Утверждено:
Генеральным директором ООО укажите наименование организацииname2
Укажите ФИО ген.директораdous21
Приказ № укажите номерnomer от
___________________
Утверждено:
Директором ООО укажите наименование организацииname2
Укажите ФИО директораdous21
Приказ № укажите номерnomer1 от
___________________
Утверждено:
Индивидуальным предпринимателем укажите ФИОname3
Приказ № укажите номерnomer1_1 от
___________________
Введите текст своего условия
2. Основные понятия, используемые в Положении
1.1. Персональные данные - (далее – «ПД») любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (Субъекту персональных данных).
1.1. Персональные данные, разрешенные Субъектом персональных данных для распространения - (далее – «субъект ПД») персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных им для распространения в порядке, предусмотренном действующим законодательством РФ.
1.1. Оператор персональных данных – (далее – «Оператор»), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.1. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.1. Автоматизированная обработка персональных данных - обработка персональных данных, выполняемая с использованием компьютерных систем и программного обеспечения, без непосредственного участия человека.
1.1. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.1. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.1. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).
1.1. Уничтожение персональных данных - действия, в результате которых становится невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.1. Обезличивание персональных данных - действия, в результате которых становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных.
1.1. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.1. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Основные понятия, используемые в Положении
1.1.Введите текст своего условия
1.1. Положение вступает в законную силу с укажите датуpdn_6.
1.1. Положение вступает в законную силу в день вынесения приказа об утверждении Положения.
1.1.
Введите текст своего условия
1.1. Цель Положения — регулирование обработки персональных данных работников Организации в целях защиты от несанкционированного доступа и разглашения, предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
1.1. Персональные данные представляют собой конфиденциальную информацию, подлежащую строгой охране.
1.1. Цель Положения — регулирование обработки персональных данных клиентов, контрагентов, пользователей сайтаpdn_6 укажите адрес сайтаpdn_7 Организации от несанкционированного доступа и разглашения, предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
1.1. Персональные данные представляют собой конфиденциальную информацию, подлежащую строгой охране.
1.1. Цель Положения — регулирование обработки персональных данных необходимых Организации для осуществления своей деятельности и выполнения требований законодательства РФ.
1.1. Обработка персональных данных, в том числе их сбор, осуществляется Оператором в целях осуществления трудовых и иных непосредственно связанных с трудовыми отношений Оператора с его работниками и соискателями, в том числе ведения кадрового и бухгалтерского учета, содействия в трудоустройстве (подбор персонала), соблюдения трудового законодательства; заполнения и передачи в уполномоченные органы требуемых форм отчетности, соблюдения налогового законодательства; осуществления хозяйственной деятельности Оператора, в том числе заключения, исполнения и прекращения договоров с контрагентами Оператора.
1.1.
Введите текст своего условия
1.1. Обработка персональных данных, в том числе их сбор, осуществляется Оператором также в целях обеспечения пропускного режима.
1.1.
Введите текст своего условия
1.1. Обработка персональных данных, в том числе их сбор, осуществляется Оператором также в целях предоставление доступа Пользователя к сервисам, информации и/или материалам, содержащимся на Сайте укажите адрес сайтаpdn_8.
1.1.
Введите текст своего условия
1.1. Обработка персональных данных, в том числе их сбор, осуществляется Оператором также в целях продвижения укажите наименование, к примеру товара или работpdn_9 Оператора на рынке, разработка и реализация рекламной кампании.
1.1.
Введите текст своего условия
1.1. Обработка персональных данных, в том числе их сбор, осуществляется Оператором также в целях проведения опросов, сбора статистических данных укажите цель и получателя данныхpdn_10.
1.1.
Введите текст своего условия
1.1. Оператор публикует Положение на официальном сайте Организации по адресу укажите адрес сайтаpdn_11, обеспечивая открытый и неограниченный доступ к документу.
1.1. Оператор обязуется обеспечить ознакомление субъектов персональных данных с Положением о порядке обработки персональных данных.
1.1. Ознакомление подтверждается подписью субъекта на листе ознакомления.
1.1.
Введите текст своего условия
1.1.10. Иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
1.1.10. Субъект персональных данных помимо прав, предусмотренных Положением и Федеральным законом от 27.07.2006 № 152-ФЗ, также вправе укажите дополнительные праваpdn_12.
1.1.
Введите текст своего условия
1.1. Оператор обладает иными правами предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ и иными нормативно-правовыми актами.
1.1. Оператор, помимо прав, предусмотренных Положением и Федеральным законом от 27.07.2006 № 152-ФЗ, также вправе укажите дополнительные праваpdn_12.
1.1.
Введите текст своего условия
1.1. Оператор обладает иными правами предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ и иными нормативно-правовыми актами.
1.1. Оператор, помимо прав, предусмотренных настоящим Положением и Федеральным законом от 27.07.2006 № 152-ФЗ, также вправе укажите дополнительные праваpdn_14.
1.1.
Введите текст своего условия
1.1. Уставные документы Оператора.
1.1. Федеральные законы, иные нормативно-правовые акты в сфере защиты персональных данных.
1.1. Согласие субъекта персональных данных о согласии на обработку его персональных данных.
1.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет такую обработку, а также свою деятельность.
1.1. Основные законодательные акты, а именно: Конституция Российской Федерации; Гражданский кодекс Российской Федерации; Трудовой кодекс Российской Федерации; Налоговый кодекс Российской Федерации; Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете"; Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации"; Федеральный закон от 08.02.1998 N 14-ФЗ "Об обществах с ограниченной ответственностью".
1.1. Иные федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
1.1. Договоры, заключаемые между Оператором и Субъектами персональных данных.
1.1. Согласие Субъекта персональных данных на обработку его персональных данных.
1.1.
