Политика обработки персональных данных для предприятия: как составить в 2025 году

Если вы работаете с персональными данными, собираете контакты клиентов, а на сайте нет Политики их обработки, Роскомнадзор может вас оштрафовать. В статье рассказываем, какие есть требования к Политике обработки персональных данных. Делимся шаблонами документов для компаний, школ, сайтов.

Политика обработки персональных данных — один из документов, который нужен всем юридическим лицам, работающим с персональными данными. Этот документ регламентирует порядок сбора, хранения, использования и обработки личной информации пользователей.

Обязанность составлять документ прописана в ст. 18.1 Федерального закона № 152-ФЗ «О защите персональных данных» от 27.07.2006. В законе прописана ещё одна обязанность оператора ПД — нужно обеспечить доступ к этому документу. Самый простой вариант — добавить ссылку на документ в подвал сайта.

Обычно Политика оператора обработки персональных данных состоит из таких разделов.

Общие положения. Здесь описывают понятия, которые будут упоминаться в документе, права и обязанности оператора и субъекта персональных данных — того, чью информацию обрабатывает компания.

Соответствие законодательству. Здесь указывают все правовые акты, в соответствии с требованиями которых оператор работает с конфиденциальной информацией. Например, документы, определяющие Политику обработки персональных данных можно перечислить так ↓

Цели обработки персональных данных. Оператор не имеет права работать с данными с целями, которые не указаны в Политике оператора в отношении обработки персональных данных и других внутренних документах. Если в целях укажите только сбор данных для трудоустройства сотрудников, использовать их для оплаты налогов вы уже не сможете. Поэтому важно описать все цели обработки информации. Если целей много, их описывают в приложении, на которое ссылаются в этом разделе документа.

Порядок и условия обработки персональных данных. В этой части документа описывают:

• как компания получает согласие на обработку ПД
• как работаете с данными: автоматизировано или вручную
• что может делать с информацией, например, собирать, хранить, передавать подрядчикам на обработку
• кто в компании работает с данными, какие обязанности на них возложены
• как оператор защищает данные, обеспечивает их конфиденциальность, уничтожает их
• сколько времени компания хранит информацию

Конфиденциальность и безопасность персональных данных. Здесь описывают, что лица работающие с информацией несут ответственность за её конфиденциальность. Также описывают, какое наказание ответственные понесут за нарушение Политики в области обработки персональных данных, имеет ли компания право взыскать с них возмещение ущерба.

Заключительные положения. В последнем разделе указывают сайт компании, на котором будет опубликована Политика обработки персональных данных компании и сроки действия документа. Ещё нужно указать, например, email, на который любой пользователь может отправить запрет об использовании его данных.

Предприниматель или директор определяет, кто в компании разрабатывает документы по персональным данным. Это может быть юрист, руководитель отдела кадров или отдела информационной безопасности, сам руководитель. Приказом назначают ответственного за работу с ПД, обычно этот человек и разрабатывает пакет документов.

Чтобы не создавать документ с нуля, можно использовать шаблон Политики обработки персональных данных Роскомнадзора. Здесь уже есть готовая структура, формулировки, остаётся немного подкорректировать разделы под процессы компании.

Типовой вариант структуры документа такой:

• Общие положения
• Цели сбора ПД
• Правовые основания обработки
• Объём и категории обрабатываемой информации, субъекты ПД
• Порядок и условия обработки ПД
• Конфиденциальность и безопасность персональных данных
• Заключительные положения

Можно добавлять разделы, например, добавить отдельный пункт о привлечении субподрядчиков или обработку cookies. Такие разделы, к примеру, есть в документе «Контура».

Когда структура документа готова, определите, для каких целей вы собираете и обрабатываете персональные данные. Это может быть реклама, исследования, выполнение обязательств по договору, предоставление услуг. Все цели добавьте в документ в специальный раздел или вынести в приложение.

