Утверждено
Приказом № укажите номер приказаpolojenie_pd1_1 от укажите датуpolojenie_pd1
Генерального директора укажите наименование организацииname2
Укажите ФИО генерального директораdous21
Подпись _____________________
Утверждено
Приказом № укажите номер приказаpolojenie_pd1_2 от укажите датуpolojenie_pd2
Директора укажите наименование организацииname2
Укажите ФИО директораdous21
Подпись _____________________
Утверждено
Приказом № укажите номер приказаpolojenie_pd_3 от укажите датуpolojenie_pd2
Индивидуального предпринимателя Укажите ФИО ИПname3
Подпись _____________________
1.1. Основная цель Положения — обеспечение защиты ПДн сотрудников организации от несанкционированного доступа и разглашения, а также предотвращение, выявление и устранение нарушений законодательства Российской Федерации в области обработки персональных данных.
1.1. ПДн представляют собой конфиденциальную информацию, подлежащую строгой защите в соответствии с законодательными и нормативными требованиями.
1.1. Основная цель Положения — обеспечение защиты ПДн Организации от несанкционированного доступа и разглашения, а также предотвращение, выявление и устранение нарушений законодательства Российской Федерации в области обработки персональных данных.
1.1. ПДн представляют собой конфиденциальную информацию, подлежащую строгой защите в соответствии с законодательными и нормативными требованиями.
1.1.
Введите текст своего условия
1.1. Оператор обрабатывает персональные данные работников в рамках правоотношений, урегулированных Трудовым кодексом Российской Федерации от 30 декабря 2001 г. № 197-ФЗ, в том числе главой 14 ТК РФ, касающейся защиты персональных данных работников, и Федеральным законом, а также в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27 июля 2006 г.
1.1. С целью соблюдения трудового законодательства РФ обрабатываются следующие категории ПДн работников:
1.1. Фамилия, имя, отчество.
1.1. Дата, месяц, год рождения.
1.1. Место рождения.
1.1. Адрес регистрации и проживания.
1.1. Образование.
1.1. Профессия.
1.1. Паспортные данные.
1.1. Контактный телефон.
1.1. Адрес электронной почты.
1.1. Доходы.
1.1. Наличие судимостей.
1.1. Сведения о социальных льготах.
1.1. ИНН.
1.1. СНИЛС.
1.1. Трудовой стаж.
1.1. Семейное положение.
1.1. Отношение к воинской службе.
1.1. Информация о хобби и личных достижениях.
1.1. Фотографии работника.
1.1. Укажите дополнительные обрабатываемые ПДнpolojenie_pd16.
1.1. Иная информация, предоставляемая в соответствии с законодательством Российской Федерации, на основании которой возможна идентификация субъекта ПДн.
1.1. Оператор обрабатывает ПДн в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27 июля 2006 г.
1.1. Оператор осуществляет обработку следующей информации: любые данные, которые прямо или косвенно связаны с субъектом персональных данных, то есть с конкретным или потенциально идентифицируемым физическим лицом, в том числе фамилия, имя, отчество, дата рождения, паспортные данные, адрес регистрации и проживания, паспортные данные, контактный телефон, адрес электронной почты, ИНН, а также иные необходимые для выполнения условий договора данные.
1.1.
Введите текст своего условия
1.1. Под угрозами безопасности ПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
1.1.
Введите текст своего условия
1.1. Под уровнем защищенности ПДн подразумевается интегральный показатель, который отражает совокупность требований, выполнение которых обеспечивает нейтрализацию специфических угроз безопасности персональных данных при их обработке в информационной системе.
1.1.
Введите текст своего условия
1.1. Обрабатываемые ПДн являются конфиденциальными и подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.1. Обрабатываемые ПДн являются конфиденциальными.
1.1. Оператор устанавливает режим конфиденциальности ПДн, который может быть отменен в случае их обезличивания или по истечении укажите срокpolojenie_pd24 с момента их последнего использования, если иное не предусмотрено законодательством.
1.1.
Введите текст своего условия
1. Введение пропускного режима, порядка приема и учета посетителей.
1.1. Внедрение технических средств охраны, программных средств защиты информации на электронных носителях.
1.1. Оптимизация расположения рабочих мест с целью минимизации риска несанкционированного доступа к конфиденциальной информации со стороны посторонних лиц.
1.1. Разработка и реализация мер по предотвращению физического воздействия на технические средства, задействованные в автоматизированной обработке ПДн, которое может привести к нарушению их функциональности.
1. Введение пропускного режима, порядка приема и учета посетителей
1.1.Введите текст своего условия
1. Меры по защите персональных данных на бумажных носителях
1.1. Оператор назначает ответственное лицо за обработку ПДн на бумажных носителях.