Введите текст своего условия
1.1. К персональным данным работников, обрабатываемым Оператором в целях осуществления трудовых и иных непосредственно связанных с трудовыми отношениями, в том числе ведения кадрового и бухгалтерского учета и соблюдения законодательства, относятся:
1.1. Фамилия, имя, отчество, дата и место рождения, пол, сведения о гражданстве.
1.1. Место постоянной и временной регистрации, место фактического проживания; номер телефона, адрес электронной почты.
1.1. Вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование выдавшего его органа; ИНН; номер СНИЛС; реквизиты полиса ОМСpdn_17.
1.1. Сведения о семейном положении, составе семьи, реквизиты свидетельства о регистрации брака, свидетельства о рождении ребенка.
1.1. Сведения о трудовой деятельности; о воинской обязанности реквизиты военного билетаpdn_18; об образовании, включая реквизиты документов об образовании.
1.1. К персональным данным соискателя, обрабатываемым Оператором в целях содействия в трудоустройстве (подбор персонала) и соблюдения законодательства, относятся:
1.1. Фамилия, имя, отчество, дата и место рождения, пол, сведения о гражданстве; место постоянной и временной регистрации, место фактического проживания; номер телефона, адрес электронной почты.
1.1. Вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование выдавшего его органа.
1.1. Сведения о трудовой деятельности; об образовании, включая реквизиты документов об образовании.
1.1. К персональным данным клиентов и контрагентов Оператора (физических лиц) и представителей клиентов и контрагентов Оператора (физических и юридических лиц), обрабатываемым Оператором в целях осуществления его хозяйственной деятельности, в том числе заключения, исполнения и прекращения договоров с его контрагентами, а также соблюдения законодательства, относятся:
1.1. Фамилия, имя, отчество, дата и место рождения, пол, сведения о гражданстве; место постоянной и временной регистрации, место фактического проживания; номер телефона, адрес электронной почты.
1.1. Вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование выдавшего его органа; реквизиты документа, удостоверяющего полномочия действовать от имени клиента или контрагента Оператора (для представителей клиентов и контрагентов Оператора).
1.1. К персональным данным пользователей сайта Оператора, обрабатываемым Оператором в целях осуществления его хозяйственной деятельности, относятся:
1.1. Фамилия, имя, отчество; год, месяц, дата и место рождения; фотографии укажите дополнительные данныеpdn_19.
1.1. Электронный адрес, номера телефонов укажите дополнительные данныеpdn_20.
1.1.
Введите текст своего условия
1.1. Специальные категории персональных данных, а именно сведения о состоянии здоровья. При этом специальные категории персональных данных обрабатываются только в следующих случаях укажите случаиpdn_20.
1.1.
Введите текст своего условия
1.1. Биометрические персональные данные Субъекта персональных данных. При этом специальные категории персональных данных обрабатываются только в следующих случаях укажите случаиpdn_21.
1.1.
Введите текст своего условия
1.4. Специальные категории персональных данных, а именно сведения о состоянии здоровья. При этом специальные категории персональных данных обрабатываются только в следующих случаях укажите случаиpdn_22.
1.4.
Введите текст своего условия
1.1. Биометрические персональные данные Субъекта персональных данных. При этом специальные категории персональных данных обрабатываются только в следующих случаях укажите случаиpdn_23.
1.1.
Введите текст своего условия
1.1. Специальные категории персональных данных, а именно сведения о состоянии здоровья. При этом специальные категории персональных данных обрабатываются только в следующих случаях укажите случаиpdn_24.
1.1.
Введите текст своего условия
1.1. Биометрические персональные данные Субъекта персональных данных. При этом специальные категории персональных данных обрабатываются только в следующих случаях укажите случаиpdn_25.
1.1.
Введите текст своего условия
1.1. На сайте происходит сбор и обработка обезличенных данных о посетителях сайта (в том числе файлов cookie) с помощью сервисов интернет-статистики.
1.1.
Введите текст своего условия
1.1. Обработка персональных данных осуществляется с согласия Субъекта персональных данных за исключением случаев, установленных законодательством Российской Федерации.
1.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Такое согласие может быть дано в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
1.1. Согласие на обработку персональных данных может быть отозвано Субъектом персональных данных.
1.1. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия, предоставленного в письменной форме Субъектом персональных данных.
1.1. Специальные категории персональных данных и биометрические персональные данные обрабатываются с письменного согласия Субъекта персональных данных, за исключением случаев, предусмотренных Законом о персональных данных.
1.1.
Введите текст своего условия
1.1. Персональные данные обрабатываются без использования средств автоматизации.
1.1. Обработка персональных данных осуществляется с применением автоматизированных средств.
1.1. Персональные данные Субъектов персональных данных размещаются Оператором в следующих информационных системах: укажите электронный адресpdn_205.
1.1.
Введите текст своего условия
1.1.1. В системе обработки персональных данных сотрудников Оператора.
1.1.1. В системе персональных данных субъектов, не являющихся сотрудниками Оператора, но данные которых подлежат обработке Оператором в соответствии с требованиями трудового законодательства.
1.1.1. В системе персональных данных клиентов и контрагентов Оператора, включая физических лиц, а также представителей клиентов и контрагентов, являющихся как физическими, так и юридическими лицами, а также пользователей веб-сайта Оператора.
1.1.
Введите текст своего условия
1.1. Оператор осуществляет передачу персональных данных третьим лицам с письменного согласия Субъекта персональных данных, за исключением случаев, установленных законодательством, когда такое согласие не требуется.
1.1. Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
1.1. Оператор осуществляет передачу персональных данных следующим третьим лицам: укажите наименование и местонахождениеpdn_27. Персональные данные передаются в целях укажите цель передачиpdn_28 в объеме укажите объем передачи или конкретные данныеpdn_29.
1.1.
Введите текст своего условия
1.1. Оператор осуществляет распространение только, разрешенных Субъектом персональных данных для распространения, то есть производит действия, направленные на их раскрытие неопределенному кругу лиц, с соблюдением запретов и условий, установленных ст. 10.1 Закона о персональных данных.
