Кибероснова | 152-ФЗ — документы по защите персональных данных
152-ФЗ20265 мин

Политика обработки персональных данных: образец, шаблон, конструктор

Политика обработки персональных данных по 152-ФЗ: полный разбор обязательных разделов, образец для ООО и для сайта, разница с политикой конфиденциальности.

Что такое политика обработки персональных данных

Политика обработки персональных данных (также называемая «Политика в отношении обработки персональных данных» или «Положение об обработке ПДн») — это основной документ организации, определяющий принципы, цели и порядок обработки персональных данных.

Этот документ является обязательным для каждого оператора персональных данных. Требование установлено статьёй 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:

«Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом. К таким мерам могут, в частности, относиться: издание оператором документов, определяющих политику оператора в отношении обработки персональных данных».

Кому нужна политика обработки ПДн

Политика обязательна для любой организации и ИП, которые обрабатывают персональные данные:

  • Юридические лица — ООО, АО, НКО, государственные и муниципальные учреждения;
  • Индивидуальные предприниматели — если имеют работников или обрабатывают данные клиентов;
  • Владельцы сайтов — если сайт собирает персональные данные (формы обратной связи, регистрация, заказы).

Фактически политика нужна каждому бизнесу в России, поскольку любая организация обрабатывает как минимум персональные данные своих работников.

Какими нормативными актами регулируется

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — основной закон;
  • Постановление Правительства РФ от 15.09.2008 № 687 — обработка без автоматизации;
  • Постановление Правительства РФ от 01.11.2012 № 1119 — требования к защите ПДн;
  • Приказ Роскомнадзора от 28.10.2022 № 180 — рекомендации к содержанию политики;
  • Трудовой кодекс РФ, глава 14 — обработка ПДн работников.

Отсутствие утверждённой политики обработки ПДн является нарушением закона и может повлечь штраф по статье 13.11 КоАП РФ — от 60 000 до 100 000 рублей для юридических лиц при первом нарушении.

Что должна содержать политика обработки ПДн по 152-ФЗ

Содержание политики обработки персональных данных определяется статьями 18.1, 5, 6, 9, 10, 11, 12 Федерального закона № 152-ФЗ, а также Рекомендациями Роскомнадзора (Приказ от 28.10.2022 № 180). Документ должен быть исчерпывающим и отражать все аспекты обработки ПДн в организации.

Обязательные разделы политики

1. Общие положения. Назначение документа, перечень нормативных актов, основные термины и определения (персональные данные, оператор, обработка, субъект ПДн, ИСПДн).

2. Принципы обработки ПДн. Перечисление принципов из статьи 5 152-ФЗ: законность, справедливость, ограничение целями, соответствие объёма, точность, ограничение хранения.

3. Цели обработки персональных данных. Перечисление конкретных целей: кадровое делопроизводство, исполнение договоров, маркетинг, обеспечение безопасности помещений и т.д.

4. Правовые основания обработки. Перечень оснований из статьи 6 152-ФЗ применительно к каждой цели: согласие субъекта, договор, закон, законный интерес.

5. Категории субъектов и состав персональных данных. Таблица категорий субъектов (работники, клиенты, контрагенты, посетители сайта) с перечислением обрабатываемых данных для каждой категории.

6. Порядок и условия обработки. Описание способов обработки (автоматизированная, без автоматизации, смешанная), действий с данными (сбор, запись, систематизация, хранение, передача, уничтожение).

7. Обработка специальных категорий ПДн и биометрических данных. Указание на наличие/отсутствие обработки таких данных и особые условия их обработки (статьи 10, 11 152-ФЗ).

8. Порядок передачи ПДн третьим лицам. Условия передачи, перечень получателей (государственные органы, контрагенты, операторы-обработчики), требования к договорам поручения обработки.

9. Трансграничная передача ПДн. Порядок передачи данных за пределы РФ, перечень стран-получателей, правовые основания трансграничной передачи (статья 12 152-ФЗ).

10. Права субъекта персональных данных. Перечень прав по статьям 14–17 152-ФЗ: право на доступ, уточнение, блокирование, удаление, отзыв согласия.

11. Меры по обеспечению безопасности. Организационные и технические меры защиты ПДн в соответствии с ПП 1119 и приказами ФСТЭК.

