Разработка политики
обработки персональных данных

Политика обработки персональных данных (также называемая политика в отношении персональных данных или, в разговорной практике, документ политика обработки персональных данных) — это официальный документ, в котором организация или индивидуальный предприниматель описывает, какие персональные данные собираются, с какими целями, каким образом обрабатываются и как защищаются. Документ обязателен по требованию статьи 18.1 Федерального закона № 152-ФЗ «О персональных данных».

По своей сути политика — это публичное обязательство оператора перед субъектами персональных данных: клиентами, сотрудниками, пользователями сайта. Она объясняет, зачем вы собираете данные, сколько они хранятся, кому передаются и как человек может отозвать своё согласие.

Политика обработки персональных данных — не разовый документ. Она живёт столько, сколько существует организация, и должна обновляться при любом изменении процессов обработки данных: смене CRM-системы, выходе на новые рынки, изменении законодательства.

Обязанность иметь и публиковать политику обработки персональных данных возникает у каждого оператора персональных данных — то есть у любого лица, которое самостоятельно или совместно с другими определяет цели и способы обработки персональных данных.

На практике это означает, что политика нужна:

• Любой организации (ООО, АО, НКО) — как только в ней появляются сотрудники или клиенты.
• Индивидуальному предпринимателю, который собирает данные клиентов или работников.
• Владельцу сайта — даже если сайт просто собирает имена и email через форму обратной связи.
• Интернет-магазину, маркетплейсу, SaaS-сервису.
• HR-отделу, кадровому агентству, рекрутинговой платформе.
• Медицинской организации, фитнес-клубу, образовательному учреждению.

Отсутствие политики — одно из наиболее часто фиксируемых Роскомнадзором нарушений при проверках. Штраф для организации составляет от 60 000 до 100 000 рублей за первое нарушение, и до 500 000 рублей при повторном.

Разработка политики обработки персональных данных регулируется следующими документами:

С 1 сентября 2022 года действуют масштабные поправки к 152-ФЗ, существенно увеличившие штрафы и ужесточившие требования к операторам. С 2023 года Роскомнадзор проводит проверки в том числе по жалобам физических лиц — в режиме онлайн-мониторинга сайтов.

Закон не устанавливает жёсткой формы документа, однако сложилась устойчивая практика его содержания, которой придерживается Роскомнадзор при проверках. Независимо от того, как именно называется ваш документ — «политика обработки персональных данных», «документ политика о сборе персональных данных» или «положение об обработке ПДн» — Роскомнадзор оценивает его содержание, а не заголовок.

Типовая политика обработки персональных данных включает следующие разделы (нумерованный список):

1. Общие положения. Наименование и реквизиты оператора, цели принятия политики, ссылка на законодательную базу.
2. Основные понятия. Определения персональных данных, оператора, субъекта, обработки, согласия и других терминов, используемых в документе.
3. Состав и категории обрабатываемых данных. Перечень данных, которые собирает организация: ФИО, контактные данные, паспортные данные, cookies, платёжная информация, биометрия (если применимо).
4. Цели обработки персональных данных. Для каждой цели (заключение договора, маркетинговые рассылки, кадровый учёт и т.д.) — отдельное обоснование.
5. Правовые основания обработки. Согласие субъекта, исполнение договора, выполнение обязательств по закону — основание для каждой категории данных.
6. Порядок обработки, хранения и передачи данных. Кому передаются данные (третьи лица, облачные сервисы, партнёры), как долго хранятся, как уничтожаются.
7. Права субъектов персональных данных. Право на доступ, исправление, удаление, отзыв согласия, ограничение обработки — и порядок их реализации.
8. Меры по защите персональных данных. Технические и организационные меры: доступ, шифрование, резервное копирование, ответственные сотрудники.
9. Порядок обновления политики. Как и когда вносятся изменения, где публикуется актуальная версия документа.
10. Контактные данные оператора. Адрес, телефон, email для обращений по вопросам обработки персональных данных.

Принятие политики — лишь одна из обязанностей оператора по 152-ФЗ. В рамках работы с персональными данными организация или ИП обязаны:

• Опубликовать политику в открытом доступе — разместить на сайте (обычно в подвале страницы) или обеспечить ознакомление в офисе.
• Получить согласие субъекта на обработку данных — в тех случаях, когда закон не предусматривает другого основания.
• Уведомить Роскомнадзор о намерении осуществлять обработку ПДн (в большинстве случаев — до начала обработки).
• Назначить ответственное лицо за организацию обработки персональных данных — внутренний сотрудник или привлечённый юрист.
• Обеспечить хранение данных на серверах в РФ — требование статьи 18.1 152-ФЗ для данных российских граждан.
• Реагировать на запросы субъектов в установленные законом сроки — как правило, в течение 10 рабочих дней.
• Уничтожить данные по истечении цели обработки или по требованию субъекта.

