Положение об обработке и защите персональных данных: образец 2026

Как выглядит «Положение об обработке и защите персональных данных» и что важно в каждом пункте. Соберите свой вариант онлайн или скачайте бланк.

Положение об обработке и защите персональных данных — локальный нормативный акт оператора, устанавливающий правила обработки и защиты персональных данных соответствующей категории субъектов.
Структура документа

Так выглядит документ: на месте ваших данных — прочерки «______». Заполните онлайн — подставятся ваши реквизиты.

Положение об обработке и защите персональных данных
1. Наименование и реквизиты
УТВЕРЖДЕНО
Приказом ______
от ______ № [№]
ПОЛОЖЕНИЕ
об обработке и защите персональных данных
в ______
2. Общие положения
1.1. Настоящее Положение определяет порядок обработки персональных данных и меры по обеспечению их безопасности в ______ (далее — Оператор, ИНН ______, ОГРН ______).
1.2. Положение разработано в соответствии с:
— Конституцией Российской Федерации;
— Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Трудовым кодексом Российской Федерации (гл. 14);
— Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Приказом Роскомнадзора от 27.10.2022 № 178 «Об утверждении требований к оценке вреда, который может быть причинён субъектам персональных данных».
1.3. Положение обязательно к применению всеми работниками Оператора, осуществляющими обработку персональных данных.
3. Основные понятия
2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными.
2.3. Оператор — ______.
2.4. ИСПДн — информационная система персональных данных Оператора.
2.5. Ответственный — работник Оператора, назначенный приказом ответственным за организацию обработки ПД (ст. 22.1 ФЗ-152).
4. Правовые основания обработки
3.1. Оператор обрабатывает персональные данные на следующих правовых основаниях (ст. 6 ФЗ-152):
— согласие субъекта персональных данных;
— исполнение договора, стороной которого является субъект;
— исполнение возложенных на Оператора обязанностей (Налоговый кодекс РФ, Трудовой кодекс РФ, Федеральный закон № 402-ФЗ «О бухгалтерском учёте»).
5. Категории обрабатываемых персональных данных
4.1. Оператор обрабатывает следующие категории ПД:
— ФИО, дата и место рождения;
— адрес электронной почты;
— номер контактного телефона;
— IP-адрес;
— данные cookie-файлов;
4.2. Специальные категории ПД (раса, национальность, политические, религиозные убеждения, состояние здоровья, интимная жизнь) и биометрические ПД — Оператором не обрабатываются, за исключением случаев, прямо предусмотренных законодательством.
6. Категории субъектов персональных данных
5.1. Субъектами ПД, данные которых обрабатывает Оператор, являются:
— клиенты (покупатели, заказчики);
— посетители сайта Оператора (______);
7. Порядок сбора и обработки
6.1. Сбор ПД осуществляется непосредственно у субъекта (либо из его законного представителя). Получение ПД от третьих лиц допускается только с письменного согласия субъекта, за исключением случаев, предусмотренных ФЗ-152.
6.2. Обработка ПД ведётся автоматизированным способом (в ИСПДн Оператора).
6.3. При обработке ПД обеспечивается их точность, достаточность и актуальность для заявленных целей обработки.
8. Хранение и сроки обработки
7.1. ПД хранятся в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки.
7.2. Сроки хранения:
9. Уничтожение персональных данных
8.1. ПД подлежат уничтожению в срок не более 30 дней с момента: достижения целей обработки; отзыва согласия субъектом; истечения срока хранения; выявления неправомерной обработки.
8.2. Уничтожение оформляется Актом об уничтожении ПД, подписываемым не менее чем двумя членами комиссии.
10. Права субъектов персональных данных
9.1. Субъект имеет право (гл. 3 ФЗ-152):
— получать информацию об обработке своих ПД;
— требовать уточнения, блокирования или уничтожения ПД;
— отозвать согласие на обработку;
— обжаловать действия Оператора в Роскомнадзор и (или) в суд.
9.2. Запросы субъектов обрабатываются Ответственным (______) в срок не более 10 рабочих дней.
11. Обязанности Оператора
10.1. Оператор обязан (ст. 18.1 ФЗ-152):
— назначить ответственного за организацию обработки ПД;
— принимать правовые, организационные и технические меры защиты ПД;
— издавать локальные акты по вопросам обработки ПД;
— проводить внутренний контроль соответствия обработки ПД требованиям ФЗ-152;
— оценивать вред, который может быть причинён субъектам ПД (Приказ Роскомнадзора № 178);
— уведомлять Роскомнадзор об обработке ПД (ст. 22 ФЗ-152) и об инцидентах в течение 24 часов (ст. 21 ФЗ-152).
12. Меры защиты
11.1. Организационные меры:
— утверждение Политики обработки ПД и Положения об обработке ПД;
— назначение ответственного за обработку ПД (______);
— ознакомление работников с ФЗ-152 и локальными актами под роспись;
— разграничение доступа к ПД по принципу служебной необходимости;
11.2. Технические меры (в соответствии с Приказом ФСТЭК № 21):
— идентификация и аутентификация пользователей ИСПДн;
— разграничение и контроль доступа к ПД;
— шифрование каналов передачи данных (SSL/TLS);
13. Ответственность
12.1. Работники Оператора, виновные в нарушении настоящего Положения, несут ответственность в соответствии с Трудовым кодексом РФ (дисциплинарная), Гражданским кодексом РФ (материальная) и КоАП РФ (ст. 13.11 — от 60 000 до 18 000 000 ₽ для юридических лиц) и Уголовным кодексом РФ (ст. 137).
12.2. Оператор несёт ответственность перед субъектами ПД в соответствии с гражданским законодательством РФ.
14. Заключительные положения
13.1. Настоящее Положение вводится в действие с момента его утверждения приказом руководителя Оператора.
13.2. Изменения и дополнения в Положение вносятся приказом руководителя Оператора.
13.3. Контроль за соблюдением настоящего Положения возлагается на Ответственного за организацию обработки ПД.
Генеральный директор                                          _________________   / ________________ /

Пояснения к пунктам

Общие положения
Положение должно совпадать с реальными процессами: каждая мера, которую вы описали, но не выполняете, на проверке РКН фиксируется как отдельное нарушение. Пересматривайте документ при каждом изменении процессов обработки.

Похожие документы