Кибероснова152-ФЗ
Образец 2026
152-ФЗОбновлено: 2 июля 2026 г.5 мин

Положение об обработке персональных данных: образец для организации

Положение об обработке и защите персональных данных: готовый образец для организации, обязательные разделы, отличие от политики, приказ об утверждении. Шаблон по 152-ФЗ.

* В раннем доступе — первые 3 документа бесплатно с автозаполнением под вашу организацию из 27 реестров.

Что такое положение об обработке ПДн и чем отличается от политики

Положение об обработке персональных данных — это внутренний локальный нормативный акт организации, который детально регламентирует порядок обработки и защиты ПДн. Документ определяет конкретные процедуры, обязанности сотрудников и механизмы контроля.

Отличие от политики обработки ПДн

Политика обработки ПДн и Положение об обработке ПДн — два разных документа, хотя на практике их часто путают или объединяют в один.

  • Политика — это документ верхнего уровня, декларирующий принципы, цели и общий подход организации к обработке ПДн. Политика публикуется на сайте и предназначена как для внутреннего использования, так и для внешних субъектов ПДн (клиентов, посетителей).

  • Положение — это внутренний регламент, который конкретизирует политику: описывает процедуры обработки, порядок доступа сотрудников к ПДн, правила хранения и уничтожения, ответственность за нарушения. Положение предназначено только для сотрудников организации.

Нормативное основание

Обязанность принять внутренние документы, регламентирующие обработку ПДн, установлена статьёй 18.1 Федерального закона № 152-ФЗ и статьёй 87 Трудового кодекса РФ (в части ПДн работников). Роскомнадзор при проверке запрашивает как политику, так и положение — их отсутствие квалифицируется как нарушение.

Кому необходимо положение

Положение об обработке ПДн необходимо:

  • Всем юридическим лицам — ООО, АО, НКО, бюджетные учреждения, госорганы;
  • ИП с наёмными работниками — обязанность установлена Трудовым кодексом;
  • Организациям с лицензиями (медицина, образование, финансы) — при проверках лицензирующих органов положение запрашивается в обязательном порядке.

Образец полного текста: структура и формулировки

В конструкторе «Кибероснова Документы» положение формируется по шаблону «Правила обработки персональных данных» — приложение к приказу руководителя об утверждении. Реквизиты организации, должность руководителя, дата и номер приказа подставляются автоматически. Ниже — все семь разделов шаблона с реальными формулировками.

1

Общие положения

Данные Правила разработаны с целью защиты интересов [наименование организации] и субъектов персональных данных, в целях предотвращения раскрытия (передачи), а также соблюдения надлежащих правил обращения с персональными данными.

Раздел фиксирует: документ обязателен для всех работников, допущенных к работе с персональными данными; работники должны быть ознакомлены с законодательством о персональных данных, документами, определяющими политику оператора, и локальными актами по вопросам обработки ПДн.

2

Термины и определения

Шаблон закрепляет 13 терминов с отсылками к 152-ФЗ и 149-ФЗ: информация, доступ к информации, носитель информации, несанкционированный доступ (НСД), контролируемая зона (КЗ), информационная система (ИС), автоматизированное рабочее место (АРМ), обработка персональных данных, пароль, персональные данные, распространение персональных данных, субъект персональных данных, уничтожение персональных данных. Пример формулировки:

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»).

3

Порядок работы со сведениями, содержащими персональные данные

Ключевые правила раздела:

  • хранение бумажных документов и съёмных носителей с ПДн — только в специальных закрытых шкафах, сейфах и помещениях; напечатанные документы изымаются из принтеров немедленно;
  • запрещается без прямой служебной необходимости делать выписки ПДн, распечатывать документы или записывать ПДн на съёмные носители;
  • для передачи ПДн используются только носители, учтённые в Журнале учёта съёмных носителей информации;
  • вынос документов и носителей за пределы контролируемой зоны — только с разрешения руководителя или ответственного за организацию обработки ПДн;
  • документы с истёкшим сроком хранения уничтожаются без возможности восстановления (например, в шредерах);
  • мониторы компьютеров ориентируются так, чтобы исключить визуальный просмотр информации посторонними;
  • запрещается упоминать сведения, содержащие ПДн, в разговоре с третьими лицами.
4

Порядок доступа лиц в помещения

Раздел устанавливает пропускной режим: беспрепятственно в помещения ИС проходят руководитель и работники с допуском; работники контролирующих органов, пожарных и аварийных служб, полиции — при наличии служебного удостоверения и в сопровождении; остальные — ограниченно. Дополнительно: посетители — только в рабочее время в сопровождении допущенных работников; в помещениях обработки ПДн запрещены фотографирование, видео- и звукозапись; окна оборудуются шторами или жалюзи; ведётся Журнал учёта ключей от сейфов и помещений; уборка — под контролем допущенного работника.