12. Сроки обработки и порядок уничтожения. Сроки хранения для каждой категории ПДн, порядок уничтожения при достижении цели обработки или по требованию субъекта.

13. Заключительные положения. Порядок пересмотра и обновления политики, ответственный за организацию обработки ПДн.

Разделы политики обработки персональных данных

РазделЧто включитьСсылка на закон
Общие положенияНазначение документа, термины, область применения, нормативная базаст. 3, 18.1 152-ФЗ
Принципы обработкиЗаконность, справедливость, ограничение целями, минимизация, точность, ограничение храненияст. 5 152-ФЗ
Цели обработкиКонкретные цели для каждой категории субъектов: кадры, договоры, маркетингст. 5 ч. 2 152-ФЗ
Правовые основанияСогласие, договор, закон, жизненно важные интересы, законный интересст. 6 152-ФЗ
Категории субъектов и данныхТаблица: работники, клиенты, посетители сайта — какие данные обрабатываютсяст. 5 ч. 4 152-ФЗ
Специальные категории и биометрияРасовая/национальная принадлежность, здоровье, судимость, биометрические данныест. 10, 11 152-ФЗ
Передача третьим лицамПеречень получателей, основания, требования к договорам поручения обработкист. 6 ч. 3 152-ФЗ
Трансграничная передачаСтраны-получатели, основания, уведомление Роскомнадзораст. 12 152-ФЗ
Права субъектов ПДнДоступ, уточнение, блокирование, удаление, отзыв согласия, возражениест. 14–17 152-ФЗ
Меры безопасностиОрганизационные и технические меры, уровень защищённости, ответственные лицаст. 19 152-ФЗ, ПП 1119
Сроки и уничтожениеСроки хранения по категориям, порядок уничтожения, акт об уничтожениист. 5 ч. 7, ст. 21 152-ФЗ
Заключительные положенияПересмотр, обновление, публикация, ответственный за обработку ПДнст. 22.1 152-ФЗ

Образец политики обработки ПДн для ООО

Политика обработки персональных данных для ООО должна учитывать специфику организационно-правовой формы и конкретные бизнес-процессы компании.

Особенности для ООО

В политике ООО необходимо отразить:

  • Полное наименование — ООО «Название», ИНН, ОГРН, юридический адрес;
  • Руководитель — генеральный директор (он же утверждает политику приказом);
  • Ответственный за организацию обработки ПДн — назначается приказом в соответствии со статьёй 22.1 152-ФЗ;
  • Категории субъектов — работники ООО, кандидаты на вакансии, клиенты (физические лица), представители контрагентов, посетители офиса, пользователи сайта.

Типовая структура для ООО

УТВЕРЖДАЮ Генеральный директор ООО «_» _____________ / ФИО / Приказ № ____ от «» ____ 2026 г.

ПОЛИТИКА ООО «___» в отношении обработки персональных данных

Раздел 1. Общие положения. ООО «___» (далее — Оператор) обрабатывает персональные данные в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом РФ и иными нормативными правовыми актами.

Раздел 2. Цели обработки.

  • Обеспечение кадрового делопроизводства и соблюдение трудового законодательства;
  • Исполнение гражданско-правовых договоров с клиентами и контрагентами;
  • Продвижение товаров и услуг (маркетинг) — при наличии согласия;
  • Обеспечение безопасности и пропускного режима;
  • Обработка обращений через сайт.

Раздел 3. Состав обрабатываемых данных.

КатегорияПерсональные данныеОснование
РаботникиФИО, дата рождения, паспорт, СНИЛС, ИНН, адрес, образование, трудовой стажТК РФ, НК РФ
КлиентыФИО, телефон, e-mail, адрес доставкиДоговор
Посетители сайтаIP-адрес, cookies, данные формСогласие

Полный образец для ООО можно создать в конструкторе Кибероснова Документы — система автоматически подставит реквизиты вашей организации и сформирует все обязательные разделы.

Образец политики обработки ПДн для сайта

Если организация ведёт сайт, который собирает персональные данные посетителей (формы обратной связи, регистрация, заказы, cookie-файлы), политика обработки ПДн должна быть размещена на сайте в открытом доступе. Это требование установлено частью 2 статьи 18.1 Федерального закона № 152-ФЗ.

