8 366 0

Как составить политику обработки персональных данных в 2025 году

Персональные данные Делопроизводство

В каждой организации независимо от правовой формы, включая индивидуальных предпринимателей, в случае работы с персданными лиц утверждается политика обработки персональных данных, которая представляет собой общедоступный документ и подлежит размещению на сайте компании. Что это за документ и как правильно его составить? Разбираемся.

Что такое политика обработки персональных данных: главное

Согласно ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», оператор принимает меры, которые являются необходимыми и достаточными для обеспечения защиты и правомерности работы с персданными, в том числе издание акта, определяющего политику компании по работе с ними.

Цель политики — обеспечение безопасности прав и свобод субъекта при работе с его перс. данными, включая защиту прав на неприкосновенность личной жизни, личной и семейной тайны.

Политика защиты и обработки ПД — это обязательный акт, если работа с индивидуальными сведениями происходит на сайте оператора. Примером служит получение сведений о клиенте, когда происходит регистрация на сайте компании.

Сейчас практически при любой регистрации на сайте вам предлагается заполнить анкету и оставить согласие на работу со своими индивидуальными данными оператору, будь то интернет-магазины, соцсети, банки, аптеки, онлайн-школы и т. п.

Нарушение порядка работы с ПД влечет за собой привлечение к административной ответственности по ст. 13.11 КоАП РФ, максимальный размер штрафов с 30.05.2025 значительно увеличен!

Кто составляет политику обработки персданных

Опубликовывают на сайте все организации, которые обрабатывают ПД. Компанию признают оператором, если на ее интернет-странице оставляют:

  • фамилию, имя, отчество;
  • e-mail;
  • номер телефона;
  • иную информацию, позволяющую идентифицировать человека.

Оператором выступает:

  • государственный орган;
  • муниципальный орган;
  • юрлицо;
  • физлицо, —

которое самостоятельно или вместе с иными лицами организует и (или) проводит обработку индивидуальных сведений.

Как правильно составить политику обработки персональных данных

Перед составлением документа ознакомьтесь с рекомендациями Роскомнадзора на сайте РКН в разделе «Персональные данные».

Политика содержит шесть разделов.

Общие положения

В этой части формулируется назначение политики.

Назначение политики можно сформулировать так: «определение порядка безопасности и обработки перс. данных субъектов, ПД которых подлежат обрабатыванию, на основании полномочий оператора».

Даются определения основных терминов, встречающихся в тексте документа (ПД, обработка ПД, оператор перс. данных, субъект ПД, конфиденциальность и т. д.), перечисляются права и обязанности субъекта персданных и компании.

Цели сбора данных

Цель указывается предметно и однозначно, исходя из конкретной деятельности организации. Их целесообразно перечислить, не ограничиваясь общими формулировками.

При указании целей исходите из направлений деятельности организации.

Правовые основания обработки

В этом разделе приводим список всех документов, которые являются правовым основанием для работы с ПД в компании:

  • федеральные законы и иные нормативные акты, принятые законодателем, касающиеся регулирования правоотношений по работе с ПД;
  • уставные документы компании;
  • соглашения, заключаемые организацией с субъектами ПД;
  • согласие на обработку перс. данных.
ВАЖНО!
По рекомендации Роскомндзора, Федеральный закон от 27.07.2006 № 152-ФЗ не является правовым основанием для работы с ПД оператором, поскольку регулирует отношения, которые возникают из работы с ПД, и закрепляет требования, которые предъявляются компаниям.

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Содержание и объем обрабатываемых данных обязаны согласовываться с целями работы с ними.

К категориям субъектов ПД относятся:

  • сотрудники организации, бывшие сотрудники, кандидаты на замещение вакантных должностей, родственники работников;
  • клиенты и контрагенты оператора (физлица);
  • представители и сотрудники клиентов и контрагентов организации (юрлица).

По каждому субъекту с учетом конкретных целей рекомендуется перечислять все обрабатываемые оператором ПД, отдельно выписать все случаи работы специальных категорий и биометрических индивидуальных сведений.

Порядок и условия обработки персональных данных

В этой части документа указываем действия, совершаемые организацией с ПД. Укажите способы и сроки обрабатывания, срок хранения индивидуальных сведений. Рекомендуется прописать условия передачи данных третьим лицам, в том числе находящимся за границей.

Роскомнадзор указывает на необходимость включения положений по соблюдению конфиденциальности и условий о прекращении работы с ПД в случае:

  • отзыва согласия;
  • истечение срока действия согласия.

