Как компании разработать политику обработки персональных данных в 2025 году

Как компании разработать политику обработки персональных данных в 2025 году

Отсутствие политики обработки персональных данных в свободном доступе — очень распространенное нарушение закона № 152-ФЗ. Разбираем, как избежать штрафов от РКН.

«У нас есть положение о ПД, зачем еще и политика?»

Вопрос резонный. Закон не требует оформлять отдельно политику и положение, но логичнее принимать два документа. И все-таки политика оператора в отношении обработки персональных данных (ПД) и положение об обработке ПД — это разные документы. Сведем основные различия в таблицу.

Критерий

Политика оператора в отношении обработки ПД

Положение об обработке ПД

Характер документа

Внешний документ, который оператор обязан опубликовать или обеспечить к нему неограниченный доступ иным способом (ч. 2 ст. 18.1 закона о ПД).

Локальный нормативный акт оператора, т.е. ее внутренний документ (что следует из п. 2 ч. 1 ст. 18.1 закона о ПД).

Требования к содержанию

Не установлены нормативно, оператор вправе сам определить содержание (см. письмо РКН от 19.10.2021 № 08-71063).

Установлены п. 2 ч. 1 ст. 18.1 закона о ПД.

 

Требования к порядку принятия

Не установлены. Как правило, утверждает руководитель организации без каких-либо дополнительных согласований.

Проект положения, которое определяет в т.ч. порядок хранения и использования ПД работников, может потребовать согласования с профсоюзом (при его наличии, ст. 8, 87, 372 ТК).

Требования к ознакомлению работников

Должны быть ознакомлены только те работники, которые непосредственно осуществляют обработку ПД (п. 6 ч. 1 ст. 18.1 закона о ПД).

С положением, которое определяет в т.ч. порядок хранения и использования ПД работников, должны быть ознакомлены они все, под подпись (ст. 22, 68, 86, 87 ТК).

Что рекомендует РКН

Несмотря на то, что нормативно не установлены никакие требования к содержанию политики, есть рекомендации РКН. Ниже представлена пошаговая инструкция по ее разработке на основе этого документа.

Шаг 1: Подготовительный этап

1. Определение целей:

  • уточнить цели сбора и использования ПД;

  • обеспечить соответствие этих целей законодательству РФ (в частности, закону о ПД);

  • проверить, что обработка ПД не противоречит целям, указанным в учредительных документах компании.

2. Создание рабочей группы:

  • назначить ответственных лиц, например, юрист, HR-специалист, IT-отдел, представитель службы безопасности;

  • включить в группу сотрудника, ответственного за соблюдение требований законодательства о ПД.

Шаг 2: Сбор информации о ПД

1. Категории субъектов ПД.

Определите, какие категории физических лиц затрагиваются:

  • работники и бывшие работники;

  • кандидаты на должности;

  • клиенты (физические лица);

  • представители контрагентов;

  • иные категории (если применимо).

2. Перечень обрабатываемых ПД.

Для каждой категории субъектов определите, какие именно данные собираются:

  • Ф.И.О., дата рождения, паспортные данные, ИНН, СНИЛС, адрес, контактные данные и т.д.;

  • биометрические данные (при наличии)например, отпечатки пальцев для системы контроля доступа;

  • специальные категории данных (например, информация о здоровье, расовой принадлежности и т.д.) — должны быть указаны отдельно.

Шаг 3: Оп

Дата публикации: 16.06.2025, 11:23

Вы видите 30% этого разбора

Подпишитесь, чтобы получить полный доступ ко всем разборамзаконов, а также к другим сервисам на Клерк.ру

Подписка «Клерк.Плюс»

Самое нужное для бухгалтера

  • На 1 месяц

    499 ₽
    Списывается ежемесячно

  • На 12 месяцев

    4 999 ₽5 988 ₽
    со скидкой -17%
    Единоразовый платеж

Включает:

  • Доступ к базе разборов (более 600 экспертных статей с приложениями, новый разбор каждый день)

Подписка «Клерк.Премиум»

  • консультации с экспертами
  • ИИ-помощника и чат
Смотреть тарифы

Комментарии

1
  • Александр @42
    Главный специалист

    Индивидуальные предприниматели не обязаны иметь политику в отношении обработки персональных данных, такая обязанность есть только для юридических лиц (см. подпункт 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 24.06.2025) «О персональных данных»).