Наши юристы помогают выстроить систему работы с персональными данными так, чтобы все обязанности оператора исполнялись без лишней нагрузки на сотрудников.

Точная стоимость зависит от объема обрабатываемых данных, количества целей обработки, наличия передачи данных третьим лицам и специфики деятельности. Оставьте заявку — рассчитаем стоимость бесплатно в течение 15 минут.

Бывают ситуации, когда времени на обычный процесс разработки нет. Срочная разработка политики обработки персональных данных требуется, если:

• Завтра или послезавтра плановая (или внеплановая) проверка Роскомнадзора.
• Получено предписание от надзорного органа с коротким сроком исполнения.
• Сайт или сервис готов к запуску, но без опубликованной политики его нельзя ввести в эксплуатацию — требование партнёра, инвестора или маркетплейса.
• Крупный клиент требует предоставить документы по ПДн для заключения договора.
• Поступила жалоба от субъекта персональных данных, и нужно срочно навести порядок.

В режиме срочной разработки мы готовим политику за 1 рабочий день. Свяжитесь с нами любым удобным способом — согласуем условия и приступим немедленно.

Да, и это принципиальный момент. Шаблонная политика из интернета — самое распространённое нарушение, которое выявляет Роскомнадзор при проверках. Документ должен соответствовать реальным процессам обработки данных в вашей организации.

Специфика зависит от типа бизнеса:

Согласие на обработку персональных данных — это не один документ, а несколько разных форм в зависимости от ситуации. Важно понимать, какое именно согласие требуется в каждом случае.

Простое согласие (в любой форме)

Применяется для большинства стандартных ситуаций: подписка на рассылку, регистрация на сайте, заполнение формы обратной связи. Может быть оформлено в виде чекбокса на сайте или подписи под формой. Главное условие — конкретность, информированность и добровольность.

Письменное согласие

Обязательно в случаях, предусмотренных статьёй 9 152-ФЗ: при обработке специальных категорий данных (состояние здоровья, биометрия, национальность, религиозные убеждения), при передаче данных третьим лицам для продвижения товаров и услуг, при трансграничной передаче данных в страны с неадекватным уровнем защиты.

Разрабатываем письменные согласия для:

• Обработки биометрических данных (фото, видео, отпечатки)
• Передачи данных партнёрам и третьим лицам
• Маркетинговых и рекламных рассылок
• HR-процессов: анкеты кандидата, медосмотры, допуски

Согласие на обработку cookies

Отдельная форма согласия для сайтов — всплывающий баннер с информацией о сборе cookies и технологиях отслеживания. Обязательна при использовании Google Analytics, Яндекс.Метрики, пикселей социальных сетей и любых рекламных инструментов.

Согласие для сотрудников

Специальная форма для кадрового делопроизводства: обработка данных работника, передача данных в банки для зарплатного проекта, публикация фотографий сотрудников на сайте компании.

Согласие родителей / законных представителей

Обязательно, если вы собираете персональные данные несовершеннолетних (детей до 18 лет). Актуально для образовательных, спортивных, медицинских организаций и детских онлайн-сервисов.

Наши юристы разработают все необходимые формы согласий с учётом актуальных требований Роскомнадзора и судебной практики.

Наш процесс разработки включает несколько последовательных этапов, которые обеспечивают соответствие документа реальным процессам вашего бизнеса.

1. Первичная консультация и сбор информации. Юрист выясняет: кто вы, что за данные собираете, зачем, как и кому передаёте. Проводится по телефону, в мессенджере или через анкету — занимает 15–30 минут.
2. Аудит текущих документов. Если у вас уже есть политика или отдельные формы согласий — проверяем их на соответствие актуальным требованиям 152-ФЗ и выявляем пробелы.
3. Разработка проекта документа. На основе собранных данных юрист формирует политику, адаптированную под ваши процессы. Никаких шаблонов из интернета — только реальные данные вашего бизнеса.
4. Согласование с клиентом. Передаём проект на ваше рассмотрение. При наличии замечаний — дорабатываем бесплатно.
5. Финальная версия и инструкция по применению. Передаём готовый документ в формате Word и PDF. Прилагаем инструкцию: куда разместить, как ознакомить сотрудников, как принять приказ о введении в действие.