1.1. Ограничивает доступ посторонних лиц в помещения, где хранятся документы, которые содержат ПДн субъектов.
1.1. Лицо, назначенное приказом Оператора и допущенно к ПДн, подписывает обязательства о неразглашении персональных данных.
1.1. Передача ПДн по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством РФ, допускается исключительно с согласия субъекта ПДн на обработку его ПДн в части их предоставления или согласия на распространение ПДн.
1. Меры по защите персональных данных на бумажных носителях
1.1.Введите текст своего условия
1.1. Во избежание несанкционированного доступа к персональным данным на бумажных носителях Оператор оборудует помещение, где хранятся ПДн, запирающимися шкафами.
1.1. Перечень лиц, имеющих доступ в такое помещение, утверждается приказом Оператора.
1.1.
Введите текст своего условия
1. Перечень локально-нормативных актов, применяемых для защиты персональных данных
1.1. Локально-нормативный акт, определяющий политику Оператора в отношении обработки персональных данных.
1.1. Список лиц, обрабатывающих персональные данные.
1.1. Приказ о назначении лица, ответственного за организацию обработки персональных данных.
1.1. Положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
1.1. Локально-нормативный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений (план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных).
1. Перечень локально-нормативных актов, применяемых для защиты персональных данных
1.1.Введите текст своего условия
1.1. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
1.1. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
1.1. Оператор обязуется возместить моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ, независимо от возмещения убытков в добровольном порядке.
1.1.
Введите текст своего условия
1. Гарантии конфиденциальности персональных данных
1.1. Информация, относящаяся к ПДн субъекта персональных данных, охраняется законом.
1.1. Субъект персональных данных вправе требовать полную информацию о своих ПДн, об их обработке, использовании и хранении.
1.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.
1. Гарантии конфиденциальности персональных данных
1.1.Введите текст своего условия
Положение о защите персональных данных
ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Положение о защите персональных данных (далее – «Положение») укажите наименование организацииname2 (далее – «Оператор») разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ и иными нормативно-правовыми законодательными актами в области защиты персональных данных (далее – «ПДн») действующими на территории Российской Федерации.
1.1. Положение регламентирует порядок обращения Оператора с ПДн, а также определяет основные меры по обеспечению их защиты.
1.1. Положение является основополагающим нормативным документом, регламентирующим деятельность Организации и Оператора в процессе обработки ПДн.
1.1. Все лица, получившие допуск к работе с ПДн, являются пользователями Положения, следовательно, ознакомлены с ним и несут ответственность за нарушение условий Положения.
1. Понятия и термины, используемые в Положении
1.1. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
1.1. Оператор персональных данных (Оператор) – укажите наименование организацииname2, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.1. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.1. Информация – сведения (сообщения, данные) независимо от формы их представления.
1.1. Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
1.1. Конфиденциальность персональных данных – обязанность Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.1. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.1. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.1. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.1. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.1. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.1. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.1. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1. Информация о мерах по обеспечению безопасности персональных данных
1.1. Оператор назначает лицо, ответственное за организацию обработки ПДн, с целью выполнения обязанностей, установленных Федеральным законом «О персональных данных» и соответствующими подзаконными нормативными актами.
1.1. Оператор осуществляет комплекс правовых, организационных и технических мероприятий для обеспечения безопасности ПДн, направленных на соблюдение конфиденциальности этих данных и их защиту от неправомерных действий.
1.1. Оператор осуществляет информирование сотрудников о нормах законодательства в области ПДн, а также о Положении и иных внутренних нормативных актах Оператора.
1.1. Оператор регламентирует порядок доступа к ПДн, обрабатываемым в информационной системе, а также обеспечивает документирование и учет всех операций с ними.
1.1. Оператор обеспечивает проведение внутреннего контроля за соблюдением законодательства РФ в области ПДн, а также требования к защите персональных данных, положения и иные локальные нормативные акты организации.
1. Порядок обработки персональных данных
1.1. В целях обеспечения сохранности и конфиденциальности ПДн все операции по оформлению, формированию, ведению и хранению ПДн осуществляет ответственное лицо, назначенное .
1. Меры, направленные на защиту персональных данных
1.1. Назначение лица, ответственного за обработку ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением Организации требований к защите ПДн.
1.1. Разработка политики в отношении обработки ПДн.
1.1. Установление правил доступа к ПДн, обеспечение регистрации и учета всех действий, совершаемых с ПДн.
1.1. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
1.1. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
1.1. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
1.1. Соблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним.
1.1. Обнаружение фактов несанкционированного доступа к ПДн.
