Конструктор политики обработки персональных данных
Политика обработки персональных данных — это внутренний документ организации или онлайн ресурса, который определяет порядок сбора, хранения, использования и защиты персональных данных субъектов. Документ применяется в деятельности любой компании, которая взаимодействует с физическими лицами: посетителями сайта, клиентами, работниками. Политика необходима для соблюдения требований Федерального закона № 152-ФЗ «О персональных данных» и подзаконных актов Роскомнадзора. Она обязательна для всех операторов, осуществляющих обработку персональных данных, и должна быть размещена на сайте организации. Документ нужен при регистрации компании как оператора персональных данных, при запуске сайта с формами сбора данных, при заключении договоров с клиентами и при приёме на работу сотрудников. Политика регламентирует права субъектов, меры безопасности, сроки хранения и порядок уничтожения данных, а также ответственность оператора. Её отсутствие может повлечь административную ответственность по ст. 13.11 КоАП РФ.
.. еще- 10 июля 2026 года
- Последнее обновление
- 4.9 / 5
- средняя оценка документа
- 8 001
- человек скачали документ
Пример документа · Выберите опции и нажмите Создать документ
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
01 / 12 · ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Какие дополнительные определения включить в политику?
1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
1.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.2. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.3. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.4. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
1.5. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.6. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.7. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.8. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.9. Согласие субъекта персональных данных — свободное, волеизъявление конкретного, информированного и однозначного субъекта персональных данных, посредством которого он дает разрешение на обработку своих персональных данных.
Иные термины, используемые в настоящей Политике, применяются в значениях, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации в области персональных данных.
В документе
Раздел должен содержать определения ключевых терминов, используемых в политике, со ссылкой на ст. 3 152-ФЗ.
Раздел
Определения должны включать: персональные данные, оператор, обработка ПДн, автоматизированная обработка, распространение ПДн, блокирование, уничтожение ПДн, трансграничная передача, согласие субъекта ПДн.
Риски если отсутствует
Возможна неоднозначная трактовка положений политики, что затруднит её применение и контроль.
02 / 12 · ПРИНЦИПЫ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обрабатываются ли персональные данные для исполнения договора?
2. ПРИНЦИПЫ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных осуществляется Оператором на законной и справедливой основе, в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), Гражданским кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, а также иными нормативными правовыми актами Российской Федерации в области персональных данных.
2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.3. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
2.4. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных.
2.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.6. Оператор обеспечивает конфиденциальность персональных данных и принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2.7. Правовыми основаниями обработки персональных данных являются: Конституция Российской Федерации; 152-ФЗ; иные федеральные законы и подзаконные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора; уставные документы Оператора; договоры, заключаемые между Оператором и субъектами персональных данных; согласие субъекта персональных данных на обработку его персональных данных (в случаях, предусмотренных 152-ФЗ).
2.8. Обработка персональных данных необходима для заключения и исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
2.9. Обработка персональных данных может осуществляться на основании законных интересов Оператора, за исключением случаев, когда такие интересы нарушают права и свободы субъекта персональных данных. В указанных случаях Оператор обеспечивает соразмерность обработки заявленным целям и информирует субъекта о такой обработке.
2.10. Перечень действий с персональными данными, способы обработки, сроки обработки и хранения, порядок уничтожения персональных данных, а также иные условия обработки определяются настоящей Политикой и внутренними документами Оператора, принятыми в соответствии с требованиями 152-ФЗ.
В документе
Раздел должен установить законные основания и принципы обработки ПДн со ссылками на ст. 5, 6 152-ФЗ.
Раздел
Перечислить принципы обработки (законность, справедливость, ограничение целей, минимизация, точность, сроки хранения, конфиденциальность) и указать правовые основания.
Риски если отсутствует
Обработка ПДн может быть признана незаконной при отсутствии указания на правовое основание.
03 / 12 · ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Какие цели обработки персональных данных реализуются?
