Конструктор политики обработки персональных данных

Политика обработки персональных данных — это внутренний документ организации или онлайн ресурса, который определяет порядок сбора, хранения, использования и защиты персональных данных субъектов. Документ применяется в деятельности любой компании, которая взаимодействует с физическими лицами: посетителями сайта, клиентами, работниками. Политика необходима для соблюдения требований Федерального закона № 152-ФЗ «О персональных данных» и подзаконных актов Роскомнадзора. Она обязательна для всех операторов, осуществляющих обработку персональных данных, и должна быть размещена на сайте организации. Документ нужен при регистрации компании как оператора персональных данных, при запуске сайта с формами сбора данных, при заключении договоров с клиентами и при приёме на работу сотрудников. Политика регламентирует права субъектов, меры безопасности, сроки хранения и порядок уничтожения данных, а также ответственность оператора. Её отсутствие может повлечь административную ответственность по ст. 13.11 КоАП РФ.

.. еще
152-ФЗ Роскомнадзор Трансграничная передача Согласие на обработку ПДн
10 июля 2026 года
Последнее обновление
4.9 / 5
средняя оценка документа
8 001
человек скачали документ

Как составить документ

1. Выберите условия

Выберите условия в конструкторе, которые соответствуют вашему случаю

2. Заполните поля

Заполните поля прямо в конструкторе или после скачивания

3. Скачайте документ

Документ доступен для скачивания в удобных форматах DOC и PDF

Пример документа · Выберите опции и нажмите Создать документ

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

01 / 12 · ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Какие дополнительные определения включить в политику?

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

1.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.2. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.4. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

1.5. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.6. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.7. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.8. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.9. Согласие субъекта персональных данных — свободное, волеизъявление конкретного, информированного и однозначного субъекта персональных данных, посредством которого он дает разрешение на обработку своих персональных данных.

Иные термины, используемые в настоящей Политике, применяются в значениях, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации в области персональных данных.

В документе

Раздел должен содержать определения ключевых терминов, используемых в политике, со ссылкой на ст. 3 152-ФЗ.

Раздел

Риски если отсутствует

Возможна неоднозначная трактовка положений политики, что затруднит её применение и контроль.

02 / 12 · ПРИНЦИПЫ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обрабатываются ли персональные данные для исполнения договора?

03 / 12 · ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Какие цели обработки персональных данных реализуются?

Предусмотрены ли маркетинговые рассылки?

Обрабатываются ли данные сотрудников в рамках трудовых отношений?

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Оператор осуществляет обработку персональных данных в следующих целях:

3.1. Регистрация Пользователя на Сайте, предоставление доступа к личному кабинету, обработка заказов и доставка товаров/оказание услуг, а также осуществление обратной связи и поддержки клиентов. Обрабатываются следующие категории персональных данных: фамилия, имя, отчество, адрес электронной почты, номер телефона, адрес доставки, данные о заказах. Срок обработки — до достижения цели обработки или до отзыва согласия, в зависимости от того, что наступит ранее.

3.2. Направление Пользователю рекламных и информационных материалов (в том числе о новых товарах, услугах, акциях) на адрес электронной почты и/или номер телефона, указанные Пользователем, при условии получения предварительного согласия Пользователя на такие рассылки. Обрабатываются следующие категории персональных данных: адрес электронной почты, номер телефона. Срок обработки — до отзыва согласия на получение рассылок.

3.3. Анализ посещаемости Сайта и поведения Пользователей для улучшения качества работы Сайта и предоставляемых услуг. Обрабатываются следующие категории персональных данных: данные о действиях на Сайте (история посещений, просмотры страниц), IP-адрес, тип браузера, файлы cookie. Срок обработки — до достижения цели обработки или до отзыва согласия.

3.4. Исполнение договора, стороной которого является Пользователь, а также заключение договора по инициативе Пользователя. Обрабатываются следующие категории персональных данных: фамилия, имя, отчество, адрес электронной почты, номер телефона, адрес доставки, данные о заказах. Срок обработки — в течение срока действия договора, а после его прекращения — в течение сроков, установленных законодательством Российской Федерации.

3.5. Настоящая Политика не распространяется на обработку персональных данных в рамках трудовых отношений. Обработка персональных данных работников Оператора осуществляется в соответствии с отдельными локальными нормативными актами.

В документе

Раздел должен определить конкретные цели сбора и обработки ПДн со ссылкой на ст. 5, 7 152-ФЗ.

Раздел

Риски если отсутствует

Обработка ПДн без указания целей является нарушением, влекущим штраф по ст. 13.11 КоАП РФ.

04 / 12 · КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Какие категории персональных данных собираются?

4. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор обрабатывает следующие категории персональных данных субъектов:

  • фамилия, имя, отчество;
  • адрес электронной почты;
  • номер телефона;
  • адрес доставки;
  • данные о местоположении (при использовании сервисов, предусматривающих такую возможность);
  • cookie-файлы и IP-адрес;
  • сведения о заказах.

4.2. Биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность) Оператором не обрабатываются.

4.3. Состав обрабатываемых персональных данных определяется в соответствии с целями обработки, указанными в разделе «Цели обработки персональных данных» настоящей Политики.

В документе

Раздел должен конкретизировать состав собираемых данных для информирования субъекта.

Раздел

Риски если отсутствует

Субъект не будет знать, какие именно данные о нём собираются, что нарушает принцип прозрачности.

05 / 12 · ПОРЯДОК ПОЛУЧЕНИЯ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Каким способом получается согласие на обработку персональных данных?

06 / 12 · ДЕЙСТВИЯ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Какие дополнительные действия включить в перечень?

6. ДЕЙСТВИЯ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Оператор осуществляет обработку персональных данных субъектов, включающую следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

6.2. Обработка персональных данных может осуществляться как с использованием средств автоматизации, так и без использования таких средств, в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

6.3. Перечень действий по обработке персональных данных соответствует определению обработки персональных данных, установленному статьей 3 Федерального закона № 152-ФЗ.

6.4. Оператор обеспечивает законность и обоснованность каждого из указанных действий, а также соблюдение прав субъектов персональных данных при их выполнении.

В документе

Раздел должен описать все операции, совершаемые с ПДн, со ссылкой на ст. 3 152-ФЗ.

Раздел

Риски если отсутствует

Неполное описание действий может привести к нарушению прав субъекта.

07 / 12 · ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

Передаются ли персональные данные третьим лицам?

Какие аналитические инструменты используются на сайте?

7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

7.1. Оператор вправе передавать персональные данные субъектов третьим лицам в следующих случаях: с согласия субъекта персональных данных, для исполнения договора, стороной которого является субъект, а также в иных случаях, установленных законодательством Российской Федерации, в том числе в соответствии со статьёй 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

7.2. К числу третьих лиц, которым может осуществляться передача персональных данных, относятся: курьерские службы (для доставки товаров), платёжные системы (для обработки платежей), хостинг-провайдеры (для обеспечения работы сайта), а также аналитический сервис Яндекс.Метрика (для сбора обезличенной статистики посещаемости и поведения пользователей).

7.3. Передача персональных данных указанным третьим лицам осуществляется на условиях конфиденциальности и в объёме, необходимом для достижения целей обработки, предусмотренных настоящей Политикой. Оператор обязуется включать в договоры с третьими лицами положения об обеспечении конфиденциальности персональных данных и их защите от несанкционированного доступа.

7.4. Оператор не передаёт персональные данные субъектов третьим лицам, не указанным в настоящем разделе, за исключением случаев, когда такая передача прямо предусмотрена федеральным законом или требуется для защиты жизни, здоровья и иных жизненно важных интересов субъекта персональных данных.

В документе

Раздел должен регулировать передачу ПДн третьим лицам со ссылкой на ст. 7 152-ФЗ.

Раздел

Риски если отсутствует

Несанкционированная передача данных третьим лицам без согласия субъекта является нарушением.

08 / 12 · СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ, ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Какой основной срок хранения персональных данных установлен?

8. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ, ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Персональные данные обрабатываются и хранятся в течение срока, необходимого для достижения целей обработки, указанных в разделе «Цели обработки персональных данных» настоящей Политики.

8.2. В случае если иное не предусмотрено законодательством Российской Федерации, персональные данные подлежат уничтожению по достижении целей обработки, а также при отзыве субъектом персональных данных согласия на их обработку.

8.3. Персональные данные, обрабатываемые в связи с исполнением договора с субъектом персональных данных, хранятся в течение срока действия такого договора, а после его прекращения — в течение пяти лет, если иное не предусмотрено законодательством Российской Федерации.

8.4. Документы, содержащие персональные данные и подлежащие хранению в соответствии с требованиями бухгалтерского и налогового учета, хранятся в течение сроков, установленных законодательством Российской Федерации, но не менее пяти лет.

8.5. Уничтожение персональных данных осуществляется комиссией, назначаемой приказом Оператора, с составлением акта об уничтожении персональных данных, форма которого утверждается Оператором.

8.6. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор обязан прекратить их обработку и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором или федеральным законом.

8.7. При невозможности уничтожения персональных данных в установленный срок Оператор уведомляет субъекта персональных данных о причинах и сроках уничтожения, за исключением случаев, когда законодательством Российской Федерации предусмотрено иное.

8.8. Порядок уничтожения персональных данных, включая составление акта об уничтожении, определяется Оператором в соответствии с требованиями статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

В документе

Раздел должен определить сроки хранения и процедуру уничтожения ПДн со ссылкой на ст. 21 152-ФЗ.