1.1. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
1.1. Изучение работниками, непосредственно осуществляющими обработку ПДн, положений законодательства РФ о персональных данных, в том числе требований к защите персональных данных, документов, определяющих политику Организации в отношении обработки ПДн, локально-нормативных актов по вопросам обработки ПДн.
1. Осуществление внутреннего контроля и аудита.
1.1. Определение типа угроз безопасности и уровней защищенности ПДн, которые хранятся в информационных системах.
1. Права субъектов персональных данных
На основании Федерального закона № 152-ФЗ "О персональных данных", субъект персональных данных обладает следующими правами:
1.1. На получение доступа к персональным данным, относящимся к данному субъекту, и информации, касающейся их обработки.
1.1. На уточнение сведений о блокирование или уничтожение его ПДн в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
1.1. На отзыв данного им согласия на обработку ПДн.
1.1. На обжалование действий или бездействий Оператора в уполномоченный орган или в судебном порядке.
1.1. Субъекты ПДн обладают правом реализовывать свои законные интересы и права посредством обращения к Оператору в устной или письменной форме, включая возможность направления запросов через представителя, в том числе посредством электронной почты и иных предусмотренных Оператором способов обращения.
1. Заключительные положения
1.1. Положение вступает в законную силу и является обязательным для исполнения для всех ответственных лиц при обработке ПДн субъекта ПДн с укажите датуpolojenie_pd32 укажите приказ и номерpolojenie_pd33.
1.1. Положение подлежит изменению, дополнению и введению в действие в соответствии с действующим законодательством Российской Федерации в области ПДн на основании приказа .
Содержание статьи
1. Зачем компании нужно Положение о защите персональных данных
Положение о защите персональных данных — это внутренний документ оператора, в котором описывается, какие персональные данные обрабатываются, для каких целей, кто имеет к ним доступ, как они хранятся, передаются, защищаются и уничтожаются. Для читателя без юридического образования проще сказать так: это инструкция для бизнеса и работников, чтобы персональные данные не лежали «где попало» и не передавались «кому попросили».
Основной закон здесь — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». В статье 3 этого закона дано понятие персональных данных, оператора и обработки. В статье 18.1 закреплена обязанность оператора принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законом. Среди таких мер — издание документов, определяющих политику оператора в отношении обработки персональных данных, а также локальных актов по вопросам обработки персональных данных.
Само название «Положение о защите персональных данных» в законе не является единственно обязательным. Документ может называться «Положение об обработке и защите персональных данных», «Регламент обработки персональных данных», «Локальный акт по вопросам обработки персональных данных». Важнее не название, а содержание: документ должен реально описывать порядок обработки и защиты данных.
Наличие Положения не освобождает оператора от ответственности автоматически. Оно помогает только тогда, когда соответствует реальным процессам и фактически применяется.
Для работодателя Положение особенно важно, потому что персональные данные работников регулируются не только Законом № 152-ФЗ, но и главой 14 Трудового кодекса РФ. В статьях 85–90 ТК РФ указаны базовые правила обработки, хранения, использования и передачи персональных данных работника, а также ответственность за нарушение этих правил.
Частая ошибка — скачать первый образец из интернета, заменить название организации и считать задачу решенной. Такой шаблон можно использовать как основу, но только после проверки. У стоматологической клиники, интернет-магазина, школы, агентства недвижимости, бухгалтерского аутсорсинга и маленького офиса разные категории данных, разные сроки хранения, разные работники с доступом и разные риски. Типовой документ удобен, но он не должен подменять реальную настройку обработки данных.
2. Какие данные считаются персональными
По статье 3 Закона № 152-ФЗ персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Это широкое определение. Персональными данными могут быть не только паспортные сведения, но и Ф.И.О., номер телефона, адрес электронной почты, адрес доставки, дата рождения, фотография, данные банковской карты в части реквизитов, сведения о заказах, номер договора, IP-адрес, cookie-идентификаторы и другая информация, если по ней можно определить человека.
В Положении не нужно писать общую фразу «оператор обрабатывает все необходимые персональные данные». Лучше перечислить категории данных по группам субъектов. Например, отдельно указать работников, соискателей, клиентов, представителей контрагентов, пользователей сайта, подписчиков рассылки. Это соответствует принципам статьи 5 Закона № 152-ФЗ: обработка должна быть ограничена достижением конкретных, заранее определенных и законных целей, а объем данных не должен быть избыточным.
Также важно различать обычные персональные данные, специальные категории и биометрические данные. Статья 10 Закона № 152-ФЗ регулирует специальные категории персональных данных: сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Статья 11 касается биометрических персональных данных, которые характеризуют физиологические и биологические особенности человека и используются оператором для установления личности.
