Как компании разработать политику обработки персональных данных в 2025 году

Политика обработки персональных данных 

Политика обработки персональных данных (Политика) - документ, разрабатываемый и утверждаемый организациями и ИП, который определяет правила работы с персональными данными работников, клиентов и контрагентов. 

Обязанность по утверждению Политики прямо предусмотрена в соответствии с ч.1 ст.18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» только для организаций. Об ИП в указанной норме не сказано, но если у него имеются наемные работники или он осуществляет обработку персональных данных контрагентов, то он также должен разработать и утвердить Политику обработки персональных данных (ст.87 ТК РФ, ч.4 ст.18.1 Федерального закона от 27.07.2006 №152-ФЗ).

Помимо утверждения Политики обработки персональных данных, компании, выступающие в качестве операторов персональных данных, обязаны обеспечить неограниченный к ней доступ любых лиц. Конкретный способ исполнения данной обязанности закон не устанавливает. Политику обработки персональных данных можно разместить на бумажном носителе, в виде таблички, брошюры или информационного стенда в офисе или на кассе компании. Если персональные данные обрабатываются онлайн, нужно опубликовать утвержденную Политику в интернете, в том числе на сайте компании (ч.2 ст.18.1 Федерального закона от 27.07.2006 №152-ФЗ).

Компания должна предоставлять утвержденную Политику обработки персональных данных по первому требованию Роскомнадзора (ч.4 ст.18.1 Федерального закона от 27.07.2006 №152-ФЗ). Отсутствие у компании данного документа, равно как и его непредоставление по требованию контролеров повлечет наложение административного штрафа по ч.3 ст.13.11 КоАП РФ. Штраф по указанной норме составляет:

• от 1 500 до 3 000 рублей – для граждан;
• от 6 000 до 12 000 рублей – для должностных лиц организаций;
• от 10 000 до 20 000 рублей – для ИП;
• от 30 000 до 60 000 рублей – для организаций.

Законодательство не требует утверждать Политику в качестве отдельного документа. Компания может принять целый комплекс локальных актов, регламентирующих отдельные аспекты обработки персональных данных (письмо Роскомнадзора от 29.05.2023 №08-44457). Но во избежание возможной путаницы и для простоты ознакомления третьих лиц с порядком обработки персональных данных, Политику их обработки все же целесообразнее утверждать в виде единого документа. 

Как составить политику обработки персональных данных

Никакой обязательной для применения формы Политики обработки персональных данных в настоящее время не утверждено. Обязательных требований к ее содержанию и структуре законодательством также не установлено. Организации могут составить этот документ в произвольной форме, ориентируясь на общие рекомендации Роскомнадзора. Примерная рекомендованная форма Политики обработки персональных данных приведена на официальном сайте ведомства.

Поскольку проверки в сфере персональных данных, в том числе и проверки наличия у организаций политики их обработки, проводит именно Роскомнадзор, то при разработке Политики имеет смысл придерживаться структуры, установленной в представленном примере. Исходя из рекомендаций Роскомнадзора, Политика обработки персональных данных должна включать в свой состав следующие разделы:

• общие положения;
• цели обработки персональных данных;
• правовые обоснования обработки персональных данных;
• объем и категории обрабатываемых персональных данных;
• порядок и условия обработки персональных данных;
• актуализация, изменение, удаление и уничтожение персональных данных.

Рассмотрим каждый из разделов политики более подробно.

Общие положения

В этом разделе нужно указать основные цели утверждения Политики обработки персональных данных (защита прав и свобод физлиц при обработке их персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну), расшифровку терминов, используемых в тексте политики, а также права и обязанности самой компании-оператора и физлиц, чьи данные она обрабатывает. Расшифровку терминов можно взять из положений ст. 3 Федерального закона от 27.07.2006 №152-ФЗ.

Среди обязанностей оператора следует выделить соблюдение конфиденциальности персональных данных, их защиту и отказ от их распространения без согласия физлица.   Среди прав физлиц - право на получение информации, касающейся обработки их персональных данных, а также право на уточнение данных, их блокирование или уничтожение в случае, если они являются недостоверными или незаконно полученными.