Раздел

Риски если отсутствует

Хранение данных сверх необходимого срока является нарушением, влекущим штраф.

09 / 12 · ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

Как субъект может отказаться от маркетинговых рассылок?

9. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, включая сведения о целях, способах, сроках обработки, а также о лицах, имеющих доступ к данным.

9.2. Субъект вправе требовать уточнения (обновления, изменения) своих персональных данных в случае, если они являются неполными, устаревшими, неточными или получены незаконно.

9.3. Субъект вправе требовать блокирования обработки своих персональных данных на период проверки их достоверности или законности обработки.

9.4. Субъект вправе требовать уничтожения своих персональных данных, если они являются избыточными для заявленных целей обработки или если обработка осуществляется с нарушением требований законодательства.

9.5. Субъект вправе отозвать согласие на обработку персональных данных в порядке, предусмотренном разделом «Порядок получения согласия на обработку персональных данных» настоящей Политики.

9.6. Субъект вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.

9.7. Для реализации указанных прав субъект направляет Оператору запрос в порядке, установленном разделом «Заключительные положения» настоящей Политики. Оператор обязан рассмотреть запрос и направить ответ в течение 10 (десяти) рабочих дней с момента его получения.

9.8. В случае отказа в удовлетворении запроса субъекта Оператор обязан предоставить мотивированный ответ с указанием причин отказа и ссылкой на нормы Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

9.9. Права субъекта, предусмотренные настоящим разделом, реализуются в соответствии со статьями 14–20 Федерального закона «О персональных данных».

9.10. В каждом письме, направляемом субъекту в рамках маркетинговых рассылок, содержится ссылка для отписки от рассылки, позволяющая субъекту в любое время отказаться от получения таких сообщений.

В документе

Раздел должен информировать субъекта о его правах и порядке их реализации со ссылкой на ст. 14-20 152-ФЗ.

Раздел

Риски если отсутствует

Субъект не будет знать о своих правах, что может привести к жалобам в Роскомнадзор.

10 / 12 · МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Назначен ли ответственный за обработку персональных данных?

Разработаны ли внутренние документы по обработке персональных данных?

10. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Оператор (далее — Оператор) в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Постановлением Правительства РФ от 01.11.2012 № 1119 принимает необходимые правовые, организационные и технические меры для защиты персональных данных (далее — ПДн) от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

10.2. Ответственным за организацию обработки ПДн назначен . На указанное лицо возложены обязанности по контролю за соблюдением требований законодательства Российской Федерации в области персональных данных, а также за реализацией принятых мер защиты.

10.3. Оператором утверждены следующие локальные акты, регулирующие обработку ПДн: Положение об обработке персональных данных, Перечень персональных данных, обрабатываемых Оператором, Инструкция по работе с персональными данными. Указанные документы определяют порядок доступа к ПДн, правила их обработки и ответственность работников.

10.4. В целях обеспечения безопасности ПДн при их обработке в информационных системах персональных данных Оператором применяются следующие технические меры защиты: ограничение доступа к ПДн (разграничение прав доступа), шифрование данных при передаче по каналам связи, использование антивирусных средств защиты, а также регулярное обновление программного обеспечения.

10.5. Оператор проводит регулярные проверки состояния защищенности информационных систем персональных данных, включая внутренний аудит и тестирование на проникновение. По результатам проверок принимаются меры по устранению выявленных уязвимостей и совершенствованию системы защиты.

10.6. Все работники Оператора, допущенные к обработке ПДн, проходят обязательное обучение правилам работы с персональными данными и мерам безопасности. Работники под подпись ознакомляются с локальными актами Оператора в области обработки ПДн и обязуются соблюдать конфиденциальность.

10.7. Оператор обеспечивает регистрацию и учет всех действий, совершаемых с ПДн в информационных системах, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение. Срок хранения журналов регистрации составляет не менее 3 лет.

10.8. При наступлении фактов неправомерного доступа к ПДн или их утечки Оператор обязуется в течение 10 рабочих дней уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) и принять меры по минимизации негативных последствий.

В документе

Раздел должен описать меры защиты ПДн от неправомерного доступа и утечек со ссылкой на ст. 19 152-ФЗ и Постановление Правительства № 1119.

Раздел

Риски если отсутствует

Непринятие мер безопасности увеличивает риск утечки данных и штрафов.

11 / 12 · ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

Осуществляется ли трансграничная передача персональных данных?

11. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Оператор не осуществляет трансграничную передачу персональных данных, то есть передачу персональных данных на территорию иностранных государств, органам власти иностранных государств, иностранным физическим лицам или иностранным юридическим лицам.