Предусмотрены ли маркетинговые рассылки?
Обрабатываются ли данные сотрудников в рамках трудовых отношений?
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор осуществляет обработку персональных данных в следующих целях:
3.1. Регистрация Пользователя на Сайте, предоставление доступа к личному кабинету, обработка заказов и доставка товаров/оказание услуг, а также осуществление обратной связи и поддержки клиентов. Обрабатываются следующие категории персональных данных: фамилия, имя, отчество, адрес электронной почты, номер телефона, адрес доставки, данные о заказах. Срок обработки — до достижения цели обработки или до отзыва согласия, в зависимости от того, что наступит ранее.
3.2. Направление Пользователю рекламных и информационных материалов (в том числе о новых товарах, услугах, акциях) на адрес электронной почты и/или номер телефона, указанные Пользователем, при условии получения предварительного согласия Пользователя на такие рассылки. Обрабатываются следующие категории персональных данных: адрес электронной почты, номер телефона. Срок обработки — до отзыва согласия на получение рассылок.
3.3. Анализ посещаемости Сайта и поведения Пользователей для улучшения качества работы Сайта и предоставляемых услуг. Обрабатываются следующие категории персональных данных: данные о действиях на Сайте (история посещений, просмотры страниц), IP-адрес, тип браузера, файлы cookie. Срок обработки — до достижения цели обработки или до отзыва согласия.
3.4. Исполнение договора, стороной которого является Пользователь, а также заключение договора по инициативе Пользователя. Обрабатываются следующие категории персональных данных: фамилия, имя, отчество, адрес электронной почты, номер телефона, адрес доставки, данные о заказах. Срок обработки — в течение срока действия договора, а после его прекращения — в течение сроков, установленных законодательством Российской Федерации.
3.5. Настоящая Политика не распространяется на обработку персональных данных в рамках трудовых отношений. Обработка персональных данных работников Оператора осуществляется в соответствии с отдельными локальными нормативными актами.
В документе
Раздел должен определить конкретные цели сбора и обработки ПДн со ссылкой на ст. 5, 7 152-ФЗ.
Раздел
Для каждой цели указать категории обрабатываемых данных и сроки обработки.
Риски если отсутствует
Обработка ПДн без указания целей является нарушением, влекущим штраф по ст. 13.11 КоАП РФ.
04 / 12 · КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Какие категории персональных данных собираются?
4. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператор обрабатывает следующие категории персональных данных субъектов:
- фамилия, имя, отчество;
- адрес электронной почты;
- номер телефона;
- адрес доставки;
- данные о местоположении (при использовании сервисов, предусматривающих такую возможность);
- cookie-файлы и IP-адрес;
- сведения о заказах.
4.2. Биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность) Оператором не обрабатываются.
4.3. Состав обрабатываемых персональных данных определяется в соответствии с целями обработки, указанными в разделе «Цели обработки персональных данных» настоящей Политики.
В документе
Раздел должен конкретизировать состав собираемых данных для информирования субъекта.
Раздел
Перечислить категории ПДн: ФИО, email, телефон, адрес доставки, cookie, IP-адрес, сведения о заказах. Указать, что биометрические данные не обрабатываются.
Риски если отсутствует
Субъект не будет знать, какие именно данные о нём собираются, что нарушает принцип прозрачности.
05 / 12 · ПОРЯДОК ПОЛУЧЕНИЯ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Каким способом получается согласие на обработку персональных данных?
5. ПОРЯДОК ПОЛУЧЕНИЯ СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Согласие субъекта персональных данных на обработку его персональных данных должно быть конкретным, информированным и сознательным, полученным в соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
5.2. Согласие на обработку персональных данных предоставляется субъектом персональных данных добровольно путем проставления отметки в чекбоксе «Я согласен на обработку персональных данных» при регистрации на Сайте или оформлении заказа.
