа с ПДн допускается только для конкретных, заранее определенных и законных целей. Это требование прямо следует из ст. 5 закона № 152-ФЗ. Нельзя собирать данные «на будущее» или использовать их в целях, не связанных с заявленными. Цели обработки формируются исходя из законодательства, учредительных документов, фактической деятельности компании и ее бизнес-процессов. Их следует описывать отдельно по категориям субъектов и информационным системам. Например, если вы продаете товары или предоставляете услуги, укажите в качестве цели «заключение и исполнение гражданско-правового договора».

Основания обработки

Каждая цель обработки должна иметь правовое основание. Это может быть закон, подзаконный акт, уставные документы, договор с субъектом или его согласие (ст. 6 ФЗ № 152-ФЗ). Важно учитывать, что сам ФЗ № 152-ФЗ не является правовым основанием. Он регулирует порядок работы с ПДн, но не дает оператору автоматического права их обрабатывать. Эта ошибка часто встречается при копировании шаблона Политики обработки персональных данных без адаптации под конкретную деятельность.

Объем и категории ПДн, категории субъектов

Содержание и объем данных должны соответствовать заявленным целям работы с ПДн. Избыточные сведения — прямое нарушение принципов ФЗ № 152-ФЗ. В Политике обычно выделяют несколько категорий субъектов, например: работников и кандидатов;

клиентов и контрагентов-физлиц;

посетителей сайта;

представителей юрлиц. По каждой категории рекомендуется перечислить конкретные данные, которые обрабатываются, а также отдельно указать случаи работы со специальными категориями или биометрическими ПДн, если компания их собирает.

Условия и порядок обработки

В этом разделе описывают действия с ПДн, перечисленные в п. 3 ст. 3 ФЗ № 152-ФЗ. Указывают способы обработки — с использованием средств автоматизации или без них, а также сроки обработки и хранения данных. Если данные передаются третьим лицам, необходимо раскрыть условия такой передачи, включая трансграничную. Рекомендуется указывать наименование и местонахождение получателя, цели передачи и меры защиты информации. Отдельно фиксируется соблюдение требований конфиденциальности по ст. 7 ФЗ № 152-ФЗ и мер защиты по ст.18.1 и 19. Учтите, что данные граждан РФ должны находиться в базах, физически расположенных в России (ч.5 ст.18 ФЗ №152-ФЗ).

Исправление и удаление ПДн