Цели обработки персональных данных

В этом разделе необходимо указать все цели, с которыми компания собирает и обрабатывает персональные данные физлиц. При заполнении данного раздела можно использовать классификатор целей обработки персональных данных, используемый на сайте Роскомнадзора при заполнении уведомлений об обработке персональных данных. Но компания может указать свои собственные цели, которые сочтет уместными и подходящими под ее виды деятельности.

Если у компании есть наемные работники и она заключает сделки с контрагентами, минимальный набор целей обработки персональных данных будет выглядеть примерно следующим образом:

• организация кадрового и бухгалтерского учета;
• заключение, исполнение и прекращение гражданско-правовых договоров;
• исполнение требований налогового, пенсионного законодательства и законодательства о защите прав потребителей;
• сдача обязательной отчетности в контролирующие органы.

Это лишь примерный перечень целей. Каждая компания указывает только те цели, которые она действительно преследует при сборе и обработке персональных данных.

Правовые обоснования обработки персональных данных

В этом разделе Политики компания должна указать, на основании каких документов она осуществляет обработку персональных данных, а также какие законы и подзаконные акты обязывают ее осуществлять такую обработку. В числе правовых обоснований можно выделить (перечень примерный):

• письменное согласие физлиц на обработку их персональных данных;
• положения статей 86-90 ТК РФ (порядок обработки персональных данных работодателями);
• устав организации;
• договоры, заключаемые с контрагентами.

Объем и категории обрабатываемых персональных данных

Здесь надо указать, какие именно сведения обрабатывает компания в процессе своей хозяйственной деятельности. Перечисляются все персональные данные, получаемые от работников и контрагентов. Перечень обрабатываемых сведений лучше представить отдельно для наемных работников и отдельно для контрагентов. Например, в отношении работников компания может указать на обработку следующих персональных данных:

• ФИО; паспортные данные; адрес места проживания;
• замещаемая должность; сведения о трудовой деятельности;
• ИНН;
• СНИЛС;
• сведения о воинском учете;
• сведения об образовании;
• номера телефонов и адрес электронной почты.

От контрагентов  компания может получать, в том числе:

• ФИО и ИНН; паспортные данные;
• контактные данные (номера телефонов и адреса электронной почты);
• реквизиты банковских счетов;
• занимаемая должность; сведения об участии в управлении хозяйствующим субъектом;
• сведения о занятии предпринимательской деятельностью и т.д.

Отдельно в этом разделе стоит прописать персональные данные, которые компания не собирает и не обрабатывает. К таким данным могут относиться, к примеру, медицинские данные, сведения о национальности, вероисповедании, политических предпочтениях, биометрия и т.д.

Порядок и условия обработки персональных данных

В этом разделе Политики обработки персональных данных нужно перечислить принципы обработки персональных данных, которых компания придерживается, и раскрыть действия, которая она совершает с данными. Среди принципов обработки выделяют:

• сбор и обработка персональных данных с согласия физлица;
• сбор и обработка персональных данных исключительно для достижения целей, предусмотренных политикой;
• отказ от нецелевого сбора и обработки персональных данных.

Также отдельно следует прописать условие о том, что хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки, если иной срок хранения не установлен законодательством.

Среди действий, совершаемых с персональными данными, можно отметить сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, блокирование, удаление и уничтожение.

Также в этом разделе нужно указать случаи, при которых компания может передавать персональные данные третьим лицам, прописав, что передача персональных данных, разрешенных для распространения, может быть прекращена в любое время по требованию физлица. 

Актуализация, изменение, удаление и уничтожение персональных данных

В этом разделе следует прописать обязанность компании по изменению, дополнению и удалению неточных и недостоверных персональных данных, а также тех данных, которые получены незаконно, помимо воли физлиц. В частности, здесь можно закрепить правило о том, что компания обязана в течение семи рабочих дней исправлять неточные или ошибочные персональные данные по требованию их владельца, а также  уничтожать персональные данные, полученные с нарушением закона.

Кроме того, в этом разделе Политики можно перечислить случаи, когда компания обязана прекратить обработку персональных данных (например, в случае отзыва согласия на обработку персональных данных или в случае достижения цели обработки персональных данных).

В материале использованы фото: DC Studio / Shutterstock / Fotodom.