152-ФЗ предусматривает несколько оснований для обработки персональных данных. Согласие субъекта — лишь одно из них. Понимание этого разграничения важно для того, чтобы не перегружать сотрудников и клиентов лишними формами.

Согласие нужно:

• При подписке на email-рассылку или push-уведомления.
• При публикации фотографий и персональных данных на сайте компании.
• При обработке специальных категорий ПДн (здоровье, биометрия, вероисповедание).
• При передаче данных третьим лицам для целей, не предусмотренных договором.
• При использовании cookies и аналитических инструментов на сайте.

Согласие не требуется:

• При исполнении договора с субъектом — например, обработка данных покупателя при доставке товара.
• При исполнении требований законодательства — налоговый и кадровый учёт, подача отчётности.
• При защите жизни и здоровья субъекта в экстренных случаях.
• При обработке данных, сделанных общедоступными самим субъектом.

Важно правильно определить основание для каждой категории данных — это напрямую влияет на содержание политики и перечень необходимых документов.

Политика обработки персональных данных — документ, требующий регулярного обновления. Роскомнадзор обращает особое внимание на устаревшие документы, не отражающие реальных процессов компании.

Политику необходимо актуализировать при:

• Изменении законодательства в сфере ПДн (поправки к 152-ФЗ, новые приказы РКН).
• Внедрении новой CRM, облачного сервиса, сервиса аналитики или платёжного шлюза.
• Расширении перечня собираемых данных — например, добавлении биометрии.
• Изменении целей обработки — выход на новый рынок, запуск рассылок.
• Смене ответственного за обработку персональных данных.
• Передаче данных новым третьим лицам.
• Изменении реквизитов организации.

Рекомендуется проводить плановый аудит документации по ПДн не реже одного раза в год. Мы предлагаем услугу подписки: ежегодный мониторинг изменений законодательства и актуализация документов при необходимости.

С 2022 года санкции за нарушения в области персональных данных существенно выросли. Роскомнадзор активно проводит проверки — как плановые, так и по жалобам субъектов.

Помимо административной ответственности, грубые нарушения могут повлечь уголовную ответственность (статья 137 УК РФ) — за незаконный сбор или распространение сведений о частной жизни.

Да. Федеральный закон № 152-ФЗ распространяется на всех операторов персональных данных — в том числе на индивидуальных предпринимателей. Если ИП собирает данные клиентов (имя, телефон, email), ведёт базу покупателей или работает с сотрудниками — он является оператором ПДн и обязан соблюдать требования закона.

Минимальный обязательный комплект для ИП включает:

• Политику обработки персональных данных — опубликованную на сайте или доступную в офисе.
• Согласие на обработку ПДн — для каждого канала сбора данных.
• Приказ о назначении ответственного за обработку ПДн (как правило, сам ИП).
• Уведомление Роскомнадзора — если обработка не подпадает под исключения статьи 22 152-ФЗ.

Штрафы для ИП ниже, чем для организаций, но они также существенны — от 10 000 до 150 000 рублей в зависимости от типа нарушения. Мы разрабатываем полный комплект документов для ИП по минимальной стоимости: от 3 500 рублей за базовый пакет.

На сайте компании «Компания Эксперт» опубликован актуальный документ «Политика обработки персональных данных», разработанный в соответствии с требованиями 152-ФЗ и актуальными рекомендациями Роскомнадзора. Именно так выглядит корректный документ — политика обработки персональных данных — в формате, принятом на практике.

Вы можете ознакомиться с её структурой и содержанием в качестве ориентира — однако помните, что копирование чужой политики без адаптации под ваши реальные процессы является нарушением, которое Роскомнадзор фиксирует при проверках.

Закажите разработку индивидуальной политики у наших юристов — это займёт 2 дня и стоит от 3 500 рублей. Документ будет соответствовать именно вашим процессам обработки данных.

Часть 2 статьи 18.1 152-ФЗ устанавливает обязанность оператора обеспечить неограниченный доступ к политике обработки персональных данных. На практике это означает:

• Для сайтов: разместить ссылку на политику в подвале каждой страницы сайта. Ссылка должна быть кликабельной и вести на страницу с полным текстом документа. Роскомнадзор при проверке первым делом проверяет именно наличие и доступность ссылки.
• Для организаций без сайта: разместить политику на информационном стенде в офисе или обеспечить возможность ознакомления с документом по запросу.
• Для мобильных приложений: разместить ссылку в разделе «Настройки» или «О приложении», а также в описании приложения в App Store / Google Play.

