Политика обработки персональных данных: как составить и где разместить

Вот реальная ситуация: интернет-магазин из Новосибирска получил штраф 60 000 рублей. Не за утечку данных. Не за спам-рассылку без согласия. За то, что на сайте не было политики обработки персональных данных. Документ, на подготовку которого уходит один рабочий день, обошёлся компании в сумму месячной зарплаты менеджера.

Политика обработки ПДн — самый проверяемый документ при любом взаимодействии с Роскомнадзором. Мы часто видим, как компании тратят сотни тысяч на защиту информационных систем, но забывают про базовый публичный документ, который обязан быть на сайте. Давайте разберёмся, как составить его правильно.

Почему без политики нельзя: требования закона

Статья 18.1 Федерального закона № 152-ФЗ обязывает каждого оператора персональных данных опубликовать документ, определяющий его политику в отношении обработки ПДн. Каждого — без исключений. Если у вас есть сайт с формой обратной связи, вы уже оператор.

Штрафы по ч. 3 ст. 13.11 КоАП за отсутствие опубликованной политики:

Из нашей практики: это самое частое нарушение, которое фиксирует Роскомнадзор при проверках. Проверяющему даже не нужно приезжать к вам в офис — достаточно открыть ваш сайт и не найти ссылку на политику. Проверка занимает буквально тридцать секунд.

Что обязательно должно быть в политике

Закон не даёт жёсткий шаблон, но определяет минимальный набор информации. Пропустите хотя бы один пункт — и документ могут признать несоответствующим требованиям. Вот что нужно включить:

1. Правовые основания обработки

Укажите конкретные законы, на основании которых вы обрабатываете данные. Трудовой кодекс — для данных сотрудников. Гражданский кодекс и закон о защите прав потребителей — для клиентов. 152-ФЗ — для всех. Фраза «в соответствии с действующим законодательством» без конкретики — это слабо, хотя формально допустимо.

2. Цели обработки

Каждая цель должна быть конкретной. Не «для улучшения качества обслуживания», а «для исполнения договора купли-продажи», «для направления информационных рассылок с согласия субъекта», «для ведения кадрового учёта». Размытые формулировки — первое, к чему придирается РКН.

3. Категории субъектов

Кого именно вы обрабатываете: сотрудники, клиенты, посетители сайта, контрагенты, кандидаты на вакансии. Перечислите все группы.

4. Состав персональных данных

Для каждой категории субъектов — какие именно данные вы собираете. Для сотрудников это может быть ФИО, паспортные данные, ИНН, СНИЛС, адрес. Для посетителей сайта — имя, телефон, email, cookie-файлы. Не забудьте про данные, которые собираются автоматически: IP-адрес, сведения из cookie и систем аналитики.

5. Действия с данными

Сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, удаление. Перечислите те операции, которые вы реально выполняете.

6. Порядок хранения и защиты

Сроки хранения данных, меры безопасности (организационные и технические), ограничение доступа. Не нужно расписывать модель угроз — достаточно общих принципов.

7. Условия прекращения обработки и уничтожения

Когда и как вы удаляете данные: по достижении цели, по истечении срока, по запросу субъекта. Укажите сроки уничтожения — закон даёт 30 дней после достижения цели обработки.

8. Сведения о трансграничной передаче

Если передаёте данные за рубеж — в каком объёме, в какие страны, на каких основаниях. Используете зарубежные сервисы (Google Analytics, Mailchimp, облачную CRM)? Это трансграничная передача. Подробнее — в нашей статье о трансграничной передаче ПДн.

9. Контактная информация ответственного лица

ФИО или должность лица, ответственного за обработку ПДн, и способ связи с ним. Обычно это email и телефон.