1.1. Согласие на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, оформляется отдельно от иных согласий такого Субъекта на обработку его персональных данных.
1.1.
Введите текст своего условия
1.1. Оператор обладает полномочиями осуществлять трансграничную передачу персональных данных в строгом соответствии с действующим законодательством о защите персональных данных, с учетом всех изменений, в том числе вступивших в силу с 1 июля 2025 года.
1.1. Оператор не осуществляет трансграничную передачу персональных данных.
1.1.
Введите текст своего условия
1.1. При обработке персональных данных для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие, а именно:
1.1.1. Определение угрозы безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационная система).
1.1.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных.
1.1.3. Применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
1.1.4. Применение для уничтожения персональных данных средств защиты информации (в составе которых реализована функция уничтожения информации), прошедших в установленном порядке процедуру оценки соответствия.
1.1.5. Проведение оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы.
1.1.6. Ведение учета машинных носителей персональных данных.
1.1.7. Обеспечение обнаружения фактов несанкционированного доступа к персональным данным и принятие мер, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы и по реагированию на компьютерные инциденты в них.
1.1.8. Обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
1.1.9. Установление правил доступа к персональным данным, обрабатываемым в информационной системе, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе.
1.1.10. Осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем.
1.1. При обработке персональных данных в информационных системах Оператор соблюдает требования, установленные Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
1.1. При обработке персональных данных для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий Оператор принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие.
1.1. При обработке персональных данных без использования средств автоматизации Оператор соблюдает требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 N 687.
1.1.
Введите текст своего условия
10. Изменение, удаление, уничтожение персональных данных
1.1. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных Субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
1.1. Оператор должен осуществить блокирование персональных данных или обеспечить их блокирование если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператораpdn_300 в следующих случаях и в следующие сроки:
1.1.1. Если выявлена неправомерная обработка персональных данных при обращении Субъекта персональных данных или его представителя либо по запросу Субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных — с момента такого обращения или получения указанного запроса на период проверки.
1.1.2. Если выявлены неточные персональные данные при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных — с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.
1.1.3. Если отсутствует возможность уничтожения персональных данных в течение срока, указанного в ч. 3 - ч. 5.1 ст. 21 Закона о персональных данных, — до момента уничтожения.
1.1. Оператор должен также прекратить обработку персональных данных или обеспечить прекращение такой обработки лицом, действующим по поручению Оператора, в следующих случаях:
1.1.1. Если устранены причины, вследствие которых осуществлялась обработка специальных категорий персональных данных в случаях, предусмотренных ч. 2 и ч. 3 ст. 10 Закона о персональных данных, при условии что иное не установлено федеральным законом.
1.1.2. Если выявлена неправомерная обработка персональных данных, осуществляемая Оператором или лицом, действующим по поручению Оператора, — в срок не более трех рабочих дней с даты этого выявления.
1.1.3. Если достигнуты цели обработки персональных данных.
1.1.4. Если Субъект персональных данных отозвал согласие на обработку его персональных данных.
1.1.5. Если Субъект персональных данных обратился к Оператору с требованием о прекращении обработки - в срок не более десяти рабочих дней с даты получения соответствующего требования. Этот срок может быть продлен, но не более чем на пять рабочих дней, если Оператор направит Субъекту персональных данных мотивированное уведомление с указанием причин продления срока.
1.1. Оператор должен уничтожить персональные данные, в частности, в следующих случаях и в следующие сроки:
1.1.1. Если достигнуты цели обработки персональных данных либо утрачена необходимость их достижения — в срок не более тридцати дней с даты достижения указанных целей, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных федеральными законами.
1.1.2. Если Субъект персональных данных или его представитель предъявил сведения, подтверждающие, что такие персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, — в срок не более семи рабочих дней со дня представления таких сведений.
1.1.3. Если выявлена неправомерная обработка персональных данных при условии, что невозможно обеспечить ее правомерность, — в срок не более десяти рабочих дней с даты выявления неправомерной обработки.
1.1.4. Если Субъект персональных данных отозвал согласие на обработку его персональных данных при условии, что сохранение таких данных более не требуется для целей их обработки, — в срок не более тридцати дней с даты поступления отзыва. Это возможно при условии, что иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных, иным соглашением между Оператором и Субъектом персональных данных, либо в случае, если Оператор не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных федеральными законами.
1.1. При обработке персональных данных без использования средств автоматизации документом, подтверждающим уничтожение персональных данных, является Акт об уничтожении персональных данных.
1.1. При обработке персональных данных с использованием средств автоматизации документами, подтверждающими уничтожение персональных данных, являются Акт об уничтожении персональных данных и Выгрузка из журнала регистрации событий в информационной системе персональных данных (далее – «Выгрузка из журнала»).
1.1. При обработке персональных данных одновременно с использованием средств автоматизации и без использования средств автоматизации документами, подтверждающими уничтожение персональных данных, являются Акт об уничтожении персональных данных и Выгрузка из журнала.
1.1. Акт об уничтожении персональных данных и Выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
10. Изменение, удаление, уничтожение персональных данных
1.1.Введите текст своего условия
Положение об обработке персональных данных
Положение об обработке персональных данных
1. Общие положения
1.1 Положение об обработке персональных данных (далее – «Положение») разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ и иными нормативно-правовыми, законодательными актами в области обработки и защиты персональных данных, действующими на территории РФ и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных принимаемые организацией укажите наименование организацииpdn_5 (далее – «Оператор», «Организация»).
1.1. Под персональными данными понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных.
1.1. Положение и изменения к нему утверждаются исполнительным органом Организации и вводятся приказом.
1. Права и обязанности субъекта персональных данных
1.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1.1.1. Подтверждение факта обработки персональных данных Оператором.
