Положение об обработке персональных данных
Введение
Положение об обработке персональных данных — это локальный нормативный акт компании или ИП, который подробно описывает цели, состав и способы обработки персональных данных, меры их защиты и порядок реализации прав субъектов. Часто рядом употребляют термины «политика обработки ПДн» и «политика конфиденциальности»: первое — внутренний регламент, второе — публичный документ на сайте, но по сути они взаимосвязаны и базируются на одних принципах.
Положение об обработке персональных данных требуется во множестве ситуаций: от ведения кадрового учёта и взаимодействия с клиентами до работы интернет-магазина, внедрения видеонаблюдения и эксплуатации CRM/облачных сервисов. Документ нужен, когда вы собираете заявки на сайте, оформляете договоры и счета, проводите маркетинговые рассылки, используете cookie и пиксели аналитики, передаёте данные курьерским службам, банкам, провайдерам хостинга или колл-центрам.
Ниже вы найдёте структурированный образец разделов, пошаговую инструкцию по подготовке и утверждению Положение об обработке персональных данных, типовые ошибки и выдержки из нормативной базы. Материал поможет быстро адаптировать текст под специфику бизнеса и пройти проверку регулятора без замечаний.
Зачем нужно Положение об обработке персональных данных
- Подтверждает законность обработки. В Положении фиксируются правовые основания (договор, закон, согласие, законный интерес), чтобы каждая операция с данными была обоснована и проверяема.
- Определяет цели и минимизацию. Документ связывает конкретные бизнес-процессы (продажи, HR, бухгалтерия, безопасность, маркетинг) с целями и необходимым составом данных, исключая избыточность.
- Устанавливает сроки хранения и порядок удаления. Прописанные периоды, событийные критерии и исключения для архивов/бэкапов помогают соблюдать требование хранить данные не дольше нужного.
- Описывает передачу третьим лицам. Положение закрепляет правила поручения обработки, категории получателей, требования к договорам и проверки подрядчиков.
- Регламентирует права субъектов. Определены каналы обращений, сроки ответов, порядок идентификации, формы заявлений — меньше жалоб и рисков.
- Синхронизирует юридические и технические меры. Управление доступами, двухфакторная аутентификация, шифрование, журналирование, план реагирования на инциденты — всё это отражается в Положении.
- Помогает на проверке. Актуальный и внедрённый документ — первое, что запрашивает регулятор. Наличие Положения и подтверждение его исполнения снижают вероятность штрафов.
Кто может подать
- Юридические лица (ООО, АО, НКО). Утверждают Положение приказом/распоряжением руководителя, внедряют его во всех подразделениях и доводят до работников под роспись.
- Индивидуальные предприниматели. При обработке ПДн сотрудников/клиентов также разрабатывают и утверждают Положение. Формулировки могут быть короче, но охват процессов — полный.
- Представители по доверенности. Юристы, консультанты и внедренцы ИБ могут подготовить проект Положения, если имеют надлежащее поручение от руководителя.
- Группа компаний/филиалы. Допускается единый шаблон Положения с локальными приложениями для филиалов (разные системы, подрядчики, режимы хранения).
- Госучреждения и муниципальные организации. Разрабатывают Положение с учётом специализированных требований к защите и к архивному хранению документов.
Что должно быть в Положение об обработке персональных данных
- Сведения об операторе ПДн. Полное наименование/ФИО ИП, ИНН/ОГРН, адрес и контактный e-mail для обращений субъектов персональных данных.
- Термины и определения. Оператор, субъект, персональные данные, обработка, ИСПДн, поручение обработки, трансграничная передача, обезличивание и др.
- Принципы обработки. Законность, справедливость, ограничение целью, минимизация, точность и актуальность, ограничение сроком хранения, целостность и конфиденциальность.
- Правовые основания. Исполнение договора, исполнение обязанностей по закону, согласие субъекта, законный интерес оператора при соблюдении баланса прав.
- Цели и процессы обработки. Кадры (подбор, трудовые отношения), продажи/сервис (договор, рекламации), бухгалтерия и налоги, безопасность (СКУД/видеонаблюдение), маркетинг и аналитика.