11.2. В случае изменения обстоятельств и принятия решения о начале трансграничной передачи персональных данных Оператор обязуется руководствоваться требованиями статьи 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

11.3. При осуществлении трансграничной передачи персональных данных Оператор обеспечивает выполнение следующих условий: наличие правового основания для передачи (согласие субъекта персональных данных, договор, закон); уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора) о намерении осуществлять трансграничную передачу; обеспечение адекватной защиты прав субъектов персональных данных на территории иностранного государства.

11.4. Перечень иностранных государств, на территорию которых может осуществляться трансграничная передача персональных данных, а также перечень лиц, которым могут передаваться персональные данные, определяется Оператором отдельно и доводится до сведения субъектов персональных данных в порядке, установленном настоящей Политикой.

В документе

Раздел должен регулировать передачу ПДн за границу со ссылкой на ст. 12 152-ФЗ.

Раздел

Риски если отсутствует

Несанкционированная трансграничная передача может повлечь блокировку сайта.

12 / 12 · ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Как уведомляются субъекты об изменениях политики?

12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

12.1. Настоящая Политика является общедоступным документом Оператора и подлежит опубликованию на сайте Оператора по адресу: .

12.2. Оператор вправе в одностороннем порядке вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на сайте Оператора, если иное не предусмотрено новой редакцией.

12.3. Субъект персональных данных считается уведомлённым о внесённых изменениях с момента опубликования новой редакции Политики на сайте Оператора.

12.4. Оператор несёт ответственность за нарушение требований законодательства Российской Федерации в области персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Гражданским кодексом Российской Федерации (статьи 150–152.1) и Кодексом Российской Федерации об административных правонарушениях (статья 13.11).

12.5. Все предложения, вопросы и запросы, связанные с обработкой персональных данных, а также требования о прекращении обработки персональных данных могут быть направлены Оператору в письменной форме по адресу: или в электронной форме на адрес электронной почты: .

12.6. Настоящая Политика действует бессрочно до замены её новой редакцией.

В документе

Раздел должен установить порядок изменения политики и контактные данные для обращений со ссылкой на ст. 24 152-ФЗ.

Раздел

Риски если отсутствует

Отсутствие порядка изменений может привести к спорам о действии редакции политики.

Какая разница между Политикой обработки персональных данных и Политикой конфиденциальности

Эти два документа часто путают, но у них разное назначение:

  • Политика конфиденциальности — более широкое понятие, включает защиту любой конфиденциальной информации

  • Политика обработки персональных данных — узкоспециализированный документ именно для персональных данных

В России чаще используется термин "политика обработки персональных данных", так как он более точно отражает суть документа.

Что такое Политика обработки персональных данных и зачем она нужна?
Это внутренний документ организации, который определяет порядок сбора, хранения, использования и защиты персональных данных. Он нужен для соблюдения требований Федерального закона № 152-ФЗ и подтверждения законности обработки данных.
Какие данные считаются персональными в рамках этой политики?
К персональным данным относятся фамилия, имя, отчество, контактный телефон, адрес электронной почты, паспортные данные, ИНН, СНИЛС, адрес доставки, IP-адрес, а также данные об образовании и трудовая книжка (для сотрудников). Конкретный перечень зависит от категории субъекта (посетитель сайта, клиент или работник).
Как долго хранятся персональные данные?
Срок хранения зависит от категории данных: для посетителей сайта — до 1 года после последнего посещения, для клиентов — в течение срока договора и 3 года после его окончания, для сотрудников — до 75 лет для основных кадровых документов.
Можно ли отозвать согласие на обработку персональных данных?
Да, субъект вправе отозвать согласие в любой момент, направив заявление оператору. После этого оператор обязан прекратить обработку и уничтожить данные в течение 30 дней, если иное не предусмотрено законом.
Кому могут быть переданы мои персональные данные?
Данные могут передаваться третьим лицам только с вашего согласия или на основании закона. Обычно это курьерские службы, платёжные системы, хостинг-провайдеры и бухгалтерские сервисы, которые обязаны соблюдать конфиденциальность.
Что делать, если я хочу узнать, какие данные обо мне хранит оператор?
Вы имеете право направить запрос оператору в письменной форме или в электронном виде. Оператор обязан предоставить информацию об обработке ваших данных в течение 30 дней.
SurferDoc
Генерируем документ ...

Нейросеть обновит документ под ваш случай.
Обычно до 1 минуты.

SurferDoc
Думаю ...

вы в очереди

Обычно это занимает до 1 минуты. Документ обновляется в фоновом режиме — вы можете продолжить настройку. Когда будет готов, покажем уведомление.

SurferDoc

Готово!

Документ обновлён с учётом ваших параметров.

Не получилось обновить

Что-то пошло не так. Обновите страницу и попробуйте ещё раз — обычно это помогает.