1.1.2. Правовые основания и цели обработки персональных данных.
1.1.3. Цели, применяемые Оператором и способы обработки персональных данных.
1.1.4. Наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона.
1.1.5. Обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом.
1.1.6. Сроки обработки персональных данных, в том числе сроки их хранения.
1.1.7. Порядок осуществления Субъектом персональных данных прав, предусмотренных Законом о персональных данных.
1.1.8. Наименование и контактные данные лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.
1.1.9. Информацию о способах исполнения Оператором обязанностей, установленных ст. 18.1 Закона о персональных данных.
1.1. Указанные сведения должны быть предоставлены Субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
1.1. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
1.1. Право Субъекта персональных данных на доступ к его персональным данным может быть ограничен в соответствии с федеральными законами.
1.1. Если Субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, то он вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
1.1. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1. Права и обязанности Оператора
1.1. Оператор вправе запрашивать и получать от Субъекта персональных данных достоверные сведения и документы, содержащие персональные данные.
1.1. В случае отзыва Субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.1. Оператор вправе самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
1.1. Оператор обязуется предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных.
1.1. Оператор обязуется организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ.
1.1. Оператор обязуется отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями ФЗ от 27.07.2006 № 152-ФЗ.
1.1. Оператор обязуется сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса.
1.1. Оператор обязуется обеспечивать неограниченный доступ к Положению в отношении обработки персональных данных.
1.1. Оператор обязуется принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
1.1. Оператор обязуется прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных ФЗ от 27.07.2006 № 152-ФЗ;
1. Правовые основания обработки персональных данных
1.1. Правовыми основаниями обработки персональных данных Оператором являются:
1. Объем и категории обрабатываемых персональных данных, категории субъектов
1.1. К Субъектам персональных данных, на которых распространяется действие Положения, относятся: укажите кто относится, к примеру работникиpdn_15.
1. Принципы обработки персональных данных
1.1. Обработка персональных данных осуществляется на законной и справедливой основе.
1.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
1.1. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
1.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
1.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
1.1. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
1.1. Оператор принимает необходимые меры и обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
1.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
1.1. Если срок хранения персональных данных не установлен федеральным законом и (или) договором, то в этом случае срок хранения персональных данных определяется достижением целей обработки персональных данных.
1.1. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1. Условия обработки и порядок обработки персональных данных
1.1. Оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных.
1.1. При сборе персональных данных, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов персональных данных с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в п. 2, 3, 4, 8 ч. 1 ст. 6 Закона о персональных данных.
1. Хранение персональных данных
1.1. Персональные данные хранятся в течение срока, установленного законодательством РФ.
1.1. Персональные данные, для которых не установлен такой срок, хранятся в течение укажите срокpdn_30.
1.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
1.1. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
1.1. В целях обработки различных категорий персональных данных для каждой категории используется отдельный материальный носитель.
1.1. Оператор обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
1.1. При хранении материальных носителей установлены меры, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
1. Соблюдение конфиденциальности и защита персональных данных
1. Заключительные положения
1.1. Положение вступает в силу с укажите датуpdn_32 и применяется к отношениям, возникшим после введения его в действие.
1.1. В соответствии с установленным Положением, Оператор осуществляет разработку и внедрение дополнительных внутренних нормативных актов.
1.1. Оператор уполномочен вносить корректировки, изменения и дополнения в Положение в соответствии с действующим законодательством Российской Федерации.
Содержание статьи
1. Что такое положение и почему его нельзя делать «для галочки»
Положение об обработке персональных данных — это внутренний локальный акт оператора, в котором закрепляется порядок работы с персональными данными: какие сведения собираются, для каких целей, кто имеет доступ, кому данные могут передаваться, сколько они хранятся и как уничтожаются. Документ нужен не только крупным компаниям. Если организация или ИП принимает сотрудников, ведет базу клиентов, оформляет договоры, получает заявки через сайт, использует CRM или онлайн-формы, она уже обрабатывает персональные данные.
Основная обязанность принять локальные акты следует из части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Закон не требует, чтобы документ назывался строго «Положение». Его можно назвать регламентом, порядком или внутренней политикой. Но на практике название «Положение об обработке персональных данных» удобно: оно понятно сотрудникам, проверяющим органам и контрагентам.
Ошибка многих операторов в том, что они пытаются скачать первый попавшийся образец и вставить в него свое название. Такой типовой подход может подойти только как стартовая заготовка. Персональные данные всегда привязаны к реальным процессам: кадровому учету, продажам, доставке, медицинским услугам, обучению, пропускному режиму, видеонаблюдению, рассылкам. Если шаблон не отражает этих процессов, он не доказывает соблюдение закона.
Положение должно описывать не идеальную картинку, а фактический порядок работы с персональными данными у конкретного оператора.
При проверке важно не само наличие документа в папке, а его соответствие реальности. Если в положении написано, что доступ к базе ограничен, а на деле общий пароль знают все сотрудники, документ не поможет. Если указано, что данные уничтожаются после достижения цели, но старые анкеты клиентов годами лежат в открытом шкафу, риск сохраняется. Поэтому правильно составить положение — значит сначала разобраться, где и зачем компания использует персональные данные.
2. Какие нормы закона нужно учитывать
Главный нормативный акт — Федеральный закон № 152-ФЗ. В статье 3 даются основные понятия: персональные данные, оператор, обработка, распространение, предоставление, обезличивание, блокирование, уничтожение. Эти термины можно включить в положение, но не стоит перегружать документ длинными цитатами закона. Лучше дать краткие определения и дальше показать, как они применяются в работе оператора.
