← Вернуться в базу знаний

Политика обработки персональных данных: что это, зачем нужна и как составить

Разбираем, что такое политика обработки персональных данных, кому она нужна, что в ней должно быть и как подготовить документ под требования 152-ФЗ.

Бесплатная экспресс-проверка Пакеты документов Консультация

Политика обработки персональных данных, это один из базовых документов по 152-ФЗ. Именно по ней пользователь, сотрудник, клиент, кандидат или проверяющий понимает, как организация работает с персональными данными, какие сведения собирает, зачем это делает и какие права есть у субъекта данных.


На практике вопрос «нужна ли политика обработки персональных данных» давно не спорный. Если вы являетесь оператором и обрабатываете ПДн, документ обычно нужен. Но проблема в другом: многие компании размещают формальную политику, которая не совпадает с реальными процессами.

Что такое политика обработки персональных данных

Это публичный документ, в котором оператор описывает общие правила обработки персональных данных. В нём обычно фиксируют:

  • сведения об операторе
  • категории данных
  • цели обработки
  • правовые основания
  • порядок и условия обработки
  • меры защиты
  • права субъектов данных
  • способы связи с оператором

То есть политика, это не просто «текст для сайта», а отражение вашей модели обработки ПДн.

Кому нужна политика

Политика нужна тем, кто обрабатывает персональные данные. На практике это:

  • компании и ИП с сайтом
  • работодатели
  • интернет-магазины
  • сервисные компании
  • образовательные проекты
  • онлайн-сервисы и SaaS
  • бизнесы с CRM и клиентской базой

Если вы собираете данные через сайт, формы, договоры, личные кабинеты, резюме, заявки или кадровые документы, политика почти наверняка нужна.

Что должно быть в политике

Ниже логика, без которой документ обычно выглядит слабым.

1. Кто оператор

Нужно чётко указать наименование компании или ИП, контактные данные и сведения, по которым субъект может идентифицировать оператора.

2. Какие данные собираются

Важно описать не абстрактно «персональные данные», а реальные категории сведений, которые вы собираете от клиентов, сотрудников, соискателей, посетителей сайта и других субъектов.

3. Для каких целей данные обрабатываются

Это один из самых частых провалов. Цели должны быть не шаблонными, а связанными с реальной деятельностью компании.

4. На каких основаниях идёт обработка

Нужно показать, почему обработка законна: согласие, договор, требования закона, трудовые отношения и так далее.

5. Как данные хранятся, передаются и защищаются

Если в документе нет логики обработки, хранения, передачи третьим лицам и мер безопасности, политика выглядит неполной.

6. Какие права есть у субъекта

Субъект должен понимать, как запросить сведения, изменить данные, ограничить их обработку или отозвать согласие, если применимо.

Чем политика отличается от согласия

Это очень частый вопрос.

**Политика** описывает общие правила обработки данных оператором. **Согласие** фиксирует волеизъявление конкретного субъекта в конкретной ситуации.

То есть политика не заменяет согласие, а согласие не заменяет политику. Обычно эти документы работают вместе.

Политика для сайта и общая политика компании, это одно и то же?

Иногда да, иногда нет. Всё зависит от структуры бизнеса и способа публикации документов.

Если сайт собирает данные через формы, политика должна учитывать именно сайт, его цели обработки, интеграции, формы, cookie и аналитику. Если общий документ этого не отражает, он может не закрывать риски сайта.

Самые частые ошибки в политике

Ошибка 1. Политика скачана как шаблон и не адаптирована

В документе написано одно, а на сайте и в CRM компания делает другое.

Ошибка 2. Нет конкретных целей обработки

Фразы вроде «для осуществления деятельности компании» слишком размыты и не помогают понять реальную обработку.

Ошибка 3. Не учтён сайт

Формы обратной связи, заявки, аналитика, чаты и cookie часто вообще не отражены в документе.

Ошибка 4. Не описаны категории субъектов

Клиенты, сотрудники, соискатели и посетители сайта могут иметь разные сценарии обработки. Это желательно видеть в структуре документа.

Ошибка 5. Политика не обновлялась после изменений процессов

Поменялся сайт, сервисы, CRM или бизнес-модель, а политика осталась старой.

Как составить политику обработки персональных данных

Практический алгоритм такой:

  1. Выписать все процессы, где собираются и используются данные.
  2. Разделить данные по категориям субъектов.
  3. Зафиксировать цели обработки.
  4. Проверить правовые основания.
  5. Определить, кому данные передаются.
  6. Проверить сайт, формы, cookie и аналитику.
  7. После этого готовить сам текст политики.

Если делать наоборот, сначала писать документ, а потом подгонять процессы под текст, получается формальность.

Когда одной политики недостаточно

Политика, это базовый документ, но обычно она не закрывает всё. Дополнительно часто нужны:

  • согласия на обработку персональных данных
  • локальные акты
  • документы по кадровой обработке
  • документы по сайту
  • регламенты и приказы
  • документы по уведомлению в Роскомнадзор

Короткий вывод

Политика обработки персональных данных, это обязательная опорная точка всей системы 152-ФЗ. Но сильной она становится только тогда, когда отражает реальные процессы компании, а не просто висит на сайте как формальность.

Если документ не совпадает с тем, как у вас работает сайт, CRM, кадровый блок и подрядчики, он не решает задачу compliance.

FAQ

Нужна ли политика обработки персональных данных на сайте?

Да, если сайт собирает персональные данные пользователей.

Можно ли взять готовый образец политики?

Можно как основу, но без адаптации под реальные процессы это рискованно.

Политика конфиденциальности и политика обработки персональных данных, это одно и то же?

Не всегда. Часто эти документы пересекаются, но их функция и структура могут различаться.

Достаточно ли просто разместить политику в футере?

Нет, важно, чтобы документ соответствовал реальной модели обработки данных в компании.

Нужно ли обновлять политику?

Да, особенно если меняются сайт, формы, сервисы, подрядчики, цели обработки или структура данных.

Что почитать дальше

CTA

Если у вас политика уже есть, но вы не уверены, совпадает ли она с реальными процессами, это хороший повод не переписывать документ вслепую, а сначала проверить логику обработки данных. Обычно именно после такой проверки становится ясно, что нужно обновить: только текст политики или всю модель работы с ПДн.

После статьи лучше сразу получить картину по рискам

Пройдите бесплатную экспресс-проверку 152-ФЗ и получите отчёт, который можно показать руководителю

За несколько коротких ответов вы увидите уровень рисков, штрафные зоны, список нужных документов и сможете скачать PDF-отчёт для согласования бюджета. Если задача уже понятна, после этого проще перейти к пакету документов или консультации.

Пройти бесплатную проверку Выбрать пакет Разобрать ситуацию