Например, фотография работника на пропуске не всегда автоматически является биометрическими данными. Но если система распознавания лица используется для прохода в офис и идентификации конкретного человека, режим обработки становится более строгим. То же касается записи голоса, изображения лица, отпечатков пальцев и иных идентификаторов.
Для практики удобно включить в Положение короткий перечень: данные работников — Ф.И.О., паспортные данные, адрес, ИНН, СНИЛС, сведения об образовании, трудовой деятельности, банковские реквизиты для выплаты заработной платы; данные клиентов — Ф.И.О., телефон, email, адрес доставки, сведения о заказе и оплате; данные соискателей — Ф.И.О., контакты, резюме, сведения об образовании и опыте; данные представителей контрагентов — Ф.И.О., должность, рабочие контакты, доверенность; технические данные пользователей сайта — IP-адрес, cookie, сведения о действиях на сайте, если они относятся к определяемому пользователю.
Отдельно надо понимать, что договор между юридическими лицами не исключает обработку персональных данных. Сведения о директоре, представителе по доверенности, бухгалтере или менеджере являются данными конкретного человека. А вот данные самой организации — ОГРН, ИНН юридического лица, адрес компании — персональными данными не являются. В отношениях между физическими лицами персональные данные также могут присутствовать, например в договоре займа или найма, но обязанности оператора зависят от характера обработки и от того, используется ли обработка для личных или профессиональных целей.
3. На какие законы и статьи ссылаться
В Положении желательно указать правовую базу. Это делает документ понятнее и помогает показать при проверке, что оператор не просто взял случайный образец, а составил акт с учетом закона.
К основным нормам относятся Конституция РФ, Закон № 152-ФЗ, Трудовой кодекс РФ, Гражданский кодекс РФ, КоАП РФ, УК РФ и подзаконные акты о защите информации. Для Положения особенно важны статья 23 Конституции РФ о праве на неприкосновенность частной жизни, статья 24 Конституции РФ о запрете сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, статья 3 Закона № 152-ФЗ с базовыми понятиями, статья 5 о принципах обработки, статья 6 об основаниях обработки, статья 9 о согласии, статья 10 о специальных категориях данных, статья 11 о биометрических данных, статья 12 о трансграничной передаче, статья 14 о правах субъекта, статья 18.1 о мерах оператора, статья 19 о защите данных, статья 21 о прекращении обработки и уничтожении данных, статья 22 об уведомлении уполномоченного органа, статья 22.1 об ответственном лице.
Если оператор является работодателем, нужно учитывать главу 14 ТК РФ. Статья 85 ТК РФ раскрывает понятие персональных данных работника и их обработки, статья 86 устанавливает общие требования при обработке данных работника, статья 87 касается порядка хранения и использования таких данных, статья 88 регулирует передачу данных работника, статья 89 закрепляет права работника, статья 90 говорит об ответственности за нарушение норм о персональных данных работника.
Также по теме применимы статья 152.2 ГК РФ о защите частной жизни гражданина, статья 13.11 КоАП РФ об административной ответственности за нарушения законодательства о персональных данных, статья 137 УК РФ о незаконном собирании или распространении сведений о частной жизни лица при наличии признаков преступления. Для информационных систем персональных данных важно постановление Правительства РФ от 01.11.2012 № 1119. Для обработки без средств автоматизации — постановление Правительства РФ от 15.09.2008 № 687.
Судебная практика по таким спорам обычно исходит из нескольких подходов. Во-первых, суды проверяют наличие законного основания обработки: согласия, договора, закона или иного основания из статьи 6 Закона № 152-ФЗ. Во-вторых, оценивается конкретность цели и отсутствие избыточности. В-третьих, учитывается, исполнял ли оператор обязанности по информированию субъекта и обеспечению защиты данных. В-четвертых, само наличие локальных актов не спасает, если фактическая обработка идет иначе.
Для темы также уместны разъяснения Пленума Верховного Суда РФ от 23.06.2015 № 25 по применению общих положений ГК РФ о защите гражданских прав и нематериальных благ, а также Пленума Верховного Суда РФ от 20.12.1994 № 10 о компенсации морального вреда. Эти акты не заменяют Закон № 152-ФЗ, но помогают объяснить последствия нарушения частной жизни и нематериальных прав. По административной ответственности важна практика судов по статье 13.11 КоАП РФ: в ней регулярно оцениваются наличие согласия, публикация политики, соблюдение целей обработки, порядок ответа субъекту и реальность организационных мер.
4. Положение, Политика, согласие и приказ: в чем разница
Очень часто бизнес путает Положение о защите персональных данных, Политику обработки персональных данных, согласие и приказ. Из-за этого появляются документы, в которых все перемешано: правила для сотрудников, текст для сайта, согласие клиента и распоряжение директора. Формально такой шаблон выглядит внушительно, но пользоваться им неудобно.