Статья 5 Закона № 152-ФЗ устанавливает принципы обработки. Особенно важны законность, конкретность целей, недопустимость избыточных данных и ограничение срока хранения. Статья 6 определяет правовые основания обработки: согласие субъекта, исполнение договора, исполнение закона, осуществление прав и законных интересов оператора и другие основания. Статья 9 регулирует согласие субъекта. Статьи 10 и 11 посвящены специальным категориям и биометрическим персональным данным. Статья 10.1 устанавливает отдельный порядок для персональных данных, разрешенных субъектом для распространения.
Для внутреннего документа особенно важны статьи 18.1, 19, 21, 22 и 22.1 Закона № 152-ФЗ. Статья 18.1 говорит о мерах, которые оператор обязан принять для соблюдения закона, включая назначение ответственного лица и принятие локальных актов. Статья 19 посвящена безопасности данных. Статья 21 — прекращению обработки и уничтожению, а также действиям при неправомерной или случайной передаче данных. Статья 22 регулирует уведомление Роскомнадзора об обработке персональных данных. Статья 22.1 говорит о лице, ответственном за организацию обработки персональных данных.
Для работодателей обязательны статьи 86–90 Трудового кодекса РФ. Они устанавливают правила обработки персональных данных работника, порядок передачи данных третьим лицам и ответственность за нарушения. Нельзя заменить эти нормы одним общим согласием работника: кадровая обработка часто основана не на согласии, а на обязанности работодателя вести учет, платить зарплату, сдавать отчетность и исполнять трудовое законодательство.
Также применяются статья 13.11 КоАП РФ, предусматривающая административную ответственность за нарушения в сфере персональных данных, статья 137 УК РФ о нарушении неприкосновенности частной жизни в особо опасных ситуациях, статьи 150, 151 и 152.2 ГК РФ о защите нематериальных благ, компенсации морального вреда и охране частной жизни гражданина. Для рекламных рассылок нужно учитывать статью 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе».
3. Судебная практика: что реально проверяют суды
Судебная практика по персональным данным не сводится к вопросу «есть ли положение». Суды обычно смотрят шире: была ли законная цель обработки, получено ли согласие там, где оно нужно, не были ли данные избыточными, была ли публикация или передача третьим лицам, мог ли гражданин понять, как используются его сведения.
В качестве общей судебной базы можно учитывать Постановление Пленума Верховного Суда РФ от 24.02.2005 № 3. Оно касается защиты чести, достоинства и деловой репутации, но в нем также раскрываются подходы к распространению сведений о частной жизни. Для персональных данных это важно, потому что незаконная публикация сведений о человеке часто затрагивает не только Закон № 152-ФЗ, но и право на неприкосновенность частной жизни.
Также имеет значение Постановление Пленума Верховного Суда РФ от 23.06.2015 № 25, где рассматриваются общие положения ГК РФ, в том числе способы защиты гражданских прав и нематериальных благ. При спорах о незаконном распространении данных, компенсации морального вреда и защите частной жизни суды могут опираться на эти общие подходы вместе со специальными нормами Закона № 152-ФЗ.
По административным делам суды часто поддерживают привлечение к ответственности по статье 13.11 КоАП РФ, если оператор не может подтвердить конкретное согласие, не опубликовал политику обработки персональных данных на сайте, собирал лишние сведения или не выполнил обязанности по уведомлению Роскомнадзора. В арбитражной практике также встречаются споры, где значение имеют формулировки согласия: слишком широкие цели вроде «для любых действий оператора» оцениваются как рискованные.
Суду обычно важен не красивый шаблон, а доказательства: согласия, локальные акты, журналы доступа, приказы, уведомления, порядок уничтожения и реальные меры защиты.
Поэтому в статье и в самом положении лучше не ссылаться на несуществующие «универсальные» решения. Надежнее указать проверяемые акты: Закон № 152-ФЗ, ТК РФ, КоАП РФ, ГК РФ, Закон о рекламе и названные постановления Пленума Верховного Суда РФ. Если нужен документ для конкретного бизнеса, судебную практику желательно дополнительно проверить по свежим делам за последний год, потому что подходы Роскомнадзора и судов по отдельным составам статьи 13.11 КоАП РФ регулярно уточняются.
4. Кому нужно положение: компании, ИП и отдельные ситуации между физическими лицами
Положение нужно оператору персональных данных. По статье 3 Закона № 152-ФЗ оператором может быть государственный орган, муниципальный орган, юридическое лицо или физическое лицо, которое организует обработку персональных данных и определяет ее цели. Поэтому обязанность касается не только ООО или АО, но и индивидуального предпринимателя, самозанятого в некоторых рабочих ситуациях, частной клиники, образовательного проекта, агентства недвижимости, интернет-магазина, кадрового агентства.
Если обработка идет только для личных или семейных нужд, Закон № 152-ФЗ обычно не применяется. Например, переписка с другом, личная телефонная книга или список гостей на семейный праздник не требуют положения. Но отношения между физическими лицами могут выйти за пределы личной сферы. Если гражданин сдает квартиру, оказывает услуги, ведет платный курс, собирает заявки через онлайн-форму или системно хранит данные клиентов, он может фактически стать оператором.
В отношениях между юридическими лицами персональные данные тоже есть. Сведения о самом обществе — ОГРН, ИНН, адрес компании — не являются персональными данными. Но ФИО директора, телефон менеджера, рабочая почта сотрудника, паспортные данные представителя по доверенности относятся к конкретному человеку. Поэтому договор между юридическими лицами часто сопровождается обработкой персональных данных представителей сторон.
Для работодателя положение почти всегда обязательно на практике, потому что персональные данные работников обрабатываются постоянно. Работодатель хранит трудовые договоры, копии документов, сведения о зарплате, отпусках, больничных, налоговых вычетах, воинском учете. Здесь важно учитывать не только Закон № 152-ФЗ, но и статьи 86–90 ТК РФ.