5.3. Перед проставлением отметки субъект персональных данных ознакамливается с текстом настоящей Политики, размещенным на Сайте, что подтверждает его информированность об условиях обработки.
5.4. Согласие считается полученным с момента проставления субъектом отметки в чекбоксе и действует до момента его отзыва в порядке, установленном разделом 10 настоящей Политики.
5.5. Субъект персональных данных вправе в любой момент отозвать свое согласие на обработку персональных данных путем направления письменного уведомления на адрес электронной почты Оператора: .
5.6. В случае отзыва согласия Оператор обязан прекратить обработку персональных данных и уничтожить их в срок, не превышающий 10 (десяти) рабочих дней с даты получения уведомления, если иное не предусмотрено законодательством Российской Федерации.
5.7. Оператор не вправе отказывать субъекту персональных данных в предоставлении услуг в случае отзыва согласия, если обработка персональных данных необходима для исполнения договора, заключенного с субъектом.
В документе
Раздел должен регламентировать процедуру получения согласия субъекта ПДн со ссылкой на ст. 9 152-ФЗ.
Раздел
Описать способы получения согласия, указать на добровольность, информированность, конкретность, а также порядок отзыва согласия.
Риски если отсутствует
Согласие может быть признано недействительным, обработка — незаконной.
06 / 12 · ДЕЙСТВИЯ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Какие дополнительные действия включить в перечень?
6. ДЕЙСТВИЯ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор осуществляет обработку персональных данных субъектов, включающую следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
6.2. Обработка персональных данных может осуществляться как с использованием средств автоматизации, так и без использования таких средств, в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
6.3. Перечень действий по обработке персональных данных соответствует определению обработки персональных данных, установленному статьей 3 Федерального закона № 152-ФЗ.
6.4. Оператор обеспечивает законность и обоснованность каждого из указанных действий, а также соблюдение прав субъектов персональных данных при их выполнении.
В документе
Раздел должен описать все операции, совершаемые с ПДн, со ссылкой на ст. 3 152-ФЗ.
Раздел
Перечислить действия: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Указать способы обработки.
Риски если отсутствует
Неполное описание действий может привести к нарушению прав субъекта.
07 / 12 · ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
Передаются ли персональные данные третьим лицам?
Какие аналитические инструменты используются на сайте?
7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
7.1. Оператор вправе передавать персональные данные субъектов третьим лицам в следующих случаях: с согласия субъекта персональных данных, для исполнения договора, стороной которого является субъект, а также в иных случаях, установленных законодательством Российской Федерации, в том числе в соответствии со статьёй 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
7.2. К числу третьих лиц, которым может осуществляться передача персональных данных, относятся: курьерские службы (для доставки товаров), платёжные системы (для обработки платежей), хостинг-провайдеры (для обеспечения работы сайта), а также аналитический сервис Яндекс.Метрика (для сбора обезличенной статистики посещаемости и поведения пользователей).
7.3. Передача персональных данных указанным третьим лицам осуществляется на условиях конфиденциальности и в объёме, необходимом для достижения целей обработки, предусмотренных настоящей Политикой. Оператор обязуется включать в договоры с третьими лицами положения об обеспечении конфиденциальности персональных данных и их защите от несанкционированного доступа.
7.4. Оператор не передаёт персональные данные субъектов третьим лицам, не указанным в настоящем разделе, за исключением случаев, когда такая передача прямо предусмотрена федеральным законом или требуется для защиты жизни, здоровья и иных жизненно важных интересов субъекта персональных данных.
В документе
Раздел должен регулировать передачу ПДн третьим лицам со ссылкой на ст. 7 152-ФЗ.
Раздел
Указать условия передачи, перечень возможных получателей, обязательство конфиденциальности.
Риски если отсутствует
Несанкционированная передача данных третьим лицам без согласия субъекта является нарушением.
08 / 12 · СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ, ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
Какой основной срок хранения персональных данных установлен?
8. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ, ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Персональные данные обрабатываются и хранятся в течение срока, необходимого для достижения целей обработки, указанных в разделе «Цели обработки персональных данных» настоящей Политики.
8.2. В случае если иное не предусмотрено законодательством Российской Федерации, персональные данные подлежат уничтожению по достижении целей обработки, а также при отзыве субъектом персональных данных согласия на их обработку.
8.3. Персональные данные, обрабатываемые в связи с исполнением договора с субъектом персональных данных, хранятся в течение срока действия такого договора, а после его прекращения — в течение пяти лет, если иное не предусмотрено законодательством Российской Федерации.
8.4. Документы, содержащие персональные данные и подлежащие хранению в соответствии с требованиями бухгалтерского и налогового учета, хранятся в течение сроков, установленных законодательством Российской Федерации, но не менее пяти лет.
8.5. Уничтожение персональных данных осуществляется комиссией, назначаемой приказом Оператора, с составлением акта об уничтожении персональных данных, форма которого утверждается Оператором.
8.6. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор обязан прекратить их обработку и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором или федеральным законом.
8.7. При невозможности уничтожения персональных данных в установленный срок Оператор уведомляет субъекта персональных данных о причинах и сроках уничтожения, за исключением случаев, когда законодательством Российской Федерации предусмотрено иное.
8.8. Порядок уничтожения персональных данных, включая составление акта об уничтожении, определяется Оператором в соответствии с требованиями статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В документе
Раздел должен определить сроки хранения и процедуру уничтожения ПДн со ссылкой на ст. 21 152-ФЗ.
Раздел
Указать сроки хранения: до достижения целей, до отзыва согласия, срок договора, 5 лет для бухгалтерских документов. Описать порядок уничтожения.
Риски если отсутствует
Хранение данных сверх необходимого срока является нарушением, влекущим штраф.
09 / 12 · ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Как субъект может отказаться от маркетинговых рассылок?
9. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, включая сведения о целях, способах, сроках обработки, а также о лицах, имеющих доступ к данным.
9.2. Субъект вправе требовать уточнения (обновления, изменения) своих персональных данных в случае, если они являются неполными, устаревшими, неточными или получены незаконно.
9.3. Субъект вправе требовать блокирования обработки своих персональных данных на период проверки их достоверности или законности обработки.
9.4. Субъект вправе требовать уничтожения своих персональных данных, если они являются избыточными для заявленных целей обработки или если обработка осуществляется с нарушением требований законодательства.
9.5. Субъект вправе отозвать согласие на обработку персональных данных в порядке, предусмотренном разделом «Порядок получения согласия на обработку персональных данных» настоящей Политики.
9.6. Субъект вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
9.7. Для реализации указанных прав субъект направляет Оператору запрос в порядке, установленном разделом «Заключительные положения» настоящей Политики. Оператор обязан рассмотреть запрос и направить ответ в течение 10 (десяти) рабочих дней с момента его получения.
9.8. В случае отказа в удовлетворении запроса субъекта Оператор обязан предоставить мотивированный ответ с указанием причин отказа и ссылкой на нормы Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
9.9. Права субъекта, предусмотренные настоящим разделом, реализуются в соответствии со статьями 14–20 Федерального закона «О персональных данных».
9.10. В каждом письме, направляемом субъекту в рамках маркетинговых рассылок, содержится ссылка для отписки от рассылки, позволяющая субъекту в любое время отказаться от получения таких сообщений.
В документе
Раздел должен информировать субъекта о его правах и порядке их реализации со ссылкой на ст. 14-20 152-ФЗ.
Раздел
Перечислить права: доступ, уточнение, блокирование, уничтожение, отзыв согласия, обжалование. Указать порядок реализации, срок ответа 10 дней.
Риски если отсутствует
Субъект не будет знать о своих правах, что может привести к жалобам в Роскомнадзор.