Положение — внутренний локальный акт. Оно нужно для самой организации, работников и лиц, которые имеют доступ к персональным данным. В нем описываются должностные доступы, правила хранения бумажных документов, порядок работы с CRM, запрет пересылки данных в личные мессенджеры, правила ответа на запросы субъектов.
Политика обработки персональных данных — чаще публичный документ. Ее размещают на сайте, в мобильном приложении, в онлайн-форме заявки, в личном кабинете. Она нужна, чтобы человек понимал, кто собирает данные, какие данные, зачем, на каком основании, кому они могут передаваться и как реализовать свои права. Обязанность обеспечить доступ к документу, определяющему политику оператора в отношении обработки персональных данных, следует из статьи 18.1 Закона № 152-ФЗ.
Согласие — это отдельное волеизъявление субъекта. Требования к согласию закреплены в статье 9 Закона № 152-ФЗ. Оно должно быть конкретным, предметным, информированным, сознательным и однозначным. В ряде случаев согласие должно быть письменным и содержать набор сведений, предусмотренный законом.
Приказ — это распорядительный документ руководителя. Приказом можно утвердить Положение, назначить ответственного за организацию обработки персональных данных, ввести документ в действие и поручить ознакомить сотрудников.
Один универсальный файл «на все случаи» обычно хуже, чем четыре понятных документа: Положение, Политика, согласие и приказ об утверждении.
Для небольшой организации минимальный комплект может выглядеть так: Положение, приказ об утверждении, лист ознакомления работников, Политика для сайта, формы согласий для тех случаев, где согласие действительно требуется. Если компания работает онлайн, нужен отдельный блок про сайт, формы обратной связи, cookie, рассылки и сервисы аналитики.
5. Кто утверждает Положение и как вводить его в действие
Положение утверждает руководитель организации или индивидуальный предприниматель. В организации обычно используется приказ: «Утвердить Положение о защите и обработке персональных данных», «Назначить ответственное лицо», «Ознакомить работников под подпись». В самом Положении ставят гриф утверждения: «УТВЕРЖДЕНО приказом генерального директора от ___ № ___».
Если Положение регулирует обязанности работников, порядок доступа к данным, запреты и ответственность, оно фактически становится локальным нормативным актом работодателя. Здесь нужно учитывать статью 8 ТК РФ о локальных нормативных актах и главу 14 ТК РФ. Если в организации есть представительный орган работников и документ затрагивает трудовые права, может потребоваться учет его мнения в порядке, предусмотренном ТК РФ.
Работников, имеющих доступ к персональным данным, нужно ознакомить под подпись. Это не формальность. Если сотрудник отправит клиентскую базу на личную почту, сфотографирует паспорт клиента или передаст сведения третьему лицу, работодателю будет проще доказать нарушение, если сотрудник был ознакомлен с Положением и обязанностью соблюдать конфиденциальность.
В приказе обычно закрепляют дату вступления Положения в силу, ответственное лицо за организацию обработки персональных данных, обязанность руководителей подразделений обеспечить соблюдение документа, порядок ознакомления работников и лицо, контролирующее исполнение приказа.
Если организация является юридическим лицом, важно помнить о статье 22.1 Закона № 152-ФЗ: оператор назначает лицо, ответственное за организацию обработки персональных данных. Это лицо не «отвечает за все штрафы лично», но организует внутренний контроль, доводит требования закона до сотрудников, контролирует прием и обработку обращений субъектов, взаимодействует с регулятором в пределах порученных полномочий.
6. Что обязательно включить в структуру Положения
Строгой утвержденной формы нет. Поэтому можно использовать типовой шаблон или онлайн-конструктор, но итоговый документ нужно адаптировать. Хорошая структура Положения обычно включает общие положения, термины и определения, правовые основания обработки, категории субъектов персональных данных, состав обрабатываемых данных, цели обработки, принципы обработки, порядок сбора, записи, хранения, уточнения, передачи и уничтожения данных, порядок доступа работников, права субъектов персональных данных, меры защиты, ответственность и заключительные положения.
В разделе «Общие положения» указывают наименование оператора, адрес, ИНН, ОГРН, лицо, ответственное за организацию обработки данных, область применения Положения. В разделе «Термины» лучше брать определения из статьи 3 Закона № 152-ФЗ, не придумывая свою терминологию.
В разделе «Цели обработки» нельзя ограничиваться словами «для осуществления деятельности оператора». Цели должны быть конкретными: заключение и исполнение договоров, ведение кадрового учета, начисление заработной платы, исполнение налоговых обязанностей, доставка товаров, рассмотрение обращений, регистрация пользователей, направление сервисных уведомлений, ведение претензионной работы.