Положение особенно необходимо, если оператор принимает заявки через сайт или мессенджеры; ведет CRM, клиентскую базу или программу лояльности; оформляет работников и кандидатов; делает рекламные или информационные рассылки; использует видеонаблюдение, пропускной режим, запись звонков.
Если компания хочет создать систему документов с нуля, положение лучше готовить вместе с политикой для сайта, формами согласия, приказом о назначении ответственного лица и перечнем лиц, имеющих доступ к данным. Один документ редко закрывает всю задачу.
5. Чем положение отличается от политики, согласия и уведомления Роскомнадзора
Положение, политика, согласие и уведомление Роскомнадзора — разные документы. Их часто путают, из-за чего у оператора появляется формальный набор бумаг, но без нормальной логики.
Положение — внутренний документ. Оно нужно сотрудникам и руководству, чтобы понимать правила работы с данными. Политика обработки персональных данных — публичный документ, который размещается на сайте или иным способом доводится до субъектов. Статья 18.1 Закона № 152-ФЗ обязывает оператора обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, если оператор собирает данные, в том числе через интернет.
Согласие — это отдельное волеизъявление субъекта. Его требования установлены статьей 9 Закона № 152-ФЗ. Для распространения данных действует статья 10.1, и такое согласие должно оформляться отдельно от других согласий. Нельзя незаметно включить разрешение на публикацию фотографии, отзыва или ФИО клиента в общий текст договора.
Уведомление Роскомнадзора — это сообщение оператора регулятору по статье 22 Закона № 152-ФЗ. Сейчас для большинства операторов действует правило предварительного уведомления до начала обработки, если нет специального исключения. Содержание положения должно совпадать с тем, что оператор указывает в уведомлении: цели, категории субъектов, категории данных, правовые основания, меры защиты, сведения о трансграничной передаче.
Проще различать документы так: положение — внутренние правила для оператора; политика — публичное объяснение для субъектов; согласие — разрешение конкретного человека на определенную обработку; уведомление Роскомнадзора — информация для регулятора; поручение обработки — условия для подрядчика, который обрабатывает данные по заданию оператора.
Если скачать шаблон политики и назвать его положением, документ будет неполным. Он может объяснять права субъекта, но не ответит на внутренние вопросы: кто отвечает за базу, кто удаляет сведения, где хранятся бумажные анкеты, как ограничивается доступ и что делать при утечке.
6. Как определить цели обработки и не собрать лишнего
Цели обработки — основа положения. Статья 5 Закона № 152-ФЗ требует, чтобы обработка была ограничена достижением конкретных, заранее определенных и законных целей. Нельзя писать только «для осуществления деятельности оператора». Такая цель слишком широкая и плохо объясняет, зачем собираются конкретные сведения.
Хорошая цель должна быть понятной. Например: заключение и исполнение договора с клиентом, доставка товара, ведение кадрового учета, начисление зарплаты, рассмотрение обращений, направление ответа на заявку, проведение мероприятия, обеспечение пропускного режима, выполнение требований налогового законодательства. Для каждой цели нужно понимать, какие данные действительно нужны.
Пример: интернет-магазину для доставки обычно нужны ФИО, телефон, адрес доставки и состав заказа. Паспортные данные ему нужны не всегда. Онлайн-школе могут быть нужны ФИО, телефон, email, сведения об оплате и результатах обучения. Работодателю нужны паспортные данные, СНИЛС, ИНН, сведения об образовании, воинском учете и банковские реквизиты, но эти данные нельзя автоматически использовать для рекламных целей.
Практически удобно составить таблицу, даже если она не попадет в финальный текст полностью: цель обработки, категория субъектов, состав персональных данных, правовое основание, срок хранения. Такая таблица помогает увидеть избыточность. Если в анкете есть поле «семейное положение», нужно понять, для чего оно требуется. Если в форме обратной связи есть дата рождения, нужно объяснить цель. Если сервис просит фото паспорта, нужно проверить, есть ли законное основание и нельзя ли обойтись без этого.
Чем меньше лишних данных собирает оператор, тем проще ему соблюдать закон и защищаться при споре.
Типовой образец часто содержит длинные перечни данных «на всякий случай». Лучше не копировать их полностью. Если компания не обрабатывает биометрию, сведения о здоровье, политических взглядах или религиозных убеждениях, не нужно включать эти категории в основной рабочий список. Иначе оператор сам создает впечатление, что ведет более рискованную обработку, чем есть на самом деле.
7. Какие разделы включить в положение
Закон не утверждает единую обязательную форму положения. Поэтому документ можно составить в свободной структуре, но он должен закрывать требования статей 18.1 и 19 Закона № 152-ФЗ и быть связан с реальными процессами оператора. Шаблон или конструктор могут помочь со структурой, но содержание нужно адаптировать.
Оптимальная структура положения включает 12 основных блоков. В первом разделе указываются общие положения, правовая база и основные термины. Во втором — категории субъектов: работники, кандидаты, клиенты, пользователи сайта, представители контрагентов, участники мероприятий. В третьем — цели обработки. В четвертом — состав персональных данных по каждой категории субъектов. В пятом — правовые основания обработки.
Далее стоит описать порядок сбора, записи, систематизации, накопления, хранения, уточнения, использования, передачи, блокирования, удаления и уничтожения данных. Эти действия прямо относятся к понятию обработки по статье 3 Закона № 152-ФЗ. Не обязательно переписывать весь закон, но нужно показать, какие действия оператор реально совершает.
Отдельными разделами лучше закрепить права субъектов, обязанности оператора, обязанности работников, меры защиты, порядок доступа, порядок передачи третьим лицам, сроки хранения, порядок уничтожения, действия при утечке и внутренний контроль. В конце можно указать ответственность работников и порядок изменения положения.
В документе желательно предусмотреть приложения. Например, перечень информационных систем, список должностей с доступом, форму акта уничтожения, форму запроса субъекта, форму журнала учета запросов. Не всегда нужно включать все приложения сразу, но для организации с большим количеством данных они полезны.
