ГрамотаИБ ГрамотаИБ

Как разработать политику обработки персональных данных: требования и типичные нарушения

23.06.2026

Пошаговое руководство по разработке политики обработки персональных данных: чем регламентирован документ (статья 18.1 152-ФЗ и рекомендации Роскомнадзора), что обязательно должно быть внутри, где и как его публиковать, как составить под реальные процессы компании, а также подводные камни и характерные нарушения, за которые операторов штрафуют по статье 13.11 КоАП.

Политика обработки персональных данных — это первый документ, который смотрит Роскомнадзор при проверке, и единственный, который оператор обязан опубликовать. Парадокс в том, что именно с ним чаще всего и попадаются: скачивают чужой шаблон, который не отражает реальные процессы. Разберём, чем регламентирован документ, что должно быть внутри, как его разработать и каких ошибок избегать.

Чем регламентирована политика

Базовое требование — часть 2 статьи 18.1 152-ФЗ: оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных. Если данные собираются через сайт, политика публикуется на сайте. Содержание документа опирается на принципы и условия обработки (статьи 5 и 6 152-ФЗ) и на рекомендации Роскомнадзора по составлению такого документа. Это не формальность: политика должна соответствовать тому, что компания реально делает с данными.

Кому и когда нужна

Политика нужна любому оператору — компании, ИП, владельцу сайта — и разрабатывается до начала обработки, то есть до приёма первого работника или сбора первой заявки. Отдельной утверждённой формы нет, но есть обязательный состав сведений.

Что должно быть внутри

  • сведения об операторе (наименование, контакты);
  • правовые основания и цели обработки персональных данных;
  • категории субъектов (клиенты, работники, контрагенты) и состав обрабатываемых данных;
  • способы обработки и факт использования или неиспользования средств автоматизации;
  • сроки обработки и хранения, порядок уничтожения или обезличивания по достижении цели;
  • порядок реализации прав субъектов (как направить запрос, отозвать согласие, потребовать удаления);
  • сведения о передаче данных, поручениях обработчикам и трансграничной передаче, если они есть;
  • применяемые меры защиты;
  • порядок актуализации документа.

Где публиковать

Документ размещается так, чтобы доступ был неограниченным: на сайте со ссылкой с каждой страницы, где собираются данные (формы, корзина, регистрация, виджет записи), а при наличии офиса — на информационном стенде. Если на политику нельзя попасть со страницы сбора данных, требование считается невыполненным.

Как разработать: по шагам

  1. Инвентаризация. Опишите, какие данные, у кого и зачем вы собираете, где они хранятся и кому передаются. Без этого политика будет оторвана от реальности.
  2. Цели и основания. Для каждой цели определите правовое основание (договор, согласие, требование закона) — не смешивайте их.
  3. Сроки и права. Зафиксируйте сроки хранения и понятный порядок работы с запросами субъектов.
  4. Утверждение. Утвердите политику приказом руководителя, с датой и версией.
  5. Публикация. Разместите на сайте и стенде, проставьте ссылки в формах.
  6. Поддержание. Обновляйте при изменении процессов, появлении новых систем или норм закона.

Подводные камни и характерные нарушения

  • Чужой шаблон. Самая частая ошибка — скопированная политика, не отражающая реальные процессы. Роскомнадзор сверяет документ с фактической обработкой, и расхождения — это нарушение.
  • Документ есть, но недоступен. Политика лежит во внутренней папке или на неё нет ссылки со страниц сбора данных.
  • Устаревшая версия. Появились новые цели, системы или поручения, а в политике их нет; встречаются ссылки на отменённые нормы.
  • Смешение с согласием. Политику путают с согласием субъекта — это разные документы, см. статью про виды согласий.
  • Пробелы в составе. Не указаны сроки хранения, порядок реализации прав субъектов, передача данных и поручения обработчикам, хотя по факту они есть.
  • Реальная обработка шире заявленной. В политике перечислены не все цели и категории данных, которые компания на самом деле собирает.

Чем грозит

Отсутствие политики или необеспечение доступа к ней — отдельный состав по статье 13.11 КоАП, причём в 2025 году штрафы выросли. А поскольку именно политику проверяют в первую очередь (см. проверочный лист Роскомнадзора), формальный или устаревший документ выявляется сразу.

Главное

Хорошая политика — это не скачанный шаблон, а зеркало ваших реальных процессов: цели, основания, сроки, права субъектов, передача данных и меры защиты. Разработать её можно своими силами, начав с инвентаризации обработки. ГрамотаИБ собирает политику под профиль оператора на основе ваших процессов и держит её в актуальном состоянии — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Политика обработки ПДн для сайта на внешнем хранилище Яндекса: передача данных третьим лицам

Разбор на конкретном примере: как сайту, который хранит персональные данные во внешнем облаке Яндекса (Yandex Object Storage, Яндекс Облако), правильно оформить передачу данных. Почему облако — это поручение обработки, а не слив данных на сторону, как закрывается локализация, что отразить в политике, что должно быть в согласии и в договоре поручения с провайдером. С примерами формулировок.

Обезличивание персональных данных: что это, зачем и как сделать

Что такое обезличивание персональных данных по 152-ФЗ и чем оно отличается от удаления и псевдонимизации, зачем оно нужно бизнесу (аналитика и тестирование без согласия, снижение ущерба при утечке, исполнение требования об удалении), какие методы обезличивания признаёт Роскомнадзор и в чём риск обратной идентификации.

Биометрия в фитнес-клубе: вход по лицу или отпечатку — что требует закон

Что обязан сделать фитнес-клуб, если пускает клиентов по отпечатку пальца или распознаванию лица. Пошагово: почему это биометрические персональные данные, зачем отдельное письменное согласие, как биометрия поднимает уровень защищённости до УЗ-3 по ПП-1119, требования 572-ФЗ и ЕБС, документы и меры. И почему многим клубам проще обойтись картой или браслетом.

Персональные данные в салоне красоты и барбершопе: пошаговый алгоритм

Минимальный, но полный алгоритм для салона красоты, барбершопа или студии: как небольшому бизнесу с онлайн-записью и CRM законно работать с персональными данными клиентов. По шагам — от 152-ФЗ и оснований обработки до расчёта уровня защищённости по ПП-1119 (обычно УЗ-4), уведомления Роскомнадзора, документов, мер по приказу ФСТЭК №21 и поручений сервисам записи.