В разделе «Порядок доступа» нужно указать, что доступ получают только работники, которым данные необходимы для исполнения должностных обязанностей. Перечень таких должностей можно оформить приложением к Положению. Это удобнее, чем каждый раз менять весь документ.
Если компания использует CRM, облачные сервисы, подрядчиков, курьерские службы, сервисы рассылок, IP-телефонию или онлайн-чат, это желательно отразить. Необязательно называть каждый сервис в основном тексте, но порядок передачи третьим лицам должен быть понятен. Если используется конструктор документов, важно проверить, не оставил ли он лишних блоков: например, про биометрию, трансграничную передачу или видеонаблюдение, которых у конкретного оператора нет.
7. Как определить цели и основания обработки
Один из самых важных разделов — цели и правовые основания обработки. Нельзя писать, что данные обрабатываются «для любых законных целей». Такая формулировка слишком широкая и плохо согласуется со статьей 5 Закона № 152-ФЗ.
Основания обработки перечислены в статье 6 Закона № 152-ФЗ. Согласие субъекта — только одно из оснований. Данные можно обрабатывать, например, для исполнения договора, для исполнения обязанностей по закону, для осуществления прав и законных интересов оператора при условии, что права субъекта не нарушаются, а также в иных случаях, предусмотренных законом.
На практике данные работника обрабатываются для заключения и исполнения трудового договора, ведения кадрового учета, начисления зарплаты, исполнения налоговых и страховых обязанностей. Данные клиента — для заключения и исполнения договора, доставки товара, оказания услуги, обработки оплаты и претензий. Данные соискателя — для рассмотрения резюме и связи по вакансии. Данные представителя контрагента — для заключения и исполнения договора между организациями. Email и телефон для рекламной рассылки используются только при наличии надлежащего согласия, если такое согласие требуется законом.
Особенно важно не брать лишние согласия там, где они не нужны, и не забывать согласия там, где они обязательны. Например, работодателю не требуется отдельное согласие работника на передачу сведений в налоговый орган, Социальный фонд России или банк в рамках зарплатного проекта, если обработка необходима для исполнения закона и трудовых обязанностей. Но для публикации фотографии работника в рекламных материалах или на сайте согласие обычно нужно.
Для рекламных рассылок надо учитывать не только Закон № 152-ФЗ, но и статью 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе», где закреплен подход о предварительном согласии абонента или адресата на распространение рекламы по сетям электросвязи. Поэтому раздел о рассылках лучше не прятать в общих фразах.
8. Как прописать хранение, доступ и передачу данных
Хранение персональных данных должно быть связано с целью обработки и сроками, установленными законом, договором или внутренним документом. Статья 5 Закона № 152-ФЗ требует, чтобы данные хранились в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом или договором.
В Положении можно указать, что бумажные документы хранятся в шкафах, сейфах или помещениях с ограниченным доступом. Электронные данные хранятся в информационных системах оператора, учетных программах, CRM, защищенных папках или иных системах, доступ к которым предоставляется по учетным записям. Передача паролей другим лицам запрещается.
Передача данных третьим лицам должна быть описана отдельно. Данные могут передаваться государственным органам в случаях, предусмотренных законом, банкам, курьерским службам, IT-подрядчикам, хостинг-провайдерам, сервисам рассылки, бухгалтерам, аудиторам, юристам и иным лицам, если это необходимо для цели обработки и имеет законное основание.
Если оператор поручает обработку данных другому лицу, нужен договор или иное законное основание. В таком договоре следует определить перечень действий с персональными данными, цели обработки, обязанность соблюдать конфиденциальность и требования к защите. Этот подход следует из статьи 6 Закона № 152-ФЗ.
Отдельный блок — трансграничная передача. Статья 12 Закона № 152-ФЗ регулирует передачу персональных данных на территорию иностранного государства. Если оператор использует иностранные сервисы, зарубежные облака или подрядчиков за пределами РФ, этот вопрос нельзя оставлять без внимания. Кроме того, часть 5 статьи 18 Закона № 152-ФЗ закрепляет требование локализации персональных данных граждан РФ при их сборе, в том числе через интернет: запись, систематизация, накопление, хранение, уточнение и извлечение таких данных должны обеспечиваться с использованием баз данных, находящихся на территории РФ, если не применяется предусмотренное законом исключение.
На практике именно здесь часто проявляется проблема «скачал шаблон». В документе написано, что данные хранятся на серверах оператора в России, а фактически заявки лежат в иностранной таблице, менеджеры пересылают паспорта в мессенджеры, а доступ к CRM есть у бывших сотрудников. Поэтому Положение должно отражать реальную картину, а не идеальную.