Короткий список обязательных практических вопросов, на которые должно отвечать положение: какие данные и у кого собираются; зачем они собираются; кто имеет доступ; кому данные передаются; когда и как данные уничтожаются.
Если на эти вопросы положение не отвечает, его сложно назвать рабочим. Даже если текст выглядит солидно и занимает много страниц, он останется формальным.
8. Согласие: когда требуется, а когда нет
Согласие субъекта персональных данных регулируется статьей 9 Закона № 152-ФЗ. Оно должно быть конкретным, предметным, информированным, сознательным и однозначным. В некоторых случаях согласие обязательно должно быть письменным или оформленным в форме электронного документа, например при обработке специальных категорий данных в ситуациях, где нет другого основания.
Но согласие не нужно превращать в универсальную «затычку». Статья 6 Закона № 152-ФЗ предусматривает и другие основания обработки. Работодатель обрабатывает многие данные работника не потому, что работник согласился, а потому что это требуется для исполнения трудового, налогового, пенсионного и бухгалтерского законодательства. Если сотрудник отзовет согласие, работодатель все равно обязан хранить кадровые документы в установленные сроки.
Для клиентов часть обработки может быть связана с исполнением договора. Например, если человек заказал товар, оператор вправе использовать необходимые данные для доставки и оплаты. Но рекламная рассылка — это отдельная цель. Для нее нужно отдельное согласие с учетом статьи 18 Закона о рекламе. Нельзя считать, что покупка товара автоматически означает согласие на рекламные сообщения.
В положении нужно указать, в каких случаях оператор получает согласие; где и как оно хранится; кто отвечает за учет согласий; как субъект может отозвать согласие; что происходит после отзыва.
Для персональных данных, разрешенных субъектом для распространения, действует статья 10.1 Закона № 152-ФЗ. Это важно для публикации отзывов с ФИО, фотографий клиентов, карточек сотрудников на сайте, списков участников мероприятия, видео с человеком в рекламных материалах. Такое согласие должно быть отдельным и давать субъекту возможность определить условия и запреты на распространение.
Если используется онлайн-форма, согласие должно быть видно до отправки данных. Нежелательно прятать его внизу страницы мелким шрифтом. Лучше использовать отдельный чекбокс, который пользователь сам отмечает, и рядом разместить понятный текст согласия или ссылку на него. Заранее проставленная галочка может вызвать вопросы.
9. Передача третьим лицам, подрядчики и трансграничная передача
Положение должно описывать, кому оператор может передавать персональные данные. Передача бывает разной. Иногда третье лицо становится самостоятельным оператором, например банк, налоговый орган, Социальный фонд России, суд или курьерская служба в рамках своих обязанностей. Иногда третье лицо действует по поручению оператора: хостинг-провайдер, облачная CRM, сервис email-рассылок, бухгалтерский аутсорсер, колл-центр.
Если обработка поручается другому лицу, статья 6 Закона № 152-ФЗ требует закрепить поручение оператора. В нем должны быть указаны перечень действий с данными, цели обработки, обязанность соблюдать конфиденциальность, требования к защите персональных данных и обязанность предоставлять документы, подтверждающие выполнение мер защиты. На практике это может быть отдельное соглашение или раздел в основном договоре.
В положении нельзя писать, что оператор передает данные «любым третьим лицам по своему усмотрению». Такая фраза удобна, но юридически слабая. Лучше указать категории получателей: банки, платежные сервисы, службы доставки, операторы связи, хостинг-провайдеры, сервисы технической поддержки, государственные органы в случаях, предусмотренных законом.
Отдельно нужно проверить трансграничную передачу по статье 12 Закона № 152-ФЗ. Она возникает, когда данные передаются на территорию иностранного государства, иностранному органу, иностранному физическому или юридическому лицу. Зарубежный сервис рассылок, иностранный хостинг или облачная аналитика могут создавать такую передачу. Перед ее началом оператор должен выполнить требования статьи 12, включая уведомление Роскомнадзора в предусмотренном порядке.
Также нужно помнить о локализации. Часть 5 статьи 18 Закона № 152-ФЗ требует при сборе персональных данных, в том числе через интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории России, кроме предусмотренных законом случаев.
Если оператор работает только с российскими сервисами, это можно указать. Но перед такой формулировкой нужно проверить сайт, CRM, аналитику, виджеты, формы обратной связи и платежные инструменты. Иногда трансграничная передача появляется незаметно из-за одного подключенного онлайн-сервиса.
10. Сроки хранения, блокирование и уничтожение данных
Сроки хранения должны быть не абстрактными, а привязанными к целям и законам. Статья 5 Закона № 152-ФЗ требует хранить персональные данные не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом, договором или согласием субъекта. Статья 21 регулирует прекращение обработки и уничтожение данных.
Для работников сроки часто зависят от трудового и архивного законодательства. Кадровые документы не удаляются сразу после увольнения. Для бухгалтерских документов применяются правила бухгалтерского и налогового учета. Для договоров с клиентами нужно учитывать срок исполнения договора и период, когда возможны претензии. Для рассылки данные могут храниться до отзыва согласия или прекращения цели рассылки.
В положении можно установить разные сроки по категориям: кадровые данные — в течение трудовых отношений и установленных сроков хранения документов; данные кандидатов — до закрытия вакансии или до окончания срока согласия; данные клиентов — в течение срока договора и периода защиты прав оператора; данные для рассылки — до отзыва согласия или отказа от рассылки; данные обращений — до завершения рассмотрения и разумного срока на случай спора.
После достижения цели обработки оператор должен прекратить обработку или обеспечить уничтожение данных, если нет другого законного основания для хранения. Уничтожение нужно подтверждать. Для бумажных документов это может быть акт уничтожения, измельчение, передача специализированной организации. Для электронных данных — удаление из информационной системы, удаление резервных копий по регламенту, блокирование доступа до полного удаления.