10 / 12 · МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Назначен ли ответственный за обработку персональных данных?
Разработаны ли внутренние документы по обработке персональных данных?
10. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Оператор (далее — Оператор) в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Постановлением Правительства РФ от 01.11.2012 № 1119 принимает необходимые правовые, организационные и технические меры для защиты персональных данных (далее — ПДн) от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
10.2. Ответственным за организацию обработки ПДн назначен . На указанное лицо возложены обязанности по контролю за соблюдением требований законодательства Российской Федерации в области персональных данных, а также за реализацией принятых мер защиты.
10.3. Оператором утверждены следующие локальные акты, регулирующие обработку ПДн: Положение об обработке персональных данных, Перечень персональных данных, обрабатываемых Оператором, Инструкция по работе с персональными данными. Указанные документы определяют порядок доступа к ПДн, правила их обработки и ответственность работников.
10.4. В целях обеспечения безопасности ПДн при их обработке в информационных системах персональных данных Оператором применяются следующие технические меры защиты: ограничение доступа к ПДн (разграничение прав доступа), шифрование данных при передаче по каналам связи, использование антивирусных средств защиты, а также регулярное обновление программного обеспечения.
10.5. Оператор проводит регулярные проверки состояния защищенности информационных систем персональных данных, включая внутренний аудит и тестирование на проникновение. По результатам проверок принимаются меры по устранению выявленных уязвимостей и совершенствованию системы защиты.
10.6. Все работники Оператора, допущенные к обработке ПДн, проходят обязательное обучение правилам работы с персональными данными и мерам безопасности. Работники под подпись ознакомляются с локальными актами Оператора в области обработки ПДн и обязуются соблюдать конфиденциальность.
10.7. Оператор обеспечивает регистрацию и учет всех действий, совершаемых с ПДн в информационных системах, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение. Срок хранения журналов регистрации составляет не менее 3 лет.
10.8. При наступлении фактов неправомерного доступа к ПДн или их утечки Оператор обязуется в течение 10 рабочих дней уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) и принять меры по минимизации негативных последствий.
В документе
Раздел должен описать меры защиты ПДн от неправомерного доступа и утечек со ссылкой на ст. 19 152-ФЗ и Постановление Правительства № 1119.
Раздел
Перечислить организационные и технические меры: назначение ответственного, ограничение доступа, шифрование, антивирусная защита, регулярные проверки, обучение сотрудников.
Риски если отсутствует
Непринятие мер безопасности увеличивает риск утечки данных и штрафов.
11 / 12 · ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
Осуществляется ли трансграничная передача персональных данных?
11. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Оператор не осуществляет трансграничную передачу персональных данных, то есть передачу персональных данных на территорию иностранных государств, органам власти иностранных государств, иностранным физическим лицам или иностранным юридическим лицам.
11.2. В случае изменения обстоятельств и принятия решения о начале трансграничной передачи персональных данных Оператор обязуется руководствоваться требованиями статьи 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
11.3. При осуществлении трансграничной передачи персональных данных Оператор обеспечивает выполнение следующих условий: наличие правового основания для передачи (согласие субъекта персональных данных, договор, закон); уведомление уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора) о намерении осуществлять трансграничную передачу; обеспечение адекватной защиты прав субъектов персональных данных на территории иностранного государства.
11.4. Перечень иностранных государств, на территорию которых может осуществляться трансграничная передача персональных данных, а также перечень лиц, которым могут передаваться персональные данные, определяется Оператором отдельно и доводится до сведения субъектов персональных данных в порядке, установленном настоящей Политикой.
В документе
Раздел должен регулировать передачу ПДн за границу со ссылкой на ст. 12 152-ФЗ.
Раздел
Указать условия передачи, перечень стран, уведомление Роскомнадзора.
Риски если отсутствует
Несанкционированная трансграничная передача может повлечь блокировку сайта.