9. Какие права есть у субъекта персональных данных
Права субъекта персональных данных закреплены, в частности, в статьях 14, 20 и 21 Закона № 152-ФЗ. Человек вправе получить информацию об обработке своих данных, требовать уточнения, блокирования или уничтожения данных, если они неполные, устаревшие, неточные, незаконно полученные или не являются необходимыми для заявленной цели обработки.
В Положении надо указать, куда субъект может обратиться: почтовый адрес, электронная почта, форма обратной связи или иной канал. При этом оператор вправе проверить личность заявителя, потому что нельзя выдать персональные данные постороннему человеку. Хорошая формулировка: запрос должен содержать сведения, позволяющие идентифицировать субъекта или его представителя, а также существо требования.
Оператор не обязан удалять все данные по первому требованию, если есть законные основания для продолжения хранения. Например, кадровые документы, бухгалтерские документы, налоговая отчетность и договоры могут храниться по специальным срокам. Поэтому корректнее писать, что оператор прекращает обработку и уничтожает данные в случаях, порядке и сроки, предусмотренные Законом № 152-ФЗ, если отсутствуют законные основания для продолжения обработки.
Внутри компании лучше установить маршрут обработки запроса: запрос поступает ответственному лицу, ответственное лицо регистрирует обращение, проверяется личность заявителя и наличие данных, определяется правовое основание для ответа, уточнения, блокирования или уничтожения, субъекту направляется ответ, при необходимости выполняются действия с данными.
Этот раздел важен не только для закона, но и для обычной работы. Если клиент просит удалить аккаунт, бывший работник просит копию сведений, пользователь отзывает согласие на рассылку, менеджер не должен решать вопрос «на глаз». Он должен знать, кому передать обращение и какие сроки соблюдать.
10. Меры защиты персональных данных
Статья 19 Закона № 152-ФЗ обязывает оператора принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий. В Положении надо перечислить меры, которые оператор действительно применяет.
Для обычной организации разумно указать назначение ответственного лица, ограничение доступа по должностным обязанностям, учет лиц, допущенных к персональным данным, использование паролей и разграничение прав доступа, антивирусную защиту и обновление программ, резервное копирование, если оно применяется, хранение бумажных документов в местах с ограниченным доступом, запрет передачи данных через неутвержденные каналы, обучение или инструктаж работников, уничтожение или обезличивание данных после достижения целей обработки.
Для информационных систем персональных данных применимы требования постановления Правительства РФ № 1119. Если персональные данные обрабатываются без средств автоматизации, полезно учитывать постановление Правительства РФ № 687. Для сложных информационных систем могут потребоваться отдельные документы по информационной безопасности, модель угроз, определение уровня защищенности, технические и организационные меры.
Не стоит писать в Положении меры, которых в организации нет. Например, если оператор не использует сертифицированные средства защиты или не проводит регулярный аудит, не надо включать это только для солидности. При проверке спросят, где подтверждение.
Отдельно стоит запретить очевидно рискованные действия: пересылку паспортов клиентов в личные мессенджеры, хранение баз на личных флешках, передачу логинов и паролей коллегам, выгрузку CRM без служебной необходимости, использование личной почты для рабочих файлов с персональными данными. Иногда такие простые запреты защищают лучше, чем сложные юридические фразы.
11. Судебная практика и ответственность оператора
В судебной практике по персональным данным устойчиво прослеживается несколько выводов. Первый: оператор должен доказать законность обработки, а не просто утверждать, что данные были нужны для бизнеса. Второй: согласие, если оно требуется, должно быть конкретным и относимым к цели обработки. Третий: публичное размещение или передача данных без основания может повлечь компенсацию морального вреда и административную ответственность. Четвертый: внутренние документы должны соответствовать фактическим действиям оператора.
По делам о статье 13.11 КоАП РФ суды проверяют, были ли у оператора правовые основания обработки, опубликована ли политика обработки персональных данных, соблюдались ли требования к согласию, выполнялись ли запросы субъектов, обеспечивалась ли конфиденциальность. Для сайта типичная проблема — форма заявки собирает Ф.И.О. и телефон, но рядом нет понятного согласия или ссылки на Политику. Для работодателя частая проблема — лишний доступ сотрудников к кадровым документам или передача данных третьим лицам без основания.