- Категории субъектов и состав данных. Работники и кандидаты, клиенты и пользователи, представители контрагентов; перечень данных для каждой категории (общие, специальные, биометрические — по необходимости).
- Операции с данными и информационные системы. Сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение — с перечислением ИТ-систем.
- Сроки хранения и критерии удаления. Конкретные периоды (например, срок действия договора + 3 года) и событийные критерии (отзыв согласия, завершение проекта), учёт архивных требований.
- Передача третьим лицам. Категории получателей (почтовые операторы, платёжные сервисы, колл-центры, кадровые аутсорсеры), требования к договорам и мерам защиты; порядок поручения обработки.
- Трансграничная передача. Основания, перечень стран/провайдеров, подтверждение достаточной защиты, требования локализации баз ПДн граждан РФ.
- Права субъектов и порядок их реализации. Доступ, исправление, блокирование/удаление, отзыв согласия, обжалование; каналы для обращений и сроки ответов.
- Меры безопасности. Организационные (доступ по ролям, обучение), технические (шифрование, двухфакторная аутентификация, DLP, журналирование), физические (контроль доступа, видеонаблюдение).
- Cookies и онлайн-идентификаторы. Типы файлов, цели (аналитика/персонализация/реклама), настройка согласий (cookie-баннер), механизмы opt-out и ссылки на справку браузеров.
- Порядок внесения изменений и версионирование. Кто инициирует правки, как согласовываются, когда вступают в силу, где хранится актуальная версия, как уведомляются пользователи.
- Ответственность и контроль. Назначение ответственного, внутренние проверки, учёт инцидентов, отчётность руководству.
Как правильно заполнить
Шаг 1 — Проведите инвентаризацию процессов
Опишите, где и как вы собираете персональные данные: формы на сайте, заявки, телефонные звонки, e-mail, офлайн-анкеты, видеонаблюдение, СКУД. Зафиксируйте информационные системы (CRM, HR-система, бухгалтерия, HELP-desk, облачные хранилища) и сценарии передачи третьим лицам.
Шаг 2 — Сопоставьте цели с основаниями
Для каждого процесса укажите цель и правовое основание. Примеры: кадровый учёт — исполнение трудового законодательства; обслуживание клиентов — исполнение договора; маркетинговые рассылки — согласие; аналитика сайта — законный интерес при минимизации и информировании.
Шаг 3 — Определите категории и состав данных
Разделите данные по субъектам (работники, кандидаты, клиенты, пользователи) и по типам (общие/специальные/биометрические). Для специальной и биометрической категории предусмотрите дополнительные гарантии и отдельные согласия.
Шаг 4 — Опишите передачи и подрядчиков
Составьте список категорий получателей (логистика, платёжные шлюзы, облака, колл-центры, IT-подрядчики) и пропишите минимальные условия в договорах: цели, объём ПДн, меры защиты, срок обработки, обязанность уведомления об инцидентах, возврат/уничтожение после завершения оказания услуг.
Шаг 5 — Установите сроки хранения и порядок удаления
Для каждого массива данных назначьте период (по закону/договору/внутренним правилам) и событие удаления (расторжение договора, отзыв согласия, закрытие вакансии). Не забудьте про архивы и резервные копии: опишите, как удаление отражается в бэкапах.
Шаг 6 — Зафиксируйте меры безопасности
Опишите организационные и технические меры: разграничение доступов по ролям, ведение журналов, шифрование на носителях и в каналах, двухфакторная аутентификация, регулярные обновления, тестирование планов реагирования на инциденты.
Шаг 7 — Утвердите документ и обучите персонал
Подготовьте приказ/распоряжение об утверждении Положение об обработке персональных данных, назначьте ответственного, проведите инструктаж сотрудников, разместите публичную версию на сайте (если обрабатываете данные пользователей).
Частые ошибки
- Размытые формулировки целей. Опасность: признание обработки избыточной. Решение: описывайте цели по процессам, избегайте «для любых законных целей».