Где размещать политику на сайте

Требование закона простое: документ должен быть доступен неограниченному кругу лиц. На практике это означает:

• Ссылка в подвале (footer) каждой страницы — стандартное и правильное решение
• Ссылка должна вести на HTML-страницу, а не на скачивание PDF
• Текст должен быть доступен без регистрации и авторизации

Мы часто видим ошибку: политику размещают в виде PDF-файла без прямой ссылки с главной страницы. Технически документ есть, но Роскомнадзор может счесть его «не опубликованным в установленном порядке», потому что обычный пользователь его не найдёт.

Совет: проверьте свой сайт прямо сейчас. Откройте главную, прокрутите вниз. Видите ссылку на политику? Она ведёт на читаемую страницу, а не на 404? Если нет — пройдите наш экспресс-аудит, чтобы понять масштаб проблемы.

Политика обработки ПДн vs. политика конфиденциальности

Эти два документа часто путают. Кратко:

• Политика обработки ПДн — требование 152-ФЗ. Описывает, как организация-оператор работает с персональными данными. Обязательный документ.
• Политика конфиденциальности (Privacy Policy) — пришла из западной практики. Описывает, как сайт обрабатывает данные пользователей, включая cookie и аналитику. Юридически в России не обязательна как отдельный документ.

В российской практике эти документы часто объединяют в один. Это допустимо, если объединённый документ содержит всё, что требует 152-ФЗ. Главное — не подменять одно другим: короткая «политика конфиденциальности» из трёх абзацев про cookie не заменит полноценную политику обработки ПДн.

Если на сайте используются cookie и системы аналитики (Яндекс.Метрика, Google Analytics), рекомендуем также прочитать нашу статью про cookie-политику для сайта.

Пять ошибок, которые мы видим постоянно

1. Шаблон из интернета без адаптации. Скачали чужую политику, заменили название компании — и забыли. В итоге в документе упоминаются цели обработки, которых у вас нет, и отсутствуют те, что есть. РКН это видит моментально.

2. Устаревшие данные. Компания сменила юрлицо, адрес, ответственного — а в политике всё по-старому. Документ должен быть актуальным на момент проверки.

3. Не указаны cookie и аналитика. На сайте стоит Яндекс.Метрика с вебвизором, а в политике про автоматический сбор данных — ни слова. Это несоответствие фактической обработки заявленной.

4. Нет конкретных сроков хранения. «Данные хранятся в течение необходимого срока» — это не срок. Укажите: данные клиентов — 3 года после последней сделки, резюме кандидатов — 1 год, бухгалтерские документы с ПДн — 5 лет.

5. Забыли про сотрудников. Политика описывает только клиентов сайта, а про обработку данных работников — тишина. Но сотрудники тоже субъекты ПДн, и их данные вы обрабатываете в гораздо большем объёме.

Как сделать политику действительно полезной

Политика — это не только документ для проверяющих. Это ваша публичная позиция по работе с данными. Несколько рекомендаций:

• Пишите понятным языком. Закон не требует канцелярита. Чем проще документ для чтения, тем лучше — и для клиентов, и для проверяющих.
• Структурируйте. Используйте заголовки, нумерованные списки, таблицы. Стена текста из 15 страниц без разбивки никого не радует.
• Актуализируйте регулярно. Подключили новый сервис рассылок? Обновите политику. Поменяли ответственного за ПДн? Обновите политику. Как минимум — ежегодный пересмотр.
• Укажите дату последнего обновления. Это показывает и пользователям, и РКН, что документ живой.

Что дальше

Политика обработки ПДн — один из 12 обязательных документов по 152-ФЗ. Если у вас нет полного комплекта, начните с политики — это самый заметный и самый проверяемый документ.

Скачать шаблоны документов можно в разделе шаблоны. А если нужна помощь в адаптации под вашу компанию — мы подготовим полный комплект документов с учётом специфики бизнеса.

---

Не уверены, соответствует ли ваша текущая политика требованиям закона? Пройдите экспресс-аудит или свяжитесь с нами — проверим и подскажем, что нужно доработать.