Политика обработки персональных данных: образец, шаблон, конструктор

Политика обязательна для любой организации и ИП, которые обрабатывают персональные данные:

• Юридические лица — ООО, АО, НКО, государственные и муниципальные учреждения;
• Индивидуальные предприниматели — если имеют работников или обрабатывают данные клиентов;
• Владельцы сайтов — если сайт собирает персональные данные (формы обратной связи, регистрация, заказы).

Фактически политика нужна каждому бизнесу в России, поскольку любая организация обрабатывает как минимум персональные данные своих работников.

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — основной закон;
• Постановление Правительства РФ от 15.09.2008 № 687 — обработка без автоматизации;
• Постановление Правительства РФ от 01.11.2012 № 1119 — требования к защите ПДн;
• Приказ Роскомнадзора от 28.10.2022 № 180 — рекомендации к содержанию политики;
• Трудовой кодекс РФ, глава 14 — обработка ПДн работников.

Отсутствие утверждённой политики обработки ПДн является нарушением закона и может повлечь штраф по статье 13.11 КоАП РФ — от 60 000 до 100 000 рублей для юридических лиц при первом нарушении.

1. Общие положения. Назначение документа, перечень нормативных актов, основные термины и определения (персональные данные, оператор, обработка, субъект ПДн, ИСПДн).

2. Принципы обработки ПДн. Перечисление принципов из статьи 5 152-ФЗ: законность, справедливость, ограничение целями, соответствие объёма, точность, ограничение хранения.

3. Цели обработки персональных данных. Перечисление конкретных целей: кадровое делопроизводство, исполнение договоров, маркетинг, обеспечение безопасности помещений и т.д.

4. Правовые основания обработки. Перечень оснований из статьи 6 152-ФЗ применительно к каждой цели: согласие субъекта, договор, закон, законный интерес.

5. Категории субъектов и состав персональных данных. Таблица категорий субъектов (работники, клиенты, контрагенты, посетители сайта) с перечислением обрабатываемых данных для каждой категории.

6. Порядок и условия обработки. Описание способов обработки (автоматизированная, без автоматизации, смешанная), действий с данными (сбор, запись, систематизация, хранение, передача, уничтожение).

7. Обработка специальных категорий ПДн и биометрических данных. Указание на наличие/отсутствие обработки таких данных и особые условия их обработки (статьи 10, 11 152-ФЗ).

8. Порядок передачи ПДн третьим лицам. Условия передачи, перечень получателей (государственные органы, контрагенты, операторы-обработчики), требования к договорам поручения обработки.

9. Трансграничная передача ПДн. Порядок передачи данных за пределы РФ, перечень стран-получателей, правовые основания трансграничной передачи (статья 12 152-ФЗ).

10. Права субъекта персональных данных. Перечень прав по статьям 14–17 152-ФЗ: право на доступ, уточнение, блокирование, удаление, отзыв согласия.

11. Меры по обеспечению безопасности. Организационные и технические меры защиты ПДн в соответствии с ПП 1119 и приказами ФСТЭК.

12. Сроки обработки и порядок уничтожения. Сроки хранения для каждой категории ПДн, порядок уничтожения при достижении цели обработки или по требованию субъекта.

13. Заключительные положения. Порядок пересмотра и обновления политики, ответственный за организацию обработки ПДн.

В политике ООО необходимо отразить:

• Полное наименование — ООО «Название», ИНН, ОГРН, юридический адрес;
• Руководитель — генеральный директор (он же утверждает политику приказом);
• Ответственный за организацию обработки ПДн — назначается приказом в соответствии со статьёй 22.1 152-ФЗ;
• Категории субъектов — работники ООО, кандидаты на вакансии, клиенты (физические лица), представители контрагентов, посетители офиса, пользователи сайта.

УТВЕРЖДАЮ Генеральный директор ООО «_» _____________ / ФИО / Приказ № ____ от «» ____ 2026 г.

ПОЛИТИКА ООО «___» в отношении обработки персональных данных

Раздел 1. Общие положения. ООО «___» (далее — Оператор) обрабатывает персональные данные в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом РФ и иными нормативными правовыми актами.

Раздел 2. Цели обработки.

• Обеспечение кадрового делопроизводства и соблюдение трудового законодательства;
• Исполнение гражданско-правовых договоров с клиентами и контрагентами;
• Продвижение товаров и услуг (маркетинг) — при наличии согласия;
• Обеспечение безопасности и пропускного режима;
• Обработка обращений через сайт.

Раздел 3. Состав обрабатываемых данных.

Полный образец для ООО можно создать в конструкторе Кибероснова Документы — система автоматически подставит реквизиты вашей организации и сформирует все обязательные разделы.

1. Перечень данных, собираемых через сайт: имя, телефон, e-mail из форм обратной связи; IP-адрес, cookies, данные браузера (User-Agent); данные регистрации и авторизации; данные заказов и платежей.

2. Указание на сбор данных автоматическими средствами: cookies, веб-маяки, пиксели, скрипты аналитики (Яндекс.Метрика, Google Analytics).

3. Обработчики и третьи стороны: хостинг-провайдер, сервис рассылок, платёжная система, CRM-система, CDN. Для каждого указать: наименование, цель передачи, правовое основание.

4. Порядок получения согласия: чекбокс в формах, баннер cookies, пользовательское соглашение с отсылкой к политике.

5. Контактные данные для обращений: e-mail для запросов субъектов ПДн, почтовый адрес.

Политика должна быть доступна не более чем в 2 клика с любой страницы сайта. Стандартные способы размещения:

• Ссылка в подвале (footer) каждой страницы — наиболее распространённый вариант;
• Ссылка в формах сбора данных — рядом с чекбоксом согласия;
• Отдельная страница по адресу /privacy-policy/ или /politika-obrabotki-pdn/.

Роскомнадзор при проверке сайта в первую очередь проверяет наличие и доступность политики обработки ПДн. Её отсутствие на сайте — наиболее частое нарушение, выявляемое при дистанционных проверках.

Политика для сайта — это публичная версия документа, адаптированная для посетителей. Внутренняя политика для сотрудников может содержать дополнительные разделы: перечень ИСПДн, технические меры защиты, порядок допуска сотрудников. Организация может иметь один документ, включающий обе части, или два отдельных документа.

• Правовое основание: статья 18.1 Федерального закона № 152-ФЗ;
• Назначение: определяет общую политику организации в отношении обработки ПДн — принципы, цели, основания, права субъектов;
• Область применения: все персональные данные, обрабатываемые организацией (работники, клиенты, контрагенты, посетители сайта);
• Характер: нормативный локальный акт организации;
• Обязательность: обязательна для всех операторов ПДн;
• Содержание: исчерпывающий перечень разделов по требованиям 152-ФЗ.

• Правовое основание: часть 2 статьи 18.1 152-ФЗ (обеспечение неограниченного доступа к политике);
• Назначение: информирует посетителей сайта о том, какие данные собираются и как используются;
• Область применения: данные, собираемые через сайт и связанные сервисы;
• Характер: публичный информационный документ для пользователей сайта;
• Обязательность: обязательна для всех сайтов, собирающих ПДн;
• Содержание: упрощённая, понятная для обычного пользователя информация.

Рекомендация: организации с сайтом следует иметь оба документа. Политика обработки ПДн — полный юридический документ для проверок Роскомнадзора. Политика конфиденциальности — адаптированная версия для посетителей сайта. В конструкторе Кибероснова Документы вы можете создать оба документа одновременно, обеспечив их согласованность.