Другие материалы по этой теме

Смотреть все

Курсы и вебинары по этой теме

Смотреть все

Консультации по этой теме

12

Оперативные ответы практикующих экспертов по бухгалтерии, налогам, кадрам, праву, работе с 1С и другим темам, которые важны бухгалтерам, предпринимателям и кадровикам

Об обязательной отправке обезличенных данных в ГИС (персональные данные)

Добрый день!

С 01.09.2025. вводится обязательная отправка обезличенных данных в ГИС (персональные данные). Подскажите пожалуйста касается ли эта обязанность всех юрлиц, обрабатывающих ПД или нет? Если нет, то каких категорий касается?

Уведомление в Роскомнадзор

Добрый вечер! Федеральный закон от 27.07.2006 №152-ФЗ ч. 2ст. 22(ред.от 02.07.2021) "О персональных данных" содержит исчерпывающий перечень случаев, когда оператор персональных данных вправе осуществлять обработку персональных данных, не уведомляя об этом Роскомнадзор, без включения в реестр .

1.персональные данные обрабатываемых в соответствии с трудовым законодательством.

Мы ИП занимаемся розничной торговлей и обрабатываем персональные данные в соответствии с трудовым договором. На основании этого закона мы должны подавать уведомление в Роскомнадзор ?

Личные персональные данные

Добрый день.

Я как физическое лицо хочу заключить договор на дополнительное образование по своей специальности, могу ли не отправлять скан паспорта , а просто прописать данные паспортных данных в письме ?

Не хочу отправлять сканы, а институт требует.

Персональные данные.

Доброго дня.Подскажите пожалуйста часто звонят по рабочему телефону просят номера главного бухгалтера ,директора ,менеджера (контрагенты,налоговая, сфр ) сотрудники дают личные номера с 1 сентября 2025г. входят изменения ,как сейчас пояснить правильно работникам ?

Уведомление в Роскомнадзор после увольнения всех сотрудников

ИП уволил всех сотрудников. Работает сам и в будущем не планирует нанимать работников. Когда нужно подавать уведомление в Роскомнадзор о прекращении обработки ПД? В течение 10 дней после увольнения? Но отчетность по сотрудникам мы отправляем также по итогам года... Соответственно обрабатываем ПД бывших сотрудников.

Персональные данные

Добрый день.СТО работает с физлицами т.е. при оформлении в 1С покупателя менеджер просит телефон контактный,ПТС (паспорт транспортного средства).Нужно ли до начала работы с покупателем брать с него разрешение на обработку персональных данных,если да,то ,что обязательно должно быть прописано. и можно ли это прописать в заказ наряде?

Уведомление об изменении сведений в РКН

Добрый день!

Заполняем Уведомление об изменении сведений в РКН - т.к. у ИП появился сотрудник. Добавляем цель обработки данных по сотрудникам.

Нужно ли сейчас повторно заполнять следующие разделы:

  • Описание мер, предусмотренных....

  • Использование шифровальных средств...

  • Дата начала обработки данных

  • Срок и условия прекращения обработки

  • Сведения о месте нахождения БД

Все эти пункты были заполнены в первичном уведомлении.

Согласие об обработке ПД, изменения с 1 сентября

Доброго времени суток!
С 1 сентября согласие об обработке ПД нужно оформлять отдельным документом. Подскажите, а согласия, оформленные и полученные до 1 сентября требуют переоформления? Новые требования касаются только согласий, оформляемых с даты вступления в силу изменений?

И как вообще Роскомнадзор сейчас проверяет и может выявить нарушения, подскажите, пожалуйста. Например, если есть сайт, то там через него, а если нет сайта?

Персональный данные

Подскажите пожалуйста, можно где-то посмотреть какие локальные акты нужны оператору персональных данных и что в них должно быть (назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных)

Смотреть все консультации
ГлавнаяБух.Совет