Как составить политику обработки персональных данных в 2025 году
В каждой организации независимо от правовой формы, включая индивидуальных предпринимателей, в случае работы с персданными лиц утверждается политика обработки персональных данных, которая представляет собой общедоступный документ и подлежит размещению на сайте компании. Что это за документ и как правильно его составить? Разбираемся.
Скачать образец политики обработки персональных данных Роскомнадзора
Скачать образец политики обработки персональных данных в 2025 году
Что такое политика обработки персональных данных: главное
Согласно ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», оператор принимает меры, которые являются необходимыми и достаточными для обеспечения защиты и правомерности работы с персданными, в том числе издание акта, определяющего политику компании по работе с ними.
Цель политики — обеспечение безопасности прав и свобод субъекта при работе с его перс. данными, включая защиту прав на неприкосновенность личной жизни, личной и семейной тайны.
Политика защиты и обработки ПД — это обязательный акт, если работа с индивидуальными сведениями происходит на сайте оператора. Примером служит получение сведений о клиенте, когда происходит регистрация на сайте компании.
Сейчас практически при любой регистрации на сайте вам предлагается заполнить анкету и оставить согласие на работу со своими индивидуальными данными оператору, будь то интернет-магазины, соцсети, банки, аптеки, онлайн-школы и т. п.
Нарушение порядка работы с ПД влечет за собой привлечение к административной ответственности по ст. 13.11 КоАП РФ, максимальный размер штрафов с 30.05.2025 значительно увеличен!
Кто составляет политику обработки персданных
Опубликовывают на сайте все организации, которые обрабатывают ПД. Компанию признают оператором, если на ее интернет-странице оставляют:
- фамилию, имя, отчество;
- e-mail;
- номер телефона;
- иную информацию, позволяющую идентифицировать человека.
Оператором выступает:
- государственный орган;
- муниципальный орган;
- юрлицо;
- физлицо, —
которое самостоятельно или вместе с иными лицами организует и (или) проводит обработку индивидуальных сведений.
Эксперты КонсультантПлюс разобрали рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Используйте эти инструкции бесплатно.
Как правильно составить политику обработки персональных данных
Перед составлением документа ознакомьтесь с рекомендациями Роскомнадзора на сайте РКН в разделе «Персональные данные».
Политика содержит шесть разделов.
Общие положения
В этой части формулируется назначение политики.
Назначение политики можно сформулировать так: «определение порядка безопасности и обработки перс. данных субъектов, ПД которых подлежат обрабатыванию, на основании полномочий оператора».
Даются определения основных терминов, встречающихся в тексте документа (ПД, обработка ПД, оператор перс. данных, субъект ПД, конфиденциальность и т. д.), перечисляются права и обязанности субъекта персданных и компании.
Цели сбора данных
Цель указывается предметно и однозначно, исходя из конкретной деятельности организации. Их целесообразно перечислить, не ограничиваясь общими формулировками.
При указании целей исходите из направлений деятельности организации.
Правовые основания обработки
В этом разделе приводим список всех документов, которые являются правовым основанием для работы с ПД в компании:
- федеральные законы и иные нормативные акты, принятые законодателем, касающиеся регулирования правоотношений по работе с ПД;
- уставные документы компании;
- соглашения, заключаемые организацией с субъектами ПД;
- согласие на обработку перс. данных.
Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Содержание и объем обрабатываемых данных обязаны согласовываться с целями работы с ними.
К категориям субъектов ПД относятся:
- сотрудники организации, бывшие сотрудники, кандидаты на замещение вакантных должностей, родственники работников;
- клиенты и контрагенты оператора (физлица);
- представители и сотрудники клиентов и контрагентов организации (юрлица).
По каждому субъекту с учетом конкретных целей рекомендуется перечислять все обрабатываемые оператором ПД, отдельно выписать все случаи работы специальных категорий и биометрических индивидуальных сведений.
Порядок и условия обработки персональных данных
В этой части документа указываем действия, совершаемые организацией с ПД. Укажите способы и сроки обрабатывания, срок хранения индивидуальных сведений. Рекомендуется прописать условия передачи данных третьим лицам, в том числе находящимся за границей.
Роскомнадзор указывает на необходимость включения положений по соблюдению конфиденциальности и условий о прекращении работы с ПД в случае:
- отзыва согласия;
- истечение срока действия согласия.
Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
В этом разделе прописываем, что если оператору станет известно о неточностях в сведениях, имеющихся у организации, оператор:
- прекращает обрабатывание ПД;
- актуализирует сведения.
В политику рекомендуется внести регламент(ы) реагирования на запросы (обращения) субъектов перс. данных и их представителей по вопросам неточностей ПД, неправомерности их обработки, отзыва согласия и доступа субъекта перс. данных к своим сведениям, образцы запроса и обращения.
Документ подписывается руководителем организации и действует до утверждения новой редакции. Все работники компании знакомятся с документом под подпись.
Пример заполнения раздела по порядку работы с индивидуальными сведениями, включаемого в политику:
Порядок обработки персональных данных 1. Под безопасностью перс. данных Общество понимает защиту ПД от неправомерного доступа и действий с ними:
иных неправомерных действий, касающихся ПД субъекта, и принимает необходимые меры правового, организационного и технического характера. 2. Работа с перс. данными в Обществе осуществляется в рамках норм Конституции Российской Федерации, Федерального закона № 152-ФЗ, подзаконных актов и иных нормативно-правовых актов, а также документов Минцифры России, Роскомнадзора, ФСТЭК России. 3. При работе с ПД Общество придерживается принципов:
|
Образец политики обработки персональных данных
Вот образец политики защиты персональных данных на сайте компании:

Дополнительно: