Политика в отношении обработки персональных данных: образец 2026

Как выглядит «Политика в отношении обработки персональных данных» и что важно в каждом пункте. Соберите свой вариант онлайн или скачайте бланк.

Политика в отношении обработки персональных данных — документ комплекта оператора персональных данных по Федеральному закону № 152-ФЗ.
Структура документа

Так выглядит документ: на месте ваших данных — прочерки «______». Заполните онлайн — подставятся ваши реквизиты.

Политика в отношении обработки персональных данных
1. Наименование и реквизиты
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
______
2. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152), а также иными нормативными правовыми актами Российской Федерации в области защиты персональных данных.
1.2. Оператором персональных данных является:
1.3. Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые Оператором.
1.4. Политика действует в отношении всех персональных данных, которые Оператор получает от субъектов персональных данных.
1.5. Политика разработана с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.
1.6. Настоящая Политика применяется ко всей информации, которую Оператор может получить посредством сайта ______.
3. Основные понятия
В настоящей Политике используются следующие основные понятия (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ):
2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.
2.4. Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
2.5. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
2.6. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.
2.7. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
2.8. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.9. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.10. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.11. Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.12. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
2.13. Специальные категории персональных данных — данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 ФЗ-152).
2.14. Биометрические персональные данные — сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (ст. 11 ФЗ-152).
2.15. Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания (ст. 7 ФЗ-152).
2.16. Согласие на обработку персональных данных — конкретное, информированное, сознательное и добровольное выражение субъектом персональных данных волеизъявления на обработку его персональных данных (ст. 9 ФЗ-152).
4. Цели обработки персональных данных
3.1. Оператор осуществляет обработку персональных данных в следующих целях:
— исполнение договора, стороной которого является субъект персональных данных;
— обработка на основании согласия субъекта персональных данных;
— статистический анализ и улучшение качества услуг;
— обработка обращений и обратной связи;
3.2. Оператор не осуществляет обработку персональных данных, несовместимую с целями их сбора.
3.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, Оператором не осуществляется.
3.4. Обработка биометрических персональных данных Оператором не осуществляется.
5. Правовые основания обработки персональных данных
4.1. Оператор осуществляет обработку персональных данных исключительно при наличии хотя бы одного из оснований, предусмотренных частью 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ:
— 1) обработка осуществляется с согласия субъекта персональных данных (п. 1 ч. 1 ст. 6 ФЗ-152);
— 2) обработка необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом (п. 2 ч. 1 ст. 6 ФЗ-152);
— 3) обработка необходима в связи с участием в конституционном, гражданском, административном, уголовном судопроизводстве (п. 3 ч. 1 ст. 6 ФЗ-152);
— 4) обработка необходима для исполнения полномочий государственных и муниципальных органов (п. 4 ч. 1 ст. 6 ФЗ-152);
— 5) обработка необходима для исполнения договора, стороной которого является субъект персональных данных (п. 5 ч. 1 ст. 6 ФЗ-152);
— 6) обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение согласия невозможно (п. 6 ч. 1 ст. 6 ФЗ-152);
— 7) обработка необходима для осуществления прав и законных интересов Оператора или третьих лиц (п. 7 ч. 1 ст. 6 ФЗ-152);
— 8) обработка необходима для осуществления профессиональной деятельности журналиста или научной, литературной деятельности (п. 8 ч. 1 ст. 6 ФЗ-152);
— 9) обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством (п. 9 ч. 1 ст. 6 ФЗ-152);
— 10) обработка общедоступных персональных данных (п. 10 ч. 1 ст. 6 ФЗ-152);
— 11) обработка, осуществляемая в статистических или иных исследовательских целях при условии обязательного обезличивания (п. 11 ч. 1 ст. 6 ФЗ-152).
4.2. Перечень иных нормативных правовых актов, на основании которых Оператор осуществляет обработку персональных данных:
— Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ-152»;
— Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении формы уведомления об обработке персональных данных»;
— Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ (глава 14 «Защита персональных данных работника»);
— Гражданский кодекс Российской Федерации;
— Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе»;
— Федеральный закон от 07.02.1992 № 2300-1 «О защите прав потребителей».
4.3. Ответственность за нарушение законодательства о персональных данных установлена статьёй 13.11 Кодекса Российской Федерации об административных правонарушениях, а также статьями 137 и 272 Уголовного кодекса Российской Федерации.
6. Объём и категории обрабатываемых персональных данных
5.1. Оператор может обрабатывать следующие категории персональных данных:
— фамилия, имя, отчество;
— адрес электронной почты;
— номер телефона;
— IP-адрес;
— данные cookie-файлов;
5.2. Категории субъектов персональных данных:
— клиенты (пользователи сайта, заказчики услуг/товаров);
— посетители сайта оператора;
5.3. Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
7. Порядок и условия обработки персональных данных
6.1. Обработка персональных данных осуществляется Оператором следующими способами:
— автоматизированная обработка с использованием средств вычислительной техники;
6.2. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
6.3. Персональные данные субъекта никогда и ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства, либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
6.4. При выявлении неточностей в персональных данных субъект может актуализировать их самостоятельно путём направления Оператору уведомления на адрес электронной почты ______ с пометкой «Актуализация персональных данных».
6.5. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, если иной срок не предусмотрен договором или действующим законодательством. Субъект может в любой момент отозвать своё согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на адрес ______ с пометкой «Отзыв согласия на обработку персональных данных».
8. Обработка персональных данных с использованием средств автоматизации
7.1. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
7.2. Оператор осуществляет автоматизированную обработку персональных данных с получением и/или передачей информации по информационно-телекоммуникационным сетям или без таковой.
7.3. При автоматизированной обработке Оператор применяет следующие меры защиты:
— использование средств шифрования (SSL/TLS) при передаче персональных данных по каналам связи;
— разграничение доступа к информационным системам, содержащим персональные данные;
— антивирусная защита информационных систем;
— межсетевое экранирование;
— резервное копирование данных;
— журналирование действий пользователей информационных систем.
9. Обработка персональных данных без использования средств автоматизации
8.1. Обработка персональных данных является неавтоматизированной, если она осуществляется без использования средств вычислительной техники.
8.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации путём фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
8.3. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
10. Передача персональных данных третьим лицам
9.1. Оператор вправе передавать персональные данные третьим лицам в следующих случаях:
— субъект персональных данных выразил своё согласие на такие действия;
— передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры;
— передача необходима для исполнения договора с субъектом персональных данных.
9.2. Персональные данные могут передаваться следующим третьим лицам:
— сервисы аналитики (Яндекс.Метрика, Google Analytics);
9.3. При передаче персональных данных третьим лицам Оператор заключает с ними соглашения, содержащие условие о конфиденциальности и обеспечении безопасности персональных данных.
11. Обработка персональных данных с помощью файлов cookie
10.1. Файлы cookie (куки) — это небольшие текстовые файлы, которые сохраняются на устройстве пользователя при посещении сайта Оператора.
10.2. Оператор использует cookie-файлы в следующих целях:
— обеспечение корректной работы сайта;
— повышение удобства использования сайта;
— сбор статистических данных о посещаемости сайта;
— персонализация контента и рекламы.
10.3. Пользователь может самостоятельно управлять cookie-файлами через настройки своего браузера. Отключение cookie-файлов может привести к ограничению функциональности сайта.
11.4. На сайте Оператора используются следующие сервисы веб-аналитики, устанавливающие cookie-файлы: Яндекс.Метрика. Данные сервисы собирают обезличенную статистику посещений для улучшения качества работы сайта.
12. Права субъектов персональных данных
11.1. Субъект персональных данных имеет следующие права (ст. 14–17 Федерального закона от 27.07.2006 № 152-ФЗ):
— право на получение информации (ст. 14 ФЗ-152) — получать от Оператора сведения, касающиеся обработки его персональных данных: подтверждение факта обработки, правовые основания, цели, способы, сроки обработки, перечень обрабатываемых данных, источник их получения, информацию о лицах, которым могут быть раскрыты данные;
— право на уточнение, блокирование или уничтожение персональных данных (ч. 1 ст. 14 ФЗ-152) — требовать уточнения персональных данных, их блокирования или уничтожения в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— право на отзыв согласия (ч. 2 ст. 9 ФЗ-152) — отозвать согласие на обработку персональных данных в любое время, направив соответствующее уведомление Оператору;
— право на обжалование действий Оператора (ст. 17 ФЗ-152) — обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных — Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке;
— право на защиту при автоматизированной обработке (ст. 16 ФЗ-152) — возражать против решения, порождающего юридические последствия и принятого на основании исключительно автоматизированной обработки;
— право на возмещение убытков и компенсацию морального вреда (ст. 17 ФЗ-152) — на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
11.2. Для реализации своих прав субъект персональных данных может направить Оператору запрос (обращение), содержащий: номер основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта в отношениях с Оператором (номер договора, дата заключения договора), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос направляется на адрес электронной почты: ______ или по почтовому адресу: ______.
11.3. Оператор обязан рассмотреть обращение субъекта в течение 10 рабочих дней с момента его получения (ч. 4 ст. 14 ФЗ-152) и предоставить мотивированный ответ по существу обращения.
11.4. В случае отказа в предоставлении информации Оператор обязан указать основания такого отказа со ссылкой на часть 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ.
13. Меры по обеспечению безопасности персональных данных
12.1. Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
12.2. Оператор применяет следующие меры по обеспечению безопасности персональных данных:
— назначение ответственного за организацию обработки персональных данных — ______, Генеральный Директор;
— утверждение локальных актов по вопросам обработки персональных данных;
— применение организационных и технических мер по обеспечению безопасности при обработке в информационных системах;
— обеспечение физической защиты помещений и оборудования, на которых размещены информационные системы;
— контроль доступа к информационным системам, содержащим персональные данные;
— использование шифрования (SSL/TLS) при передаче данных через сеть Интернет;
— обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию;
— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа;
— обучение работников Оператора, непосредственно осуществляющих обработку персональных данных.
14. Порядок уничтожения персональных данных
13.1. Персональные данные подлежат уничтожению в следующих случаях:
— достижение целей обработки персональных данных или утрата необходимости в достижении этих целей;
— отзыв субъектом персональных данных согласия на обработку его персональных данных;
— выявление неправомерной обработки персональных данных;
— истечение срока хранения персональных данных.
13.2. Срок хранения персональных данных: до достижения целей обработки, но не более 3 (трёх) лет с момента последнего взаимодействия с субъектом персональных данных.
13.3. Способ уничтожения персональных данных: уничтожение путём удаления из информационных систем и/или физического уничтожения материальных носителей.
13.4. Оператор осуществляет уничтожение персональных данных в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных.
15. План-график уничтожения персональных данных
14.1. Настоящий план-график определяет периодичность и способ уничтожения персональных данных в информационных системах Оператора.
14.2. Способ уничтожения: комбинированный подход: автоматизированное удаление в ИСПДн и ручное уничтожение материальных носителей.
14.3. Периодичность проверки и уничтожения: ежеквартально.
14.4. Срок хранения резервных копий: 30 дней. По истечении срока резервные копии автоматически перезаписываются или уничтожаются.
14.5. Порядок учёта уничтожения:
16. Технические и организационные меры защиты (расширенное описание)
15.1. Оператор применяет следующие технические меры защиты персональных данных:
— шифрование каналов передачи данных по протоколу SSL/TLS;
15.2. Оператор применяет следующие организационные меры:
— базовые организационные меры в соответствии с требованиями ФЗ-152;
15.3. Размещение информационных систем: хранение и обработка персональных данных осуществляется на территории Российской Федерации.
15.4. Уровень защищённости информационной системы персональных данных (ИСПДн) Оператора: определяется на основании модели угроз и характера обрабатываемых ПД.
15.5. Разграничение доступа: к обработке ПД допускаются только сотрудники, определённые приказом Оператора. Доступ предоставляется по принципу наименьших привилегий и только в объёме, необходимом для выполнения служебных обязанностей.
17. Реагирование на инциденты информационной безопасности
16.1. В случае выявления инцидента, связанного с неправомерной или случайной передачей (предоставлением, распространением, доступом) персональных данных, Оператор действует в соответствии с общими требованиями ФЗ-152 и приказами Роскомнадзора.
16.2. Порядок реагирования:
— фиксация факта инцидента ответственным за обработку ПД в момент обнаружения;
— первичное уведомление Роскомнадзора в срок не более 24 часов с момента выявления инцидента (ч. 3.1 ст. 21 ФЗ-152);
— подробное уведомление Роскомнадзора с результатами внутреннего расследования в срок не более 72 часов;
— уведомление затронутых субъектов персональных данных;
— принятие мер по устранению причин инцидента и минимизации последствий;
— документирование инцидента и принятых мер (инциденты фиксируются в рамках общей системы учёта обращений).
16.3. Ответственным за реагирование на инциденты является ______, Генеральный Директор. В случае отсутствия ответственного — руководитель Оператора.
16.4. Канал связи для уведомления об инцидентах: ______.
18. Порядок сбора и отзыва согласий на обработку персональных данных
17.1. Оператор получает согласие субъекта на обработку его персональных данных путём проставления отметки (галочки) на форме сайта, подтверждающей согласие с настоящей Политикой.
17.2. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 ФЗ-152). В согласии указываются цели обработки, перечень ПД, на обработку которых даётся согласие, и срок действия согласия.
17.3. Субъект персональных данных вправе отозвать своё согласие путём направления письменного уведомления на адрес электронной почты ______.
17.4. Оператор прекращает обработку персональных данных и уничтожает их в срок, не превышающий 30 дней с даты получения отзыва согласия, если иное не предусмотрено договором, стороной которого является субъект, а также в случаях, предусмотренных пунктами 2–11 части 1 статьи 6 ФЗ-152.
17.5. Оператор обеспечивает хранение подтверждений согласия (электронных или бумажных форм) в течение всего срока обработки и не менее 3 лет после её прекращения.
19. Ответственность оператора
18.1. Оператор несёт ответственность за нарушение требований законодательства Российской Федерации в области персональных данных в соответствии с действующим законодательством.
18.2. В случае утраты или разглашения персональных данных Оператор информирует субъекта персональных данных, а также уполномоченный орган (Роскомнадзор) в установленные законом сроки.
18.3. Оператор принимает все необходимые меры для минимизации негативных последствий, связанных с нарушением безопасности персональных данных.
20. Заключительные положения
19.1. Настоящая Политика является общедоступным документом и подлежит размещению на сайте Оператора ______.
19.2. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления.
19.3. Новая редакция Политики вступает в силу с момента её размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.
19.4. К настоящей Политике и отношениям между субъектом персональных данных и Оператором применяется действующее законодательство Российской Федерации.
19.5. Все возникающие споры стороны будут стремиться решить путём переговоров. При недостижении согласия споры подлежат рассмотрению в суде по месту нахождения Оператора в соответствии с действующим законодательством Российской Федерации.
21. Реквизиты оператора
Дата публикации: 23 июня 2026

Пояснения к пунктам

Общие положения
Политика — публичный документ (ч. 2 ст. 18.1 152-ФЗ): размещайте актуальную версию на сайте и следите, чтобы она совпадала с реальными целями и составом обрабатываемых данных. Расхождение сайта с практикой — самое частое основание штрафа.

Похожие документы