Что дополнительно включить для сайта

  1. Перечень данных, собираемых через сайт: имя, телефон, e-mail из форм обратной связи; IP-адрес, cookies, данные браузера (User-Agent); данные регистрации и авторизации; данные заказов и платежей.

  2. Указание на сбор данных автоматическими средствами: cookies, веб-маяки, пиксели, скрипты аналитики (Яндекс.Метрика, Google Analytics).

  3. Обработчики и третьи стороны: хостинг-провайдер, сервис рассылок, платёжная система, CRM-система, CDN. Для каждого указать: наименование, цель передачи, правовое основание.

  4. Порядок получения согласия: чекбокс в формах, баннер cookies, пользовательское соглашение с отсылкой к политике.

  5. Контактные данные для обращений: e-mail для запросов субъектов ПДн, почтовый адрес.

Размещение на сайте

Политика должна быть доступна не более чем в 2 клика с любой страницы сайта. Стандартные способы размещения:

  • Ссылка в подвале (footer) каждой страницы — наиболее распространённый вариант;
  • Ссылка в формах сбора данных — рядом с чекбоксом согласия;
  • Отдельная страница по адресу /privacy-policy/ или /politika-obrabotki-pdn/.

Роскомнадзор при проверке сайта в первую очередь проверяет наличие и доступность политики обработки ПДн. Её отсутствие на сайте — наиболее частое нарушение, выявляемое при дистанционных проверках.

Отличие от внутренней политики

Политика для сайта — это публичная версия документа, адаптированная для посетителей. Внутренняя политика для сотрудников может содержать дополнительные разделы: перечень ИСПДн, технические меры защиты, порядок допуска сотрудников. Организация может иметь один документ, включающий обе части, или два отдельных документа.

Разница: политика обработки ПДн и политика конфиденциальности

Эти два документа часто путают, однако между ними есть существенные различия. Понимание разницы важно для правильного оформления документации сайта.

Политика обработки персональных данных

  • Правовое основание: статья 18.1 Федерального закона № 152-ФЗ;
  • Назначение: определяет общую политику организации в отношении обработки ПДн — принципы, цели, основания, права субъектов;
  • Область применения: все персональные данные, обрабатываемые организацией (работники, клиенты, контрагенты, посетители сайта);
  • Характер: нормативный локальный акт организации;
  • Обязательность: обязательна для всех операторов ПДн;
  • Содержание: исчерпывающий перечень разделов по требованиям 152-ФЗ.

Политика конфиденциальности

  • Правовое основание: часть 2 статьи 18.1 152-ФЗ (обеспечение неограниченного доступа к политике);
  • Назначение: информирует посетителей сайта о том, какие данные собираются и как используются;
  • Область применения: данные, собираемые через сайт и связанные сервисы;
  • Характер: публичный информационный документ для пользователей сайта;
  • Обязательность: обязательна для всех сайтов, собирающих ПДн;
  • Содержание: упрощённая, понятная для обычного пользователя информация.

Что выбрать?

КритерийПолитика обработки ПДнПолитика конфиденциальности
Кому нужнаЛюбой организацииВладельцу сайта
Для кого написанаДля регулятора и сотрудниковДля посетителей сайта
ЯзыкЮридическийПонятный обычному человеку
Где размещаетсяВнутренний документ + сайтНа сайте
Объём10–30 страниц3–8 страниц

Рекомендация: организации с сайтом следует иметь оба документа. Политика обработки ПДн — полный юридический документ для проверок Роскомнадзора. Политика конфиденциальности — адаптированная версия для посетителей сайта. В конструкторе Кибероснова Документы вы можете создать оба документа одновременно, обеспечив их согласованность.

Создайте политику обработки ПДн за 10 минут

Конструктор автоматически сформирует все обязательные разделы по 152-ФЗ с учётом специфики вашей организации.

Создать политику

Часто задаваемые вопросы

Да, политика обработки персональных данных обязательна для каждого оператора ПДн. Это требование установлено статьёй 18.1 Федерального закона № 152-ФЗ. Отсутствие утверждённой политики является нарушением закона и влечёт штраф по статье 13.11 КоАП РФ — от 60 000 до 100 000 рублей для юридических лиц.

Нужен полный пакет документов по 152-ФЗ?

Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.

Связанные материалы