Составьте список всех данных и субъектов ПД, с которыми будете работать. Добавьте эту информацию в документ. Стоит согласовать документ с юристами, чтобы убедиться, что вы описали все тонкости работы с ПД в вашей компании.

Политика обработки персональных данных образец →

Есть второй вариант: создать документ с помощью конструктора, например, в Tilda. Здесь принцип такой: вы указываете данные о компании, выбираете цели, способы обработки информации → получаете готовый документ, включающий все перечисленные сведения.

Утверждение Политики обработки персональных данных проводить не нужно. Достаточно выполнить несколько действий:

1. Назначить человека, ответственного за обработку данных в компании. Это обязаны сделать юрлица и государственные органы. ИП не обязаны это делать, но всё же они должны организовать работу с ПД, поэтому они сами могут стать ответственными.

Директор компании или индивидуальный предприниматель назначает ответственного сотрудника с помощью приказа.

Если обязанности будет выполнять другая компания или ИП, нужно оформить договор ГПХ, например, договор поручения, в котором указать:

• обязанности ответственного лица
• обязанность компании передать ответственному информацию, указанную в ч. 3 ст. 22 Закона № 152-ФЗ
• порядок выполнения указаний, которые дал руководитель компании
• порядок представления информации о выполнении обязанностей, которые компания перепоручила ответственному

2. Оформить Политику обработки. На сайте РКН есть примерная форма документа. Её можно использовать как образец, добавив в документ информацию о том, какие ещё данные вы будете обрабатывать, помимо уже указанных, или с какими целями.

3. Разместить документ на сайте. Обычно ссылку на него добавляют в подвал на сайте. Кликая по ней, пользователи попадают или на отдельную страницу сайта, или скачивают документ. Ещё желательно добавлять ссылки на Политику в формы сбора данных, вот так ↓

Политика обработки персональных данных в школе должна описывать работу с данными не только учащихся, но и родителей, сотрудников, физлиц, работающих по договорам ГПХ.

Образец документа →

Политика обработки персональных данных ООО зависит от многих нюансов: передаёт ли компания данные подрядчикам, есть ли филиалы и как они работают с данными и т. д. Обязательно нужно указать, будет ли осуществляться трансграничная передача данных, будет ли компания работать с данными разных категорий. Если компания будет передавать данные третьим лицам, важно указать с какой целью.

Образец документа →

Политика обработки персональных данных пользователей сайта должна включать все цели работы с информацией, например, проведение рассылок, покупку сертификатов, билетов или абонементов, участие в программе лояльности.

Политика в отношении обработки персональных данных: образец →

Если юридическое лицо работает с персональными данными, а на сайте нет Политики обработки персональных данных организации, за нарушение можно получить штраф от 30 000 ₽ до 60 000 ₽ (п. 3 ст. 13.11 КоАП РФ).

ИП и самозанятых тоже привлекут к ответственности, если по запросу они не предоставят информацию по ч. 7 ст. 14 152-ФЗ, то есть по сути те же данные, что включены в Политику. В соответствии с п. 3 ст. 13.11 КоАП РФ можно получить штраф:

• от 1500 ₽ до 3000 ₽ — физлицам
• от 6000 ₽ до 12 000 ₽ — должностным лицам
• от 10 000 ₽ до 20 000 ₽ — ИП

1. Политика обработки и защиты персональных данных — один из документов, который нужен всем юридическим лицам, которые работают с персональными данными. Этот документ регламентирует порядок сбора, хранения, использования и обработки личной информации пользователей
2. Обычно Политика обработки персональных данных в интернете состоит из таких разделов: общие положения, цели, соответствие законодательству, порядок и условия обработки, конфиденциальность и безопасность ПД
3. Приказ об утверждении Политики обработки персональных данных не нужен. Достаточно Оформить документ, разместить его на сайте, ещё желательно добавлять ссылки на Политику в формы сбора данных