По гражданским делам о защите частной жизни суды применяют статью 152.2 ГК РФ, а также общие нормы о нематериальных благах и компенсации морального вреда. При оценке таких требований учитываются разъяснения Пленума Верховного Суда РФ от 23.06.2015 № 25, а по вопросу компенсации морального вреда — подходы Пленума Верховного Суда РФ от 20.12.1994 № 10. Если сведения о человеке были незаконно опубликованы, переданы или использованы, суд может обязать прекратить нарушение, удалить информацию и взыскать компенсацию.
Для работников действует статья 90 ТК РФ: лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут ответственность в соответствии с федеральными законами. Если работник разглашает чужие данные, возможны дисциплинарные меры. Если нарушение совершает работодатель, риски возникают уже у организации и должностных лиц.
Уголовная ответственность по статье 137 УК РФ применяется не к любой ошибке с документами, а к незаконному собиранию или распространению сведений о частной жизни лица при наличии состава преступления. Но для бизнеса важно понимать: чем чувствительнее данные и чем шире их распространение, тем выше риск.
Суду и проверяющему важен не только текст Положения, но и доказательства его исполнения: приказы, листы ознакомления, согласия, настройки доступа, договоры с подрядчиками и ответы на запросы субъектов.
Здесь важно не переоценивать силу готового документа. Если оператор решил скачать Положение, но не назначил ответственного, не настроил доступы, не оформил согласия там, где они нужны, не разместил Политику онлайн и не отвечает на запросы субъектов, сам документ не защитит от претензий. Судебная логика простая: оцениваются не только слова, но и фактическое поведение оператора.
12. Как составить Положение пошагово и проверить готовый документ
Чтобы составить Положение, сначала нужно не писать текст, а провести инвентаризацию. Выпишите, какие данные вы собираете, у кого, для чего, где они хранятся, кто имеет доступ, кому они передаются и когда уничтожаются. После этого можно брать образец, использовать конструктор или подготовить документ самостоятельно.
Пошаговый порядок такой: определить оператора и ответственных лиц, описать категории субъектов, перечислить состав данных по каждой категории, определить цели обработки, подобрать правовые основания по статье 6 Закона № 152-ФЗ, описать порядок доступа, хранения и передачи, прописать права субъектов и порядок ответа на запросы, указать меры защиты, добавить правила уничтожения и блокирования, утвердить Положение приказом и ознакомить работников.
Если компания работает онлайн, отдельно проверьте сайт: есть ли Политика обработки персональных данных, есть ли согласие под формой заявки, корректно ли оформлена рассылка, понятно ли описаны cookie и сервисы аналитики. Онлайн-форма без правового текста рядом — частый источник претензий.
Если отношения строятся между юридическими лицами, не забывайте про персональные данные представителей. Если договор заключается между физическими лицами, тоже могут использоваться паспортные данные, адреса и телефоны, но режим обработки зависит от того, действует ли лицо как оператор в смысле Закона № 152-ФЗ или использует данные для личных нужд.
Перед утверждением проверьте документ по контрольному списку: в Положении нет лишних данных, которые компания не собирает; каждая цель обработки конкретна; для каждой цели есть законное основание; указаны категории субъектов; описан доступ работников; предусмотрен порядок передачи третьим лицам; указаны меры защиты; есть порядок ответа на запросы; предусмотрено уничтожение или обезличивание данных; есть приказ об утверждении и лист ознакомления.
Можно ли скачать готовый шаблон? Можно, но его надо переделать. Можно ли использовать онлайн-конструктор? Да, если после него юрист или ответственный сотрудник проверит документ на соответствие реальным процессам. Можно ли взять типовой образец у другой компании? Только как черновик. Чужой документ почти всегда содержит лишние или неправильные формулировки.
При необходимости можно создать несколько связанных документов: внутреннее Положение для работников, публичную Политику для сайта, отдельное согласие на обработку персональных данных, согласие на рекламную рассылку, приказ об утверждении и назначении ответственного. Такой подход лучше, чем один огромный типовой файл, где смешаны все ситуации.
Итоговое Положение должно быть понятным. Его будут читать кадровик, бухгалтер, менеджер, администратор сайта, руководитель отдела продаж, иногда системный администратор. Если документ написан так, что его понимает только юрист, он плохо работает. Хороший текст отвечает на практические вопросы: какие данные можно запросить, где хранить копии документов, можно ли отправлять файл подрядчику, кто отвечает на запрос клиента, когда данные надо удалить, что делать при утечке.
Положение о защите персональных данных — это не разовая формальность. Его нужно пересматривать при запуске нового сайта, CRM, личного кабинета, видеонаблюдения, рассылки, мобильного приложения, передачи данных новому подрядчику, изменении структуры компании или категорий обрабатываемых данных. Тогда документ будет соответствовать законодательству РФ и общей судебной практике, а не просто лежать в папке как скачанный шаблон.

Похожие шаблоны