- Отсутствие конкретных сроков хранения. Опасность: бессрочная обработка и претензии. Решение: установите периоды и событийные критерии удаления, учтите архивные требования.
- Нет регламента прав субъектов. Опасность: вал жалоб. Решение: укажите каналы (e-mail, форма на сайте, почтовый адрес), сроки ответа и порядок идентификации.
- Неописанные передачи третьим лицам. Опасность: нарушения при аутсорсинге. Решение: перечислите категории получателей и требования к договорам, ведите реестр подрядчиков.
- Игнорирование cookies и рекламных идентификаторов. Опасность: непрозрачный трекинг. Решение: добавьте раздел о cookie, внедрите баннер согласий и механизмы opt-out.
- Отсутствие процедуры инцидентов. Опасность: хаотичное реагирование на утечки. Решение: пропишите роли, сроки, шаблоны уведомлений и журнал инцидентов.
- Необновляемый документ. Опасность: расхождение с фактическими процессами. Решение: ревизия не реже раза в год или при запуске новых сервисов/подрядчиков.
- Смешение оснований обработки. Опасность: недействительность согласия. Решение: отделяйте обработку для договора, для маркетинга, для аналитики; собирайте отдельные согласия.
Нормативная база
- Федеральный закон № 152-ФЗ «О персональных данных». Базовые принципы, права субъектов, обязанности оператора, основания обработки.
- Федеральный закон № 242-ФЗ. Требования к локализации баз персональных данных граждан РФ на территории РФ.
- Постановление Правительства РФ № 1119. Требования к мерам защиты ПДн в ИСПДн, уровни защищённости.
- Постановление Правительства РФ № 687. Порядок обработки ПДн без использования средств автоматизации (бумажные носители).
- Иные подзаконные акты и методические рекомендации. Внутренние регламенты по ИБ, управлению инцидентами, архивному хранению.
Частые вопросы
Кому обязательно иметь Положение об обработке персональных данных?
Любому оператору ПДн — компании или ИП, обрабатывающим данные сотрудников, клиентов, пользователей. Даже при минимальном объёме данных документ нужен для формального и фактического соблюдения закона.
Нужно ли публиковать Положение об обработке персональных данных на сайте?
Внутреннее Положение хранится как локальный акт. Публичную версию (политику конфиденциальности) размещают на сайте, если собираются данные пользователей через формы, cookie и аналитические пиксели.
Как часто обновлять Положение об обработке персональных данных и кто за это отвечает?
Ревизию проводят при изменении процессов, запуске новых сервисов, смене подрядчиков или требований закона, но не реже одного раза в год. Ответственный назначается приказом руководителя.
Заменяет ли Положение об обработке персональных данных отдельные согласия субъектов?
Нет. Если основание обработки — согласие (например, на рекламу или биометрию), его необходимо получать отдельно. Положение лишь описывает процессы и меры защиты.
Какие каналы запросов по Положение об обработке персональных данных указать субъектам?
Рекомендуются: корпоративный e-mail для обращений, почтовый адрес, веб-форма/личный кабинет. В Положении зафиксируйте срок ответа и порядок удостоверения личности заявителя.
Как учесть cookies и рекламные идентификаторы в Положение об обработке персональных данных?
Добавьте раздел о типах файлов, целях (аналитика, персонализация, реклама), сроках хранения, перечне провайдеров, механизмах согласия/отказа и ссылках на настройки браузеров.
Заключение
Положение об обработке персональных данных — фундамент системы защиты и комплаенса: оно связывает юридические нормы с ежедневными операциями, устанавливает прозрачные цели обработки, описывает состав данных, их маршруты и меры безопасности. При грамотной настройке Положение помогает пройти проверки и выстроить доверие с клиентами и сотрудниками.
Чтобы избежать претензий, используйте актуальные формулировки, поддерживайте версионирование, обучайте персонал, фиксируйте сроки хранения и контролируйте передачи подрядчикам. Скачайте бланк и образец Положение об обработке персональных данных по ссылке ниже, адаптируйте под свои процессы и утвердите приказом руководителя.