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В этом разделе прописываем, что если оператору станет известно о неточностях в сведениях, имеющихся у организации, оператор:

  • прекращает обрабатывание ПД;
  • актуализирует сведения.

В политику рекомендуется внести регламент(ы) реагирования на запросы (обращения) субъектов перс. данных и их представителей по вопросам неточностей ПД, неправомерности их обработки, отзыва согласия и доступа субъекта перс. данных к своим сведениям, образцы запроса и обращения.

Документ подписывается руководителем организации и действует до утверждения новой редакции. Все работники компании знакомятся с документом под подпись.

Пример заполнения раздела по порядку работы с индивидуальными сведениями, включаемого в политику:

Порядок обработки персональных данных

1. Под безопасностью перс. данных Общество понимает защиту ПД от неправомерного доступа и действий с ними:

  • уничтожение;
  • изменение;
  • блокировка;
  • копирование;
  • распространение;

иных неправомерных действий, касающихся ПД субъекта, и принимает необходимые меры правового, организационного и технического характера.

2. Работа с перс. данными в Обществе осуществляется в рамках норм Конституции Российской Федерации, Федерального закона № 152-ФЗ, подзаконных актов и иных нормативно-правовых актов, а также документов Минцифры России, Роскомнадзора, ФСТЭК России.

3. При работе с ПД Общество придерживается принципов:

  • законности;
  • ограничения обработки достижением конкретных целей;
  • недопущения работы с ПД, несовместимой с целями сбора перс. данных;
  • обеспечения точности индивидуальных сведений, их достаточности, актуальности по отношению к целям работы с ПД, а также принятия мер по уничтожению или уточнению таких сведений;
  • прозрачности работы с ПД;
  • осуществления хранения сведений в соответствии с нормами законодательства.

Образец политики обработки персональных данных

Вот образец политики защиты персональных данных на сайте компании:

8 366
Комментарии
  • 2022-10-28 09:48:02
    С 1 сентября 2022 года изменился порядок сбора и обработки персональных данных физических лиц. Существенным изменением стало введение для работодателей обязанности по уведомлению Роскомнадзора о сборе перс. сведений в рамках трудовых отношений.
Горбикова Светлана
Автор: юрист Горбикова Светлана

Юрист, имею 2 высших образования

Автор оказывает индивидуальные платные консультации.
96 Публикаций
962 Дней на портале
110 Комментариев
Климашевская Алена
Автор месяца Климашевская Алена
Похожие статьи

При приёме на работу в отдел кадров поступают документы, содержащие персональные данные нового сотрудника, и работодатель автоматически становится «оператором», который производит «обработку персданных». Разберём подробнее некоторые базовые моменты.

Читать дальше

Информационные технологии в ведении бухгалтерского и кадрового учета упростили жизнь работодателей, но и создали новые проблемы. Как не потерять сведения, которые есть во всех этих компьютерных программах? В каком документе, устанавливающем порядок обработки персональных данных, необходимо прописать права и обязанности сотрудников, обрабатывающих чужую личную информацию? Объясняем.

Читать дальше

Информация является важным ресурсом, сопряженным с возникновением как финансового, так и репутационного убытка. Поэтому вопрос обеспечения безопасности конфиденциальных сведений на текущий момент приобрел свою актуальность. Что считается нарушением конфиденциальности и какая ответственность предусмотрена за ее нарушение? Обо всем об этом я расскажу, опираясь на примеры из своей практики. 

Читать дальше
Вам может быть интересно

Вопросы кадровому совету

Обсудить в соцсетях

+36804
Ирина Санникова
Ирина Санникова
Ирина Санникова
18.04.2025 в 14:49
Если по двум должностям отправляли в командировку, значит, может.
Ирина Гаврилова
Ирина Гаврилова
Ирина Гаврилова
18.04.2025 в 14:53
Мы профукали по внутреннему совместительству, не отправляли его в командировку, теперь не знаем что ставить в табеле
Анна Сергеевна
Анна Сергеевна
Анна Сергеевна
18.04.2025 в 15:02
Есть решение суда, что основное место и внутреннее совместительство могут быть одномоментно командировки. То есть расчет ЗП по среднему. Поскольку направление работника в командировку хоть по основному , хоть по внутреннему совместительству - инициатива работодателя, и таким образом лишает работника возможности работать по второму договору.
Ирина Санникова
Ирина Санникова
Ирина Санникова
18.04.2025 в 15:18
Вот и ответ.
Елена Федоренко
Елена Федоренко
Елена Федоренко
18.04.2025 в 17:31
Без сохоанение з/п провести
Присоединиться к беседе