5

Действия при обнаружении попыток несанкционированного доступа

При выявлении факта НСД пользователь ИСПДн обязан:

прекратить несанкционированный доступ к персональным данным; доложить руководителю служебной запиской о факте несанкционированного доступа, его результате (успешный, неуспешный) и предпринятых действиях; известить руководителя структурного подразделения; известить ответственного за обеспечение безопасности персональных данных в информационных системах и ответственного за организацию обработки ПДн.

6

Требования по техническому укреплению

Требования к помещениям: прочные петли, шпингалеты и задвижки на дверях и окнах; металлические решётки на оконных проёмах первых этажей (если это не противоречит требованиям пожарной безопасности); надёжное крепление стёкол в пазах; запорные устройства на рамах.

7

Ответственность

Работники [наименование организации], виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.

Раздел детализирует: дисциплинарные взыскания — замечание, выговор, увольнение; полная материальная ответственность при причинении ущерба (п. 7 ст. 243 Трудового кодекса РФ); ст. 13.14 КоАП РФ — за разглашение; ст. 137 УК РФ — за нарушение неприкосновенности частной жизни; ст. 5.27 и 5.39 КоАП РФ — ответственность руководителя.

Положение об обработке ПДн: для организации и для работников

<b>Общее положение об обработке ПДн</b> охватывает все категории субъектов, чьи данные обрабатывает организация: работники, клиенты, контрагенты, посетители.

<b>Что включает:</b>

  • Перечень всех категорий субъектов ПДн и состав обрабатываемых данных для каждой категории;
  • Цели и правовые основания обработки для каждой категории;
  • Порядок получения и обработки согласий на обработку ПДн;
  • Перечень информационных систем персональных данных (ИСПДн) с указанием уровня защищённости;
  • Порядок передачи ПДн третьим лицам и трансграничной передачи;
  • Порядок реагирования на обращения субъектов ПДн (запросы, жалобы, отзыв согласия);
  • Порядок уничтожения ПДн при достижении цели обработки;
  • Ответственность сотрудников за нарушение порядка обработки ПДн.

Это основной документ, который проверяет Роскомнадзор при плановых и внеплановых проверках.

Что должно содержать положение об обработке ПДн

Положение об обработке персональных данных должно быть исчерпывающим и учитывать все аспекты обработки ПДн в организации. Структура документа определяется требованиями 152-ФЗ, Трудового кодекса РФ и рекомендациями Роскомнадзора.

Обязательные разделы положения

1. Общие положения. Назначение документа, область применения, нормативные правовые акты, основные термины. Указание на то, что положение является обязательным для всех сотрудников, имеющих доступ к ПДн.

2. Состав персональных данных. Полный перечень обрабатываемых ПДн по категориям субъектов. Для работников — отдельная таблица с указанием правового основания обработки каждого вида данных.

3. Порядок обработки ПДн. Описание процедур: сбор, систематизация, накопление, хранение, уточнение, использование, передача, блокирование, уничтожение. Указание на автоматизированный и неавтоматизированный способы.

4. Доступ к персональным данным. Перечень должностей, имеющих доступ к ПДн, с указанием объёма доступа. Порядок оформления допуска — приказ руководителя, обязательство о неразглашении.

5. Защита персональных данных. Организационные меры: назначение ответственного лица, обучение сотрудников, внутренний аудит. Технические меры: средства защиты информации, разграничение доступа, шифрование, антивирусная защита, резервное копирование.

6. Права субъектов ПДн. Порядок реализации прав субъектов: право на доступ (в течение 10 рабочих дней), право на уточнение, блокирование, удаление, право на отзыв согласия.

7. Порядок хранения и уничтожения. Сроки хранения для каждой категории ПДн, условия хранения бумажных и электронных носителей, порядок уничтожения (комиссия, акт уничтожения).

8. Ответственность. Дисциплинарная, административная, гражданско-правовая и уголовная ответственность за нарушение порядка обработки ПДн.

Образец положения об обработке персональных данных

УТВЕРЖДАЮ Генеральный директор ООО «_» _____________ / ФИО / Приказ № ____ от «» ____ 2026 г.

ПОЛОЖЕНИЕ об обработке и защите персональных данных в ООО «___»

  1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Настоящее Положение определяет порядок обработки и защиты персональных данных в ООО «___» (далее — Организация). 1.2. Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 № 1119. 1.3. Положение обязательно для исполнения всеми работниками Организации, имеющими доступ к персональным данным.

  2. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ 2.1. Организация обрабатывает следующие категории персональных данных: — работников: ФИО, дата и место рождения, паспортные данные, СНИЛС, ИНН, адрес, образование, семейное положение, сведения о трудовой деятельности; — клиентов: ФИО, телефон, e-mail, адрес, реквизиты договора; — посетителей сайта: имя, e-mail, IP-адрес, данные cookies.

  3. ПОРЯДОК ОБРАБОТКИ 3.1. Обработка ПДн осуществляется с согласия субъекта или на ином законном основании. 3.2. Доступ к ПДн имеют работники согласно Перечню должностей (Приложение 1). 3.3. Передача ПДн третьим лицам — только с согласия субъекта или в случаях, предусмотренных законом.

  4. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ 4.1. Ответственный за организацию обработки ПДн: [должность, ФИО]. 4.2. Организационные меры: обучение, инструктаж, обязательства о неразглашении. 4.3. Технические меры: средства защиты информации, разграничение доступа.

  5. ПРАВА СУБЪЕКТОВ ПДн 5.1. Субъект вправе получить информацию об обработке своих ПДн в течение 10 рабочих дней с момента обращения.

  6. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ 6.1. Сроки хранения определяются целями обработки и требованиями законодательства. 6.2. Уничтожение оформляется актом комиссии.

  7. ОТВЕТСТВЕННОСТЬ 7.1. Работники несут дисциплинарную, административную, уголовную ответственность за нарушение настоящего Положения.

Получите документ бесплатно

Первые 3 документа — бесплатно в раннем доступе. С автозаполнением из 27 реестров и поддержкой актуальных НПА.

Получить доступ

Приказ об утверждении положения об обработке ПДн

Положение об обработке персональных данных вводится в действие приказом руководителя организации. Без приказа документ не имеет юридической силы. Роскомнадзор при проверке запрашивает именно приказ как подтверждение утверждения локальных актов по обработке ПДн.

Что указать в приказе

  • Реквизиты приказа: номер, дата, место составления;
  • Преамбула: «В целях обеспечения защиты персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ и Трудовым кодексом РФ, ПРИКАЗЫВАЮ:»;
  • Пункт 1: Утвердить Положение об обработке и защите персональных данных (Приложение 1);
  • Пункт 2: Назначить ответственного за организацию обработки ПДн — ФИО, должность (требование ст. 22.1 152-ФЗ);
  • Пункт 3: Ознакомить всех работников с Положением под подпись в срок до [дата];
  • Пункт 4: Контроль за исполнением приказа возложить на [должность, ФИО];
  • Подпись руководителя и печать организации (при наличии).

Образец приказа

ООО «_» ПРИКАЗ № ____ от «» ____ 2026 г.

Об утверждении Положения об обработке и защите персональных данных

В целях обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»,

ПРИКАЗЫВАЮ:

  1. Утвердить Положение об обработке и защите персональных данных в ООО «___» (Приложение 1).
  2. Назначить ответственным за организацию обработки персональных данных ___ (должность, ФИО).
  3. Руководителям структурных подразделений обеспечить ознакомление подчинённых работников с Положением под подпись в срок до «__» ____ 2026 г.
  4. Контроль за исполнением настоящего приказа оставляю за собой.

Генеральный директор _____________ / ФИО /

Лист ознакомления

К приказу прилагается лист ознакомления работников с Положением. Лист содержит: ФИО работника, должность, дату ознакомления, подпись. Хранится вместе с приказом и положением. При приёме нового работника — ознакомление проводится до подписания трудового договора (ст. 68 ТК РФ).

Штрафы за отсутствие положения об обработке ПДн

Отсутствие утверждённого положения об обработке персональных данных квалифицируется по части 1 статьи 5.27 КоАП РФ (нарушение трудового законодательства) и частью 3 статьи 13.11 КоАП РФ (неопубликование документа, определяющего политику в отношении обработки ПДн). Штраф для юридических лиц — от 30 000 до 60 000 рублей. Трудовая инспекция при проверке также запрашивает положение — его отсутствие влечёт отдельный штраф до 50 000 рублей.

Создайте положение об обработке ПДн за 10 минут

Конструктор сформирует положение с учётом специфики вашей организации: состав данных, перечень должностей с доступом, меры защиты, приказ об утверждении и лист ознакомления.

Создать положение

Часто задаваемые вопросы

Да, положение об обработке персональных данных обязательно для каждой организации, обрабатывающей ПДн. Требование установлено статьёй 18.1 Федерального закона № 152-ФЗ и статьёй 87 Трудового кодекса РФ. Роскомнадзор и Трудовая инспекция запрашивают этот документ при проверках.

Готовы создать документ под вашу организацию?

В раннем доступе — 3 документа бесплатно с автозаполнением из 27 реестров. Или закажите полный пакет под ключ от 120 000 ₽.

Связанные материалы