12 / 12 · ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Как уведомляются субъекты об изменениях политики?
12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
12.1. Настоящая Политика является общедоступным документом Оператора и подлежит опубликованию на сайте Оператора по адресу: .
12.2. Оператор вправе в одностороннем порядке вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на сайте Оператора, если иное не предусмотрено новой редакцией.
12.3. Субъект персональных данных считается уведомлённым о внесённых изменениях с момента опубликования новой редакции Политики на сайте Оператора.
12.4. Оператор несёт ответственность за нарушение требований законодательства Российской Федерации в области персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Гражданским кодексом Российской Федерации (статьи 150–152.1) и Кодексом Российской Федерации об административных правонарушениях (статья 13.11).
12.5. Все предложения, вопросы и запросы, связанные с обработкой персональных данных, а также требования о прекращении обработки персональных данных могут быть направлены Оператору в письменной форме по адресу: или в электронной форме на адрес электронной почты: .
12.6. Настоящая Политика действует бессрочно до замены её новой редакцией.
В документе
Раздел должен установить порядок изменения политики и контактные данные для обращений со ссылкой на ст. 24 152-ФЗ.
Раздел
Указать порядок одностороннего изменения политики, ответственность оператора, контактную информацию для обращений (email, почтовый адрес).
Риски если отсутствует
Отсутствие порядка изменений может привести к спорам о действии редакции политики.
Вам также понадобятся
- Какая разница между Политикой обработки персональных данных и Политикой конфиденциальности
Эти два документа часто путают, но у них разное назначение:
Политика конфиденциальности — более широкое понятие, включает защиту любой конфиденциальной информации
Политика обработки персональных данных — узкоспециализированный документ именно для персональных данных
В России чаще используется термин "политика обработки персональных данных", так как он более точно отражает суть документа.
- Что такое Политика обработки персональных данных и зачем она нужна?
- Это внутренний документ организации, который определяет порядок сбора, хранения, использования и защиты персональных данных. Он нужен для соблюдения требований Федерального закона № 152-ФЗ и подтверждения законности обработки данных.
- Какие данные считаются персональными в рамках этой политики?
- К персональным данным относятся фамилия, имя, отчество, контактный телефон, адрес электронной почты, паспортные данные, ИНН, СНИЛС, адрес доставки, IP-адрес, а также данные об образовании и трудовая книжка (для сотрудников). Конкретный перечень зависит от категории субъекта (посетитель сайта, клиент или работник).
- Как долго хранятся персональные данные?
- Срок хранения зависит от категории данных: для посетителей сайта — до 1 года после последнего посещения, для клиентов — в течение срока договора и 3 года после его окончания, для сотрудников — до 75 лет для основных кадровых документов.
- Можно ли отозвать согласие на обработку персональных данных?
- Да, субъект вправе отозвать согласие в любой момент, направив заявление оператору. После этого оператор обязан прекратить обработку и уничтожить данные в течение 30 дней, если иное не предусмотрено законом.
- Кому могут быть переданы мои персональные данные?
- Данные могут передаваться третьим лицам только с вашего согласия или на основании закона. Обычно это курьерские службы, платёжные системы, хостинг-провайдеры и бухгалтерские сервисы, которые обязаны соблюдать конфиденциальность.
- Что делать, если я хочу узнать, какие данные обо мне хранит оператор?
- Вы имеете право направить запрос оператору в письменной форме или в электронном виде. Оператор обязан предоставить информацию об обработке ваших данных в течение 30 дней.
Нейросеть обновит документ под ваш случай.
Обычно до 1 минуты.
Обычно это занимает до 1 минуты. Документ обновляется в фоновом режиме — вы можете продолжить настройку. Когда будет готов, покажем уведомление.
Готово!
Документ обновлён с учётом ваших параметров.
Не получилось обновить
Что-то пошло не так. Обновите страницу и попробуйте ещё раз — обычно это помогает.