Блокирование данных применяется, если есть спор, выявлена неточность или обработка временно должна быть остановлена. В положении стоит описать, кто принимает решение о блокировании, как фиксируется запрос субъекта и в какой срок данные уточняются или уничтожаются.
Частая проблема — старые копии. База клиентов может лежать в Excel у бывшего менеджера, в личной почте, в мессенджере или на флешке. Если положение запрещает такие копии, но контроль не ведется, правило останется бумажным. Поэтому вместе с положением нужно ввести понятный порядок: где разрешено хранить данные, кто отвечает за выгрузки и как удаляются рабочие копии.
11. Безопасность, доступ и действия при утечке
Меры безопасности должны соответствовать статье 19 Закона № 152-ФЗ. Оператор обязан защищать персональные данные от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий. В положении достаточно описать основные организационные и технические меры, а детальные настройки можно вынести во внутренние инструкции.
Обычно указываются такие меры: назначение ответственного лица, ограничение доступа по должностям, использование паролей, антивирусная защита, резервное копирование, хранение бумажных документов в закрытых шкафах, учет носителей, инструктаж сотрудников, запрет передачи паролей, контроль увольнения сотрудников и отключение их доступов.
Доступ лучше описывать не общими словами, а через должности или подразделения. Например, кадровик имеет доступ к данным работников, бухгалтер — к сведениям для начислений и отчетности, менеджер — к данным клиентов в пределах заказов, системный администратор — к техническому доступу без права использовать сведения в личных целях. Чем точнее разграничение, тем легче показать соблюдение закона.
Отдельно нужно описать действия при инциденте. После изменений в законодательстве оператор обязан реагировать на неправомерную или случайную передачу персональных данных, повлекшую нарушение прав субъектов. В статье 21 Закона № 152-ФЗ закреплены обязанности по уведомлению Роскомнадзора: первоначальное уведомление направляется в установленный законом короткий срок, а затем сообщаются результаты внутреннего расследования. В рабочем документе стоит указать, кто фиксирует инцидент, кто проводит проверку, кто направляет уведомление и какие меры принимаются.
Примеры инцидентов: письмо с персональными данными ушло не тому адресату, сотрудник потерял ноутбук, бывший работник сохранил клиентскую базу, в CRM открыт лишний доступ, на сайте стали видны чужие заявки. Для каждого случая важны быстрые действия: ограничить доступ, зафиксировать обстоятельства, определить круг затронутых данных, сообщить ответственному лицу и принять меры.
Утечка персональных данных — это не только техническая проблема. Это юридический инцидент, который нужно фиксировать и разбирать документально.
Если компания использует конструктор для подготовки положения, раздел о безопасности особенно важно доработать вручную. Универсальный текст часто обещает меры, которых у оператора нет. Лучше написать меньше, но так, чтобы это действительно выполнялось.
12. Как пользоваться образцом, шаблоном и онлайн-конструктором без ошибок
Готовый образец может быть полезен, но только как основа. Он помогает не забыть разделы, выдержать структуру и быстрее составить первый вариант. Но ни один шаблон не знает, какие именно данные собирает конкретная организация, какие сервисы она использует, кому передает сведения и какие сроки хранения применяются. Поэтому скачать документ и сразу утвердить его приказом — плохая идея.
Онлайн конструктор удобен для малого бизнеса, когда нужно быстро создать комплект документов. Но после заполнения формы нужно внимательно прочитать результат. Часто конструктор вставляет типовой перечень данных, универсальные цели, общие меры защиты и стандартные фразы о передаче третьим лицам. Их нужно привести к реальности. Если оператор не обрабатывает биометрию, не ведет трансграничную передачу или не собирает данные детей, не нужно оставлять эти разделы без необходимости.
Перед утверждением положения стоит пройти короткую проверку: совпадают ли цели обработки с фактической работой; нет ли лишних данных в формах и анкетах; указаны ли правовые основания по статье 6 Закона № 152-ФЗ; описаны ли сроки хранения и порядок уничтожения; учтены ли сайт, cookies, CRM, рассылки и подрядчики.
После проверки положение утверждается приказом руководителя. Сотрудников, которые работают с персональными данными, нужно ознакомить с документом. Для этого можно использовать лист ознакомления, электронную систему кадрового документооборота или иной подтверждаемый способ. Если положение меняется, работников нужно ознакомить с новой редакцией.
Итоговая система документов обычно включает не только положение. Нужны политика обработки персональных данных для сайта, формы согласий, приказ о назначении ответственного, перечень лиц с доступом, договоры или поручения с обработчиками, порядок рассмотрения запросов субъектов, формы актов уничтожения. Для сайта также может понадобиться отдельное уведомление о cookies или раздел в политике, если используются cookie-файлы и аналитика.
Административная ответственность по статье 13.11 КоАП РФ показывает, что нарушения в сфере персональных данных давно перестали быть редкостью. Проверяются не только крупные компании. Малый бизнес, сайты с формами заявок, работодатели, школы, клиники, маркетинговые проекты и интернет-магазины тоже попадают в зону риска.
Правильно составленное положение помогает снизить эти риски. Оно показывает, что оператор понимает состав данных, цели обработки, основания, сроки хранения, порядок доступа и меры защиты. Но положение работает только вместе с реальными действиями: ограничением доступа, нормальными согласиями, актуальной политикой на сайте, уведомлением Роскомнадзора, контролем подрядчиков и регулярным обновлением документов.
Если нужно составить положение с нуля, лучше начать не с текста, а с инвентаризации данных. Сначала определить, какие персональные данные есть у оператора, затем убрать лишнее, после этого выбрать правовые основания и только потом создавать документ. В такой логике и образец, и шаблон, и онлайн конструктор становятся полезными инструментами, а не источником формальной бумаги.

Похожие шаблоны