При изменении политики дата последнего обновления должна быть указана в документе. Рекомендуется хранить историю версий политики — на случай споров с субъектами данных или запросов надзорных органов.

Наши юристы помогут не только разработать политику, но и правильно её опубликовать: дадим инструкцию для разработчиков сайта и проверим корректность размещения документа после публикации.

Мы подключаемся, когда есть риски, неопределенность или реальная угроза штрафа.

Вам точно стоит обратиться, если:

• На сайте, в CRM или в анкете клиента собираются персональные данные
• В компании отсутствуют утвержденные положения, приказы и формы согласий, предусмотренные 152-ФЗ.
• Документы не соответствуют требованиям закона или давно не актуализировались.
• Поступил запрос от Роскомнадзора или субъекта персональных данных.
• Не определены сроки и порядок хранения, передачи и уничтожения персональных данных.
• Сотрудники не проинструктированы и не подготовлены к работе с персональными данными.
• Используются внешние сервисы (например, облачные платформы), и необходимо корректно оформить передачу данных в соответствии с требованиями законодательства.
• На внутреннего специалиста (например, корпоративного юриста или HR) возложены обязанности по соблюдению 152-ФЗ без достаточной правовой базы.

Формально документ будет присутствовать — но это не защитит от штрафов. Роскомнадзор при проверке сопоставляет содержание политики с реальными процессами компании. Если в политике написано, что данные не передаются третьим лицам, а на сайте установлена Яндекс.Метрика — это нарушение. Типовые политики также не содержат актуальных реквизитов организации, что само по себе является основанием для предписания.

В большинстве случаев — да. Статья 22 152-ФЗ обязывает оператора уведомить Роскомнадзор до начала обработки персональных данных. Исключения есть — например, для кадрового учёта в рамках трудовых отношений — но они ограничены. Мы поможем определить, нужна ли регистрация в вашем случае, и подготовим уведомление.

Да, единая политика обработки персональных данных может описывать все категории субъектов: работников, клиентов, посетителей сайта, контрагентов. Главное — в документе должны быть чётко разграничены цели и основания обработки для каждой категории. На практике для крупных организаций удобнее иметь несколько документов: общую политику и отдельные регламенты для HR и для сайта.

Локализация данных — требование статьи 18.1 152-ФЗ: при сборе персональных данных российских граждан запись, систематизация, накопление, хранение и уточнение данных должны производиться с использованием баз данных, расположенных на территории России. Нарушение этого требования — одно из оснований для блокировки сайта. Если вы используете зарубежные CRM, облачные сервисы или сервисы аналитики, политика должна описывать условия трансграничной передачи данных.

Жёсткого срока закон не устанавливает — документ обновляется по мере необходимости. На практике рекомендуется проводить аудит не реже одного раза в год, а также при любом значимом изменении в процессах обработки данных: смене CRM, добавлении новых каналов сбора данных, изменении целей обработки. Мы напоминаем клиентам об обновлении документов при изменении законодательства.

Документ «Политика обработки персональных данных» — основной публичный документ оператора по требованиям 152-ФЗ. Именно его Роскомнадзор проверяет в первую очередь. В отличие от внутренних регламентов и приказов, политика обработки персональных данных размещается в открытом доступе и описывает общие принципы работы с данными. Дополнительно к ней разрабатываются согласия, регламенты и инструкции для сотрудников — но именно этот документ является основой всей системы ПДн в организации.

Базовый комплект включает: политику обработки персональных данных, согласие на обработку ПДн (для сайта, для сотрудников, для клиентов — в зависимости от ситуации), приказ о назначении ответственного за обработку ПДн, перечень обрабатываемых персональных данных и инструкцию по работе с данными для сотрудников. По запросу разрабатываем дополнительные документы: регламент видеонаблюдения, соглашение о конфиденциальности с сотрудниками, форму согласия на биометрию.

Да, мы оказываем услугу аудита действующих документов по ПДн: проверяем политику, формы согласий, внутренние регламенты на соответствие актуальным требованиям 152-ФЗ и выявляем риски. По итогам аудита выдаём перечень нарушений с рекомендациями по их устранению. Стоимость аудита — от 4 000 рублей, срок — 2 рабочих дня. Если по итогам аудита заказываете разработку документов — стоимость аудита включается в стоимость разработки.

Да. Данные контактных лиц организаций (имя, телефон, email менеджера) относятся к персональным данным физических лиц — вне зависимости от того, в каком контексте они переданы. Если на сайте есть форма обратной связи, где вводится имя и телефон — политика обработки персональных данных обязательна. Роскомнадзор не